215款App被广东省通信管理局责令限期整改(2021年1月)
2021年1月,广东省通信管理局共监测发现215款App存在侵害用户权益和安全隐患问题(详见附件1),并依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规对App运营者发出《违法违规App处置通知》,责令限期整改并通知各应用商店督促整改。另外,对于前期已通报App整改进度进行核查复测,发现仍有7款App未整改或整改不彻底(详见附件2),再次公开通报。
本批被责令整改的215款侵害用户权益和安全隐患问题App中,游戏类45款、工具类38款、生活服务类22款、购物类20款、社交类19款,教育类18款,旅行交通类15款,金融理财类12款,健康类10款,新闻阅读类4款,视音频类4款、办公类5款、娱乐类3款。
本批App侵害用户权益的典型表现有:一是未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围(129款,占比60%),二是未经用户阅读并同意隐私政策,提前申请获取终端权限(69款,占比55.2%),三是App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限(49款,占比39.2%),四是未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引(48款,占比21.5%);数据安全隐患问题主要有Janus签名机制漏洞、未移除有风险的Webview系统隐藏接口漏洞、界面劫持安全、密钥硬编码漏洞、应用备份风险等。
在315消费者权益日即将到来之际,广东省通信管理局将持续加大巡查力度,及时发现并通报侵犯用户权益的App,同时加强对已通报App及其运营者关联App进行跟踪复查,如有必要坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光等措施,依法严厉处置,切实维护App用户合法权益和网络安全秩序。
附件1:215款被广东省通信管理局责令整改App名单
附件2:7款前期通报整改未整改或整改不彻底App名单
广东省通信管理局
2021年2月22日
附件1 215款被广东省通信管理局责令整改App名单
共215款侵害用户权益App,其中116款同时存在网络数据安全隐患问题。215款APP共涉及13个大类,其中游戏类45款、工具类38款、生活服务类22款、购物类20款、社交类19款,教育类18款,旅行交通类15款,金融理财类12款,健康类10款,新闻阅读类4款,视音频类4款、办公类5款、娱乐类3款。
序号 | App名称 | 分类 | 版本号 | 公司名称 | 侵害用户权益问题 | 安全隐患问题 |
I 游戏类:序号1-45,共45款 | ||||||
1 | 冰雪皇家婚礼 | 游戏 | 2.0.9 | 深圳云步互娱网络科技有限公司 | 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;2.处理更正、删除个人信息问题的承诺时限超过 15个工作日。 | 应用备份风险 |
2 | 超级飞鸟 | 游戏 | 1.2.6 | 深圳市微谷时代科技有限公司 | 1.隐私政策等公示文本中没有列举说明获取存储和录音权限的目的、方式、范围,且未逐一列出第三方SDK收集个人信息的目的、方式、范围;2.App在用户未使用相关功能或服务时,提前申请获取终端的位置和录音权限。 | |
3 | 单机星星消消乐 | 游戏 | V10.36 | 深圳市泰尚科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取位置权限;2.未公开收集使用规则;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | Janus签名机制漏洞 |
4 | 动感小飞侠 | 游戏 | 1.5.2 | 深圳市微谷时代科技有限公司 | 1.隐私政策等公示文本中没有列举说明获取存储权限的目的、方式、范围,且未逐一列出第三方SDK收集个人信息的目的、方式、范围;2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | |
5 | 动漫英雄大作战 | 游戏 | 1.2.4 | 深圳市乐云无线科技有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.未经用户阅读隐私政策,应用就申请获取位置信息、存储和电话状态信息权限;3.未建立并公布个人信息安全投诉、举报渠道。 | 应用备份风险 |
6 | 俄罗斯方块消消消 | 游戏 | 1.2.7 | 深圳市唯变科技开发有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限。 | |
7 | 凤凰座出击 | 游戏 | 3.7 | 广州银辉通讯科技有限公司 | 1.隐私政策难以访问:进入App主界面后,无法找到隐私政策;2.隐私政策等公示文本中没有列举说明获取存储权限的目的、方式、范围;3.未建立并公布个人信息安全投诉、举报渠道;4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | |
8 | 公主小游戏 | 游戏 | 3.8 | 深圳市童娱网络科技有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取位置权限;2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3. App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | Janus签名机制漏洞。 |
9 | 幻城 | 游戏 | 1.2.43 | 广州银汉科技有限公司 | 1.APP中未发现隐私政策;2.未经用户阅读并同意隐私政策,申请存储、位置信息、电话状态和短信权限;3.未建立并公布个人信息安全投诉、举报渠道。 | |
10 | 僵尸榨汁机 | 游戏 | 1.5.2 | 金萪哲信(深圳)科技有限公司 | 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;2.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限; | 应用备份风险 |
11 | 开心萌萌大作战 | 游戏 | 1.1 | 深圳市掌上畅游科技有限公司 | 1.隐私政策难以访问:App首次运行提示用户阅读同意隐私政策,进入App主界面后,点击隐私政策链接,未找到相关内容;2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。 | Janus签名机制漏洞 |
12 | 恐怖故事 | 游戏 | 1.3.1 | 深圳市天逸之夏网络科技有限公司 | 1.隐私政策难以访问:App首次运行提示用户阅读同意隐私政策,进入App主界面后,找不到隐私政策;2.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、MAC地址信息;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 1.Janus签名机制漏洞;2.密钥硬编码漏洞;3.Webview远程代码执行漏洞;4.未移除有风险的Webview系统隐藏接口漏洞。 |
13 | 龙珠觉醒 | 游戏 | 2.9.0 | 深圳市豆悦网络科技有限公司 | 未经用户阅读并同意隐私政策,申请存储和电话状态信息权限。 | |
14 | 迷你动物大作战 | 游戏 | 1.4.3 | 深圳市微谷时代科技有限公司 | 隐私政策难以访问:进入App主界面后,找不到隐私政策。 | |
15 | 密室逃脱1逃离地牢 | 游戏 | 666.19.06 | 深圳市火星人互动娱乐有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.APP中未发现隐私政策;3.未经用户阅读隐私政策,应用就申请获取电话状态信息权限;4.未建立并公布个人信息安全投诉、举报渠道。 | |
16 | 明日之后 | 游戏 | 1.0.175 | 广州泳泳信息科技有限公司 | 未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限。 | |
17 | 泡泡精灵传奇 | 游戏 | 2.6.25.1124.044 | 深圳云步互娱网络科技有限公司 | 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;2.处理更正、删除个人信息问题的承诺时限超过 15个工作日。 | 应用备份风险 |
18 | 拼图发烧友 | 游戏 | 1.0.9 | 深圳市全支付科技开发有限公司 | 1.未经用户阅读并同意隐私政策,申请存储、电话状态和位置信息权限;2.未建立并公布个人信息安全投诉、举报渠道;3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | |
19 | 倩女幽魂 | 游戏 | 1.8.8 | 广州银汉科技有限公司 | 未经用户阅读隐私政策,应用就申存储和电话状态信息权限。 | |
20 | 枪战英雄 | 游戏 | 0.6.4.042 | 广州四三九九信息科技有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.APP中未发现隐私政策;3.未建立并公布个人信息安全投诉、举报渠道。 | |
21 | 亲吻猫咪 | 游戏 | 23.0 | 广州银辉通讯科技有限公司 | 1.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;2.隐私政策等公示文本中没有列举说明获取存储权限的目的、方式、范围,且未逐一列出第三方SDK收集个人信息的目的、方式、范围;3.未建立并公布个人信息安全投诉、举报渠道。 | |
22 | 球球与白块 | 游戏 | 1.3.2 | 深圳市飞鸟与鱼科技开发有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.APP中未发现隐私政策;3.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限;4.未建立并公布个人信息安全投诉、举报渠道。 | |
23 | 全民彩金捕鱼 | 游戏 | 3.19.0 | 深圳千里之星网络科技有限公司 | 1.政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;2.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账户、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;3.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;4.收集个人信息的频度等超出业务功能实际所需;5.未提供有效的更正、删除个人信息及注销用户账号功能。 | 1.存在Janus签名机制漏洞;2.存在动态注入的风险;3.未移除有风险的Webview系统隐藏接口。 |
24 | 热血大作战:真奇迹 | 游戏 | 1.4.9.1 | 广州兆熙信息科技有限公司 | 1.未公开收集使用规则;2.App在用户未使用相关功能或服务时,提前申请获取终端的录音权限。 | 1.HTTPS中间人劫持风险;2.WebView远程代码执行漏洞;3.界面劫持风险;4.Janus签名机制漏洞。 |
25 | 三国伏魔录 | 游戏 | 1.9.17 | 深圳酷饭科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话和位置权限;2.隐私政策中未逐一列出获取存储和位置权限的目的、方式、范围;3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | 界面劫持风险。 |
26 | 三国世界 | 游戏 | 3.4.9 | 深圳市皇聚游戏开发有限公司 | 1.在App隐私政策中没有收集使用个人信息规则;2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.Janus签名机制漏洞。 |
27 | 蛇蛇白块大作战 | 游戏 | 1.1.3 | 深圳市全支付科技开发有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.APP中未发现隐私政策;3.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限;4.未建立更正、删除个人信息的渠道;5.未建立并公布个人信息安全投诉、举报渠道。 | |
28 | 时空召唤 | 游戏 | 5.0.0 | 广州银汉科技有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.隐私政策中没有列举说明获取短信权限的目的、方式、范围;3.未经用户阅读隐私政策,应用就申请获取相机、位置信息、存储、录音、电话状态信息、和短信权限。 | |
29 | 史上最难强迫症游戏2 | 游戏 | 2.7.3 | 深圳市四海软件有限公司 | 1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;2.未建立处理更正、删除个人信息问题的渠道;3.未建立并公布个人信息安全投诉、举报渠道;4.账号注销难:应用内未发现注销账号功能 | 应用备份风险 |
30 | 数独大全 | 游戏 | 1.0.4 | 深圳市飞鸟与鱼科技开发有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.APP中未发现隐私政策;3.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限;4.未建立更正、删除个人信息问题的渠道;5.未建立并公布个人信息安全投诉、举报渠道; | 应用备份风险 |
31 | 四海单机斗地主 | 游戏 | 1.3.6 | 深圳市四海软件有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.APP中未发现隐私政策。 | 应用备份风险 |
32 | 四人麻将 | 游戏 | 2.2.1 | 深圳市四海软件有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.APP中未发现隐私政策; | 应用备份风险 |
33 | 坦克世界闪击战 | 游戏 | 7.5.0.109 | 广州泳泳信息科技有限公司 | 1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI等用户信息;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
34 | 跳跳跳方块 | 游戏 | 1.2.7 | 深圳市飞鸟与鱼科技开发有限公司 | 未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限。 | |
35 | 小小突击队 | 游戏 | 2.0.5 | 广州四三九九信息科技有限公司 | 1.账号注销难:应用内未发现注销账号功能;2.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;3.未建立并公布个人信息安全投诉、举报渠道; | 应用备份风险 |
36 | 新剑侠情缘 | 游戏 | 2.20.1 | 珠海剑心互动娱乐有限公司 | 1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
37 | 星空传奇:爆装传奇 | 游戏 | 8.0.1 | 深圳乐游无限网络科技有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取电话、存储权限;2. 隐私政策难以访问:进入App主界面后,找不到隐私政策;3. 账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;4. 未建立并公布个人信息安全投诉、举报渠道。 | |
38 | 绚丽切水果 | 游戏 | 2.8 | 深圳市时间坊贸易有限公司 | 1.APP中未发现隐私政策;2.未经用户阅读隐私政策,应用就申请获取存储权限。 | |
39 | 叶罗丽 | 游戏 | 16.0.1 | 深圳智梦星科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取电话和存储权限;2.隐私政策中未明确列出获取个人存储权限的目的、方式、范围;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、IMSI和MAC地址信息;5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.Janus签名机制漏洞;2.密钥硬编码漏洞。 |
40 | 一梦江湖 | 游戏 | 45.0 | 广州泳泳信息科技有限公司 | 未经用户阅读并同意隐私政策,申请获取存储和电话状态信息权限。 | |
41 | 一跳到底 | 游戏 | 1.4.4 | 深圳市乐云无线科技有限公司 | 1.不给权限不让用:用户拒绝授予存储和电话状态权限后,无法正常使用应用;2.APP中未发现隐私政策;3.未经用户阅读隐私政策,应用就申请获取位置信息、存储和电话状态信息权限。 | 应用备份风险 |
42 | 有礼包 | 游戏 | 5.2.0 | 广州油梨信息科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 在登录页面,以默认方式同意隐私政策。 | |
43 | 真人天天斗地主 | 游戏 | 5.10.066 | 深圳市禅游互动娱乐有限公司 | 账号注销难:应用内未发现注销账号功能。 | |
44 | 正中靶心 | 游戏 | 2.3.0 | 深圳市掌娱无限科技有限公司 | 1.APP中未发现隐私政策;2.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限。 | |
45 | 子弹先生狙击战场 | 游戏 | 1.6.0 | 深圳市优智信息技术有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话和位置权限;2.隐私政策难以访问:App首次运行提示用户阅读同意隐私政策,进入App主界面后,找不到隐私政策;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | 1.Janus签名机制漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
II 工具类:序号46-83,共38款 | ||||||
46 | Badam维语输入法 | 工具 | 6.92.0 | 广州智品网络科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取电话、定位、通话记录、通讯录和存储权限;2.App在用户未使用相关功能或服务时,提前申请获取终端的定位、通话记录和通讯录权限。 | |
47 | Excel表格制作 | 工具 | V12.5 | 深圳上翼技术有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
48 | V380 Pro | 工具 | 1.3.3 | 广州市宏视电子技术有限公司 | 更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | |
49 | 宝宝取名 | 工具 | 1.9 | 深圳市软游天下信息科技有限公司 | 1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、IMEI、IMSI等用户信息;2.在申请打开可收集个人信息的存储权限时,未同步告知用户其目的。 | |
50 | 宝妈帮 | 工具 | 3.2 | 广州市广商网络科技有限公司 | App首次运行未经用户阅读并同意隐私政策,申请获取存储权限。 | WebView远程代码执行漏洞。 |
51 | 畅行车管通 | 工具 | 3.6 | 深圳市国脉畅行科技股份有限公司 | 隐私政策中未明确列出获取相机权限的目的、方式、范围。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.Janus签名机制漏洞。 |
52 | 超级录屏 | 工具 | 1.2.2.4 | 广州飞磨投资中心(有限合伙) | 1.违反必要原则收集个人信息:用户不同意开启非必要的位置权限,拒绝提供视频功能;2.在申请打开可收集用户位置敏感权限时,未同步告知用户其目的。 | |
53 | 分付宝 | 工具 | 4.3.6 | 深圳市数字资本管理有限公司 | 1.隐私政策中未逐一列出获取姓名、身份证个人信息及个人存储、电话、相机和位置权限的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.App在用户未使用相关功能或服务时,提前申请获取终端的位置和相机权限;4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
54 | 高考蜂背 | 工具 | 7.0.17 | 广州蜂背网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.未提供有效的更正、删除个人信息功能;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | |
55 | 黑猫控车 | 工具 | 1.5.26 | 东莞市黑猫信息科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.Janus签名机制漏洞。 |
56 | 欢乐记账 | 工具 | 1.1.9 | 广州迪安斯云科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、位置和电话权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | 界面劫持风险。 |
57 | 欢游 | 工具 | 1.2.0-13331 | 广州沙巴克网络科技有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.Janus签名机制漏洞。 |
58 | 芥子空间 | 工具 | 1.1.59 | 广州猎游娱乐有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | FFmpeg文件读取漏洞。 |
59 | 口袋兼职 | 工具 | 5.0.8 | 广州极豆网络科技有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取存储和位置权限;2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3. App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | |
60 | 来电科技 | 工具 | 深圳来电科技有限公司 | 1.在申请收集位置权限时,未同步告知用户其目的;2.未公开收集使用规则;3.账号注销难:未提供有效的注销账号功能,小程序账号管理界面未提供账号注销菜单入口,通过客服联系时,明确回复无法注销账号。 | ||
61 | 来电闪光 | 工具 | 8.9.0 | 佛冈源结信息科技有限公司 | 首次开启APP,未同意隐私政策前行为监控发现获取、Android ID、IP地址、MAC地址、IMEI、IMSI等用户信息。 | |
62 | 录屏大师 | 工具 | 3.4.1.1 | 广州飞磨科技有限公司 | 1.打开的可收集个人位置信息权限与现有业务功能无关;2.App每点击“我的、漫画”功能,均会读取Android ID、MAC地址、IMEI、IMSI等用户信息,收集个人信息的频度超出业务功能实际需要。 | |
63 | 绿侠快充 | 工具 | 2.7.332 | 深圳市充电易科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取相机权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在注册登录时,以默认方式同意隐私政策;4.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限;5.账号注销难:未提供有效的注销账号功能,且在用户协议和相关界面上没有注销指引。 | 1.程序反编译风险;2.界面劫持风险;3.动态调试攻击风险;4.so文件注入攻击风险。 |
64 | 蜜蜂打卡 | 工具 | 1.0.6 | 广州掌晟明诸信息科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在注册登录时,以默认方式同意隐私政策;3.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
65 | 喵驾 | 工具 | 3.2.2.110417 | 深圳市点嘀互联网络有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、位置和电话权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在注册登录时,以默认方式同意隐私政策。 | 1. WebView远程代码执行漏洞;2. HTTPS中间人劫持风险;3. Janus签名机制漏洞。 |
66 | 莫莉幻想 | 工具 | 2.0.39 | 中山市世宇动漫科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和位置权限;2.在App《用户协议》中没有收集使用个人信息规则;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.在登录页面,以默认方式同意隐私政策;5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 未移除有风险的Webview系统隐藏接口漏洞。 |
67 | 企查猫 | 工具 | 4.3.6 | 深圳企查宝数据科技有限公司 | 1.隐私政策中未逐一列出获取个人姓名、公司名、行业、职务和身份认证信息的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | WebView远程代码执行漏洞。 |
68 | 巧影 | 工具 | V4.16.5.18945.CZ | 深圳巧影科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.未提供有效的更正、删除个人信息及注销用户账号功能,且在隐私政策和相关界面上没有声明指引。 | Jaus签名机制漏洞。 |
69 | 视频去水印 | 工具 | 1.2.2 | 深圳市初悦科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 在登录页面,以默认方式同意隐私政策;3. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
70 | 视频去水印软件 | 工具 | V1.5.1 | 深圳考拉互动科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取位置、电话和存储权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
71 | 手机定位防走丢 | 工具 | 6.5.6 | 广州云芯信息科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.征得用户同意前,App嵌入的第三方SDK私自收集个人软件安装列表信息;3.在注册登录时,以默认方式同意隐私政策。 | |
72 | 淘车位e共享停车 | 工具 | 12.0 | 淘车位科技(广州)有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | |
73 | 途强在线 | 工具 | 2.12.5 | 深圳市几米物联有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 1.密钥硬编码漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
74 | 微粉助手 | 工具 | 1.2.8 | 深圳市仟指科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 征得用户同意前,App嵌入的第三方SDK私自收集IMEI信息;3. 在注册登录时以默认方式同意隐私政策;4. 未提供有效的更正、删除个人信息功能。 | |
75 | 卫士手机定位防盗 | 工具 | V1.0.0 | 东莞市驰驰电子商务有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取短信、相机、存储、麦克风、通讯录和位置权限;2.在登录页面,以默认方式同意隐私政策;3.不给权限不让用:要求用户一次性同意打开短信、相机和通讯录多个可收集个人信息的权限,用户不同意则无法使用;4.App在用户未使用相关功能或服务时,提前申请获取终端的短信、相机、麦克风和通讯录权限。 | |
76 | 未来管家 | 工具 | 1.12.0 | 花生未来(广州)科技有限公司 | 1.征得用户同意前,App私自收集个人电话号码信息;2.在注册登录时,以默认方式同意隐私政策;3.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | Janus签名机制漏洞。 |
77 | 未知术 | 工具 | 1.15 | 东莞市未知术网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在注册登录时,以默认方式同意隐私政策。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.Janus签名机制漏洞。 |
78 | 未知术S | 工具 | 1.17 | 东莞市未知术网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在注册登录时,以默认方式同意隐私政策。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.Janus签名机制漏洞。 |
79 | 小鸽飞讯 | 工具 | 2.8.1 | 广州蓝色动力科技有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3. 在注册登录时,以默认方式同意隐私政策。 | 密钥硬编码漏洞。 |
80 | 选址易 | 工具 | 2.3.0 | 深圳市伙伴行网络科技有限公司 | 1.违反必要原则收集个人信息:要求用户一次性同意打开相机和麦克风权限,用户不同意则无法使用;2.App在用户未使用相关功能或服务时,提前申请获取终端的相机和麦克风权限;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
81 | 易加油 | 工具 | 6.2.1 | 深圳易加油信息科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取位置权限和电话权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在登录时,以默认方式同意隐私政策;4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
82 | 赢在习惯 | 工具 | 1.8.9 | 佛山市法拉哥科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取电话权限和存储权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在注册登录时,以默认方式同意隐私政策;4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
83 | 悦动浏览器 | 工具 | 7.0.8 | 深圳市悦生活科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。 | 1.Webview远程代码执行漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
III 生活服务类:序号84-105,共22款 | ||||||
84 | 28快运 | 生活服务 | 3.2.2 | 广州市安发网络科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取位置、存储、电话和相机权限;2.隐私政策中未明确列出获取相机权限的目的、方式、范围;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.在注册时,以默认方式同意隐私政策;5.不给权限不让用:用户不同意开启非必要的相机权限,App无法使用;6.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
85 | Hi居 | 生活服务 | 2.4.1 | 广州海伦堡物业管理有限公司 | App首次运行未经用户阅读并同意隐私政策,申请获取电话和存储权限。 | 界面劫持风险。 |
86 | K生活 | 生活服务 | 2.2.23 | 深圳佳兆业科技集团有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.App在用户未使用相关功能或服务时,提前申请获取终端的相机、位置、录音和通讯录权限;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.界面劫持风险;2.Janus签名机制漏洞。 |
87 | PP停车 | 生活服务 | 4.1.0 | 深圳市神州路路通网络科技有限公司 | 1.隐私政策中未逐一列出获取个人手机通话记录、拨打电话和管理通话权限的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI信息;4.App在用户未使用相关功能或服务时,提前申请获取终端的手机通话记录、拨打电话和管理通话权限;5.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口;6.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | 1.Webview远程代码执行漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
88 | 叮叮易建 | 生活服务 | 3.2.5 | 深圳叮叮易建网络科技有限公司 | 1.隐私政策难以访问:进入App主界面后,需多于4次点击操作才能访问到隐私政策;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
89 | 菲度 | 生活服务 | 2.5.12 | 广州市露兴软件科技有限公司 | 1.隐私政策难以访问:进入App主界面后,找不到隐私政策;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 1.界面劫持风险;2.动态调试攻击风险;3.so文件注入攻击风险。 |
90 | 关爱守护 | 生活服务 | 1.2.8 | 深圳市亦青藤电子科技有限公司 | 1.App在用户未使用相关功能或服务时,提前申请获取终端的录音、通讯录、位置和相机权限;2.未建立并公布个人信息安全投诉、举报渠道。 | 界面劫持风险。 |
91 | 快递员助手 | 生活服务 | 3.3.4 | 深圳市点易达科技有限公司 | App首次运行未经用户阅读隐私政策,申请获取存储、电话和位置权限。 | WebView远程代码执行漏洞。 |
92 | 立行租车 | 生活服务 | 2.4.0 | 深圳市意仁网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.注销用户账号的处理承诺时限(30天)超过15个工作日。 | 界面劫持风险。 |
93 | 莲花GO | 生活服务 | 4.6.2 | 广州易初莲花连锁超市有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | |
94 | 岭南通 | 生活服务 | 2.4.3 | 广东岭南通股份有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和设备权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在注册登录时,以默认方式同意隐私政策;4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.密钥硬编码漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
95 | 启辰智联 | 生活服务 | 2.1.4 | 深圳联友科技有限公司广州分公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话、通讯录、位置和相机权限;2.App在用户未使用相关功能或服务时,提前申请获取终端的通讯录和相机权限。 | |
96 | 任车行 | 生活服务 | 5.4.9 | 深圳市麦谷科技有限公司 | 1.在App隐私政策中没有收集使用个人信息规则;2.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限;3.未提供有效的更正、删除个人信息及注销用户账号功能,且在隐私政策和相关界面上没有声明指引。 | 界面劫持风险。 |
97 | 闪电修 | 生活服务 | 2.6.15 | 深圳闪电修网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在注册登录时,以默认方式同意隐私政策。 | 界面劫持风险。 |
98 | 省省回头车 | 生活服务 | 5.15.1 | 广州回头车信息科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.更正、删除用户信息及注销账号的处理承诺时限(30天)均超过15个工作日。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
99 | 我的社保 | 生活服务 | 3.5.1 | 广州闪聘网络科技股份有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
100 | 药师帮 | 生活服务 | 4.41.0 | 广州速道信息科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
101 | 邮证 | 生活服务 | 3.4.6 | 广州车行易科技股份有限公司 | 1.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI和MAC地址信息;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.隐私政策中未明确列出获取相机权限的目的、方式、范围;4.在注册登录时,以默认方式同意隐私政策;5.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | |
102 | 中国医疗人才网 | 生活服务 | 7.2.0 | 深圳市万泉河科技股份有限公司 | App首次运行未经用户阅读并同意隐私政策,申请获取存储权限。 | 1. WebView远程代码执行漏洞;2. 界面劫持风险。 |
103 | 中华老黄历 | 生活服务 | 5.0.3 | 广东凡跃集团股份有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话、相机和位置权限;2.隐私政策中未明确列出获取相机权限的目的、方式、范围;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.不给权限不让用:用户不同意开启非必要的位置和相机权限,拒绝提供所有业务功能;5.App在用户未使用相关功能或服务时,提前申请获取终端的位置和相机权限;6.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 1. WebView远程代码执行漏洞;2. Janus签名机制漏洞。 |
104 | 赚钱鸭 | 生活服务 | 1.0.6 | 东莞市智慧小群科技有限公司 | 1.隐私政策中未明确列出获取相机和录音权限的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在注册登录时,以默认方式同意隐私政策;4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
105 | 租租车 | 生活服务 | 5.4.210106 | 广州力挚网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | |
IV 购物类:序号106-125,共20款 | ||||||
106 | 爱租机 | 购物 | 4.0.2 | 深圳市爱租机科技有限公司 | 1.隐私政策中未明确列出获取相机权限的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
107 | 八斗银 | 购物 | 2.0.3 | 广东八斗银建设投资集团有限公司 | 1.隐私政策中未逐一列出获取个人姓名、公司名、联系电话及详细地址信息及相机权限的目的、方式、范围;2.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限。 | |
108 | 翠叮当藏品 | 购物 | 1.2.8 | 深圳市华娱创智科技有限公司 | 1. 隐私政策中未明确列出获取相机权限的目的、方式、范围;2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3. 在注册登录时以默认方式同意隐私政策。 | |
109 | 灯网商城 | 购物 | 1.79 | 中山灯多看科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取位置权限和存储权限;2.隐私政策难以访问:进入App主界面后,找不到隐私政策;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.界面劫持风险;2.动态调试攻击风险;3.so文件注入攻击风险;4.Janus签名机制漏洞。 |
110 | 多贝省钱 | 购物 | 1.0.30 | 深圳市俏梦科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.HTTPS中间人劫持风险。 |
111 | 返利日记 | 购物 | 4.2.0 | 深圳市胖胖龙网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.频繁申请权限:App在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的位置权限,骚扰用户。 | |
112 | 返利网高佣联盟 | 购物 | 3.6.0 | 广州聚美惠购网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.频繁申请权限:App在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的位置权限,骚扰用户。 | |
113 | 购返吧 | 购物 | 5.4.7 | 广州秦凌信息科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限;2.隐私政策难以访问:进入App主界面后,找不到隐私政策;3.隐私政策中未明确列出获取相机权限的目的、方式、范围;4.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;5.在注册登录时,以默认方式同意隐私政策。 | WebView远程代码执行漏洞。 |
114 | 华润万家 | 购物 | 3.3.0 | 华润万家有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取位置、存储和电话权限;2.隐私政策中未明确列出获取相机权限的目的、方式、范围;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
115 | 九航云选 | 购物 | 1.1.16 | 广东九航贸易有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限;2. 隐私政策中未明确列出获取相机权限、位置权限的目的、方式、范围;3. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4. 在注册登录页面,以默认方式同意隐私政策。 | 密钥硬编码漏洞 |
116 | 珑梨派 | 购物 | V1.3.4 | 领积信息技术(广州)有限公司 | 1.隐私政策中未明确列出获取相机权限的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
117 | 玫瑰返利联盟 | 购物 | 4.4.0 | 广州天狼星科技有限公司 | 1. 隐私政策中未逐一列出获取个人相机和录音权限的目的、方式、范围;2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3. 在注册登录时以默认方式同意隐私政策。 | 未移除有风险的Webview系统隐藏接口漏洞。 |
118 | 拿趣用 | 购物 | 3.0.1 | 深圳喜闻科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、位置和电话权限;2.隐私政策中未逐一列出获取通讯录权限的目的、方式、范围;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1. WebView远程代码执行漏洞;2. 界面劫持风险。 |
119 | 全民严选 | 购物 | 2.3.20 | 深圳市一探究竟科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 密钥硬编码漏洞 |
120 | 奢分期 | 购物 | 5.12.2 | 广州微一网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在注册登录时,以默认方式同意隐私政策;3.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | Janus签名机制漏洞。 |
121 | 省钱 | 购物 | 7.7.6 | 深圳市哥伦布服饰有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 1.密钥硬编码漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
122 | 天天返利 | 购物 | 1.1.2 | 深圳市券券宝网络科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | WebView远程代码执行漏洞。 |
123 | 优券购物 | 购物 | 3.8.9 | 广州粉娱科技有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;2. 账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | |
124 | 芝麻鲸选 | 购物 | 4.1.0 | 广州多多返网络科技有限公司 | 首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IMEI、IMSI等用户信息。 | |
125 | 蜘点订货通 | 购物 | 2.9.8 | 蜘点商业网络服务有限公司 | 1. 隐私政策难以访问:进入App主界面后,找不到隐私政策;2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
V 社交类:序号126-144,共19款 | ||||||
126 | Lespark | 社交 | 7.4.2 | 清远市帕克文化传媒有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限;2.隐私政策难以访问:进入App主界面后,需多于4次点击操作才能访问到隐私政策;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | |
127 | 打灯 | 社交 | V1.3.4 | 深圳市品品店科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和位置权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | |
128 | 豆皮 | 社交 | 1.7.4 | 深圳酷皮科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限、电话权限和位置权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 1.HTTPS中间人劫持风险;2.界面劫持风险。 |
129 | 对面 | 社交 | 6.9.88 | 深圳市乐唯科技开发有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.不给权限不让用:用户不同意开启非必要的位置权限,拒绝提供所有业务功能。 | |
130 | 多聊聊天交友 | 社交 | V5.5.4 | 聚乐网络科技(深圳)有限公司 | 1.在注册登录时,以默认方式同意隐私政策;2.App在用户未使用相关功能或服务时,提前申请获取终端的录音权限和相机权限;3.更正、删除用户信息的处理承诺时限(6个月)超过15个工作日。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.动态调试攻击风险;4.so文件注入攻击风险。 |
131 | 怪咖 | 社交 | V1.5.0 | 广州艾维赛尔网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.App在用户未使用相关功能或服务时,提前申请获取终端的定位权限。 | |
132 | 画音 | 社交 | 3.7.0.126 | 早安科技(广州)有限公司 | 1. 在注册页面,以默认方式同意隐私政策;2. 违反必要原则收集个人信息:要求用户一次性同意打开相机权限和麦克风权限,用户不同意则无法使用;3. App在用户未使用相关功能或服务时,提前申请获取终端的相机权限和麦克风权限;4. 更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | |
133 | 美陌 | 社交 | 5.5.4 | 深圳天睿网络科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 在登录注册页面和信息填写页面,以默认方式同意隐私政策。 | |
134 | 蜜多多 | 社交 | 5.5.4 | 广州三维科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在登录注册页面和信息填写页面,以默认方式同意隐私政策。 | 1.密钥硬编码漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
135 | 蜜约交友 | 社交 | 1.3.0 | 深圳酷科网络科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供客服业务;3.征得用户同意前,App嵌入的第三方SDK私自收集个人电话号码、IMEI、IMSI、经纬度信息。 | 1.Janus签名机制漏洞;2.FFmpeg文件读取漏洞。 |
136 | 千帆直播 | 社交 | 6.1.7 | 广州市千钧网络科技有限公司 | 首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、MAC地址、Android ID、IMEI等用户信息。 | |
137 | 声洞 | 社交 | 2.8.5 | 广州沙巴克网络科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;2.征得用户同意前,App私自收集个人电话号码信息;3.登录时,以默认方式同意隐私政策;4.账号注销难:账号注销后有30天的冷静期,超过最长处理时限15个工作日;5.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
138 | 闲聊聊天交友 | 社交 | 5.5.5 | 深圳市禾火网络科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 在注册登录页面和信息填写页面,以默认方式同意隐私政策;3. App在用户未使用相关功能或服务时,提前申请获取终端的录音、相机和位置权限。 | 1.密钥硬编码漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
139 | 小爱直播间 | 社交 | 2.9.3 | 珠海云迈网络科技有限公司 | 1. 在登录页面,以默认方式同意隐私政策;2. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
140 | 小号管家 | 社交 | 1.1.7 | 深圳市仟指科技有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | Janus签名机制漏洞 |
141 | 秀蛋 | 社交 | 2.9.4 | 深圳秀蛋科技有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 界面劫持风险。 |
142 | 序赞 | 社交 | 4.7.46 | 佛山市视序澎湃科技有限公司 | 1.隐私政策中未逐一列出获取个人身份证号信息的目的、方式、范围;2.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
143 | 摇一摇交友 | 社交 | 1.5.2 | 深圳市乐唯科技开发有限公司 | App首次运行未经用户阅读并同意隐私政策,申请获取存储权限。 | 1.程序反编译风险;2.HTTPS中间人劫持风险;3.WebView远程代码执行漏洞;4.界面劫持风险;5.动态调试攻击风险;6.so文件注入攻击风险;7.Janus签名机制漏洞。 |
144 | 正宗漂流瓶 | 社交 | 2.0.5.6 | 深圳字母科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限、电话权限、相机权限、录音权限和位置权限;2.在注册登录时,以默认方式同意隐私政策;3.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限和录音权限;4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日;5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 界面劫持风险。 |
VI 教育类:序号145-162,共18款 | ||||||
145 | A100教学 | 教育 | 1.1.7 | 广东新启翔教育科技发展有限公司 | 首次开启APP,未同意隐私政策前行为监控发现获取MAC地址、IMEI、IMSI等用户信息。 | |
146 | 宝宝学拼音识字 | 教育 | 2.3.10 | 广州崇飞信息科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | 界面劫持风险。 |
147 | 儿童教育游戏 | 教育 | 5.1 | 深圳市童趣网络科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取电话、存储和位置权限;2.隐私政策中未逐一列出获取位置权限的目的、方式、范围;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.App主界面以默认方式同意隐私政策。 | 1.界面劫持风险;2.Janus签名机制漏洞。 |
148 | 儿童益智数学游戏 | 教育 | 1.3.9 | 广州崇飞信息科技有限公司 | 1. App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;2. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 界面劫持风险。 |
149 | 儿童英语学习 | 教育 | 2.4 | 广州迩沃互联网服务有限公司 | 1.在App中没有隐私政策;2.首次开启APP,未同意隐私政策前行为监控发现获取Android ID、MAC地址、IP地址等用户信息;3.APP在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的存储和设备权限,骚扰用户。 | |
150 | 辅导帮 | 教育 | 2.6.8 | 深圳乐游无限网络科技有限公司 | 1.App隐私政策难以阅读:文字过小过密;2.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.界面劫持风险;2.Janus签名机制漏洞。 |
151 | 工业工程师联盟 | 教育 | 1.1.0 | 东莞市精益华企管理顾问有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取相机权限和存储权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在注册登录时,以默认方式同意隐私政策;4.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限;5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | |
152 | 画啦啦少儿美术 | 教育 | 4.7.0 | 广州六一信息科技有限公司 | 1.在注册登录时,以默认方式同意隐私政策;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、IMSI和MAC地址信息;4.不给权限不让用:用户不同意开启非必要的相机、录音和麦克风权限,拒绝提供所有业务功能;5.App在用户未使用相关功能或服务时,提前申请获取终端的录音、相机、麦克风权限;6.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口,通过联系客服明确回复无法注销账号。 | |
153 | 画啦啦小灯塔 | 教育 | 1.15.0 | 广州六一信息科技有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
154 | 快快查汉语字典 | 教育 | 4.1.0 | 珠海栗子网络科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 在注册登录时以默认方式同意隐私政策;3. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | |
155 | 栗子学院 | 教育 | 3.0.7 | 中咨联教育技术(深圳)有限公司 | 1.隐私政策中未逐一列出获取个人邮箱信息的目的、方式、范围;2.违反必要原则收集个人信息:因用户不同意收集非必要的个人邮箱信息,拒绝提供意见反馈功能;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | |
156 | 米信 | 教育 | 4.6.21 | 深圳市乐乐米信息技术有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息。 | |
157 | 声希AI课 | 教育 | 1.4.4 | 深圳市声希科技有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取个人存储和录音权限;2. 在注册登录时以默认方式同意隐私政策。 | |
158 | 食安快线 | 教育 | 4.2.2 | 食安快线信息技术(深圳)有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取电话、存储、相机和麦克风权限;2.在注册登录时,以默认方式同意隐私政策;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.App在用户未使用相关功能或服务时,提前申请获取终端的相机和麦克风权限;5.征得用户同意前,App嵌入的第三方SDK私自收集个人经纬度信息;6.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。 | 密钥硬编码漏洞 |
159 | 天天识字 | 教育 | 4.20.0 | 广州琢玉教育科技有限公司 | 首次开启APP,未同意隐私政策前行为监控发现获取、Android ID、MAC地址、IP地址等用户信息。 | 界面劫持安全 |
160 | 天天学农 | 教育 | 3.9.2.1 | 深圳市天天学农网络科技有限公司 | 1.在App隐私政策中没有收集使用个人信息规则;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、IMSI和MAC地址信息。 | 1.密钥硬编码漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
161 | 脱单大师 | 教育 | 4.1.5 | 深圳心灵屋科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取相机权限、电话权限、存储权限、录音权限和位置权限;2.在注册登录时,以默认方式同意隐私政策;3.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限、录音权限和位置权限;4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 界面劫持风险。 |
162 | 掌中英语 | 教育 | 7.0.1 | 深圳掌英信息科技有限公司 | 1.隐私政策难以访问:App首次运行提示用户阅读同意隐私政策,进入App主界面后,找不到隐私政策;2.隐私政策中未逐一列出获取个人职业的目的、方式、范围;3.征得用户同意前,App私自收集个人IMEI、MAC地址信息;4.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
VII 旅行交通类:序号163-177,共15款 | ||||||
163 | Wcar | 旅行交通 | 270 | 深圳市胜必得电子科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取位置、电话、存储、相机和录音权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.App在用户未使用相关功能或服务时,提前申请获取终端的相机和录音权限;4.未建立并公布个人信息安全投诉、举报渠道。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
164 | 车豆荚 | 旅行交通 | 1.0.77 | 广东酷啦啦网络科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话、位置权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。 | 界面劫持风险。 |
165 | 车行易查违章 | 旅行交通 | 7.0.2 | 广州车行易科技股份有限公司 | 1.在注册登录时,以默认方式同意《车行易用户使用协议》;2.违反必要原则收集个人信息:用户不同意开启非必要的位置权限,拒绝提供咨询分享业务;3.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | |
166 | 嘀嘀虎 | 旅行交通 | 7.0.0.8 | 深圳广联赛讯有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 密钥硬编码漏洞 |
167 | 放假旅游网 | 旅行交通 | 2.9.5 | 广东放假国际旅游股份有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;2.在登录页面,以默认方式同意隐私政策。 | |
168 | 货车宝货车导航 | 旅行交通 | 3.0.1.4 | 深圳市货车宝科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | Janus签名机制漏洞 |
169 | 卡贝 | 旅行交通 | v2.0.3 | 今卡贝区块链(深圳)有限公司 | 1.在注册登录时,以默认方式同意隐私政策;2.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
170 | 两步路户外助手 | 旅行交通 | 6.8.6 | 深圳市两步路信息技术有限公司 | 1.隐私政策中未逐一列出获取身份证号码和证件照片信息和相机权限的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.征得用户同意前,App私自收集个人电话号码信息;4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 密钥硬编码漏洞。 |
171 | 马车保 | 旅行交通 | 4.2.7 | 广东车卫士信息科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取通讯录权限;2.隐私政策中未逐一列出获取绑定银行卡信息及通讯录权限的目的、方式、范围;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.App在用户未使用相关功能或服务时,提前申请获取终端的通讯录权限;5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
172 | 窝友自驾 | 旅行交通 | V9.2.2 | 深圳市窝友之家科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址、IMEI信息;3.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 未移除有风险的Webview系统隐藏接口漏洞。 |
173 | 响车车 | 旅行交通 | 3.2.17.0 | 广州响车车科技有限公司 | 1.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、MAC地址、图片和经纬度信息;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.为注销用户账号设置不必要或不合理条件:要求需身份认证,使用过车辆服务的账号才能注销账号。 | 1.Webview远程代码执行漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
174 | 熊猫签证 | 旅行交通 | 3.15.3 | 深圳市飘飘宝贝有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | 界面劫持风险。 |
175 | 运东东 | 旅行交通 | 4.1.2 | 深圳马蹄圈技术有限公司 | 更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | 界面劫持风险。 |
176 | 长隆旅游 | 旅行交通 | 5.0.1 | 广州长隆集团有限公司 | 1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
177 | 智能ETC | 旅行交通 | 5.0.0 | 深圳市智载科技有限责任公司 | 1.隐私政策中未逐一列出获取个人相机和录音权限的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.征得用户同意前,App嵌入的第三方SDK私自收集个人经纬度信息;4.不给权限不让用:用户不同意开启非必要的位置权限,拒绝提供所有业务功能;5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;6.应用分发平台上的App信息明示不到位:应用分发平台下载页面所明示App的名称与下载安装后的App名称不一致。 | |
VIII 金融理财类:序号178-189,共12款 | ||||||
178 | 白熊保单管家 | 金融理财 | 1.0.2 | 深圳数飞科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限;2.隐私政策中未逐一列出获取个人姓名、出生日期和证件号信息的目的、方式、范围;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.程序反编译风险;2.界面劫持风险;3.动态调试攻击风险;4.so文件注入攻击风险。 |
179 | 布谷农场 | 金融理财 | 3.4.1 | 深圳财富农场互联网金融服务有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
180 | 分期乐 | 金融理财 | 5.14.3 | 深圳市分期乐网络科技有限公司 | 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 界面劫持风险。 |
181 | 广金所 | 金融理财 | V3.42.0 | 广金所信息服务有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 未移除有风险的Webview系统隐藏接口漏洞。 |
182 | 合众e贷财富 | 金融理财 | V4.2.0 | 深圳合众财富金融投资管理有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供修改头像业务;3.更正、删除用户信息及注销用户账号的处理承诺时限(30天)均超过15个工作日。 | |
183 | 金酷 | 金融理财 | 3.3.1 | 深圳市崇广科技有限公司 | 1.隐私政策中未逐一列出获取存储、电话、位置和相机权限的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险;3.HTTPS中间人劫持风险。 |
184 | 平安精选 | 金融理财 | 2.4.1 | 中国平安保险(集团)股份有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;2. 在登录注册页面,以默认方式同意隐私政策;3. 更正、删除用户信息的处理承诺时限(30天)超过15个工作日。 | |
185 | 通付宝 | 金融理财 | 4.6.0 | 通付宝网络技术有限公司 | 1.隐私政策难以访问:进入App主界面后,无法访问到隐私政策2.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息;3.不给权限不让用:用户不同意开启非必要的位置和相机权限,拒绝提供所有业务功能。 | 界面劫持安全 |
186 | 小花借条 | 金融理财 | 1.0.2 | 广东国寿互联网金融信息服务有限公司 | 1.未公开收集使用规则;2.在申请收集用户姓名、身份证号码等敏感信息时,未同步告知用户其目的;3.未提供有效的更正、删除个人信息及注销账号功能。 | |
187 | 信用卡还呗 | 金融理财 | 2.2.2 | 广州方圆围网络科技有限公司 | 1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | |
188 | 长城炼金术 | 金融理财 | 2.0.2 | 长城证券股份有限公司 | 1.隐私政策中未明确列出获取相机权限和收集银行卡和身份证信息的目的、方式、范围;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | 界面劫持风险 |
189 | 掌富易购 | 金融理财 | 3.1.2 | 广州掌富易购跨境电商有限公司 | 未公开收集使用规则:在正常网络环境下,隐私政策无法查看。 | |
IX 健康类:序号190-199,共10款 | ||||||
190 | FloMe | 健康 | 1.7.0 | 广州播种网络科技有限公司 | 在注册时,以默认方式同意隐私政策。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
191 | Wearfit | 健康 | 3.2.10.29 | 深圳市微克科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、位置、相机、电话、通话记录和通讯录权限;2.App在用户未使用相关功能或服务时,提前申请获取终端的相机、读取通话记录和读取联系人权限。 | 界面劫持风险。 |
192 | 百众健康 | 健康 | 2.5.1 | 深圳锦汇健康科技有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。 | 密钥硬编码漏洞。 |
193 | 备孕神器 | 健康 | 1.1.0 | 广州小灵猴科技有限公司 | 1.隐私政策难以访问:进入App主界面后,找不到隐私政策;2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。 | WebView远程代码执行漏洞。 |
194 | 好轻 | 健康 | 3.54 | 珠海云麦科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在注册登录时,以默认方式同意隐私政策。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
195 | 好身材 | 健康 | 3.37 | 深圳市易连物联网有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在注册登录时,以默认方式同意隐私政策。 | |
196 | 康康在线 | 健康 | 8.0.0 | 深圳市迈康信息技术有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI信息。 | |
197 | 轻加减肥 | 健康 | 6.8.6 | 珠海三益堂科技有限公司 | 1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IP地址、IMEI、IMSI等用户信息;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | |
198 | 石榴云医 | 健康 | 3.5.1 | 广州七乐康药业连锁有限公司 | 1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI等用户信息;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.违反必要原则:APP在用户未使用相关功能或服务时,提前申请开启定位权限。 | 界面劫持安全 |
199 | 微马 | 健康 | 2.13.0 | 微马体育控股有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和位置权限;2.隐私政策难以访问:进入App主界面后,找不到隐私政策;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.在注册登录时,以默认方式同意隐私政策;5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | |
X 新闻阅读类:序号200-203,共4款 | ||||||
200 | GGBook看书小说软件 | 新闻阅读 | 9.3.2.5 | 广州市久邦数码科技有限公司 | 1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IMEI、IMSI;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。 | 1、WebView远程代码执行漏洞;2、HTTPS中间人劫持风险;3、界面劫持风险。 |
201 | 九库阅读 | 新闻阅读 | 7.3.3 | 广州萌萌达网络科技有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 违反必要原则收集个人信息:要求用户一次性同意打开相机权限、存储权限和电话权限,用户不同意则无法使用;3. App在用户未使用相关功能或服务时,提前申请获取终端的相机权限。 | |
202 | 手阅 | 新闻阅读 | 1.4.9 | 深圳市手阅网络科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话和位置权限;2.未公开收集使用规则;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.不给权限不让用:用户不同意开启非必要的位置权限,App无法使用;5.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;6.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 |
203 | 招聘天下 | 新闻阅读 | 2.1.2 | 聘宝信息技术(深圳)有限公司 | 1. App首次运行未经用户阅读并同意隐私政策,申请获取存储权限;2. 隐私政策中未逐一列出获取用户姓名和身份证号信息以及申请位置权限和相机权限的目的、方式、范围;3. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4. 在登录页面,以默认方式同意隐私政策。 | |
XI 视音频类:序号204-207,共4款 | ||||||
204 | 蜜桃秀场美女直播 | 视音频 | 5.0.5 | 广州市点润信息技术有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在注册登录页面,以默认方式同意隐私政策。 | 1.Webview远程代码执行漏洞;2.未移除有风险的Webview系统隐藏接口漏洞。 |
205 | 青柠直播 | 视音频 | 2.4.3 | 深圳凡象科技有限公司 | 账号注销难:账号注销成功后提示31天可撤销申请,处理时间超过最长承诺时限15个工作日。 | 1.Janus签名机制漏洞;2.FFmpeg文件读取漏洞。 |
206 | 射手直播 | 视音频 | 6.3.2 | 深圳市时代映像文化传媒有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取电话权限;2.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、IMSI和MAC地址信息;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;4.在注册登录时,以默认方式同意隐私政策。 | 1.Janus签名机制漏洞;2.密钥硬编码漏洞;3.未移除有风险的Webview系统隐藏接口漏洞。 |
207 | 绚铃 | 视音频 | 5.6.2 | 深圳市凯旋通讯技术有限公司 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在登录时,以默认方式同意隐私政策。 | |
XII 办公类:序号208-212,共5款 | ||||||
208 | 扫描王PDF | 办公 | 1.4.5 | 深圳市掌捷科技有限公司 | 在登录页面,以默认方式同意隐私政策。 | |
209 | 扫描仪全能王 | 办公 | 2.4.1 | 深圳市恒创永弘文化传媒有限公司 | 1.在注册登录时,以默认方式同意《用户协议》;2.强制用户使用定向推送功能。 | |
210 | 生意进销存 | 办公 | 4.10.55 | 深圳市百草科技有限公司 | 在注册登录时,以默认方式同意隐私政策。 | 1.程序反编译风险;2.界面劫持风险;3.动态调试攻击风险;4.so文件注入攻击风险。 |
211 | 时光序 | 办公 | 3.8.0 | 花生未来(广州)科技有限公司 | 1.征得用户同意前,App私自收集个人电话号码信息;2.在注册登录时,以默认方式同意隐私政策;3.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | |
212 | 小日常 | 办公 | 2.19.0 | 广州小日常科技有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取电话权限、存储权限、位置权限和读取日历权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在登录时,以默认方式同意隐私政策;4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | |
XIII 娱乐类:序号213-215,共3款 | ||||||
213 | 爱豆IDOL | 娱乐 | 7.5.6 | 深圳市爱豆网络技术有限公司 | 1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限;2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;3.在注册登录时,以默认方式同意隐私政策;4.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息。 | 密钥硬编码漏洞 |
214 | 汕头橄榄台 | 娱乐 | 3.1.0 | 华夏城视网络电视股份有限公司 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 更正、删除用户信息及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。 | |
215 | 占卜大师 | 娱乐 | 3.3 | 深圳市鹏嘉电子有限公司 | App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限。 | 1.界面劫持风险;2.Janus签名机制漏洞。 |
附件2 7款前期通报整改未整改或整改不彻底App名单
序号 | 应用名称 | 开发者 | 版本号 | 侵害用户权益问题 | 安全隐患问题 | 前期通报时间 | 通报版本 |
1 | 掘金宝 | 掘金链科技(深圳)有限公司 | 2.0.1.10 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在申请打开可收集个人信息的权限时,未同步告知用户其目的;3.APP首次运行,用户同意隐私政策前,私自收集“GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI”信息;4.APP在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的权限(存储),骚扰用户。 | 2020年11月26日 | V2.0.0.03 | |
2 | 摇钱花 | 深圳市小赢科技有限责任公司 | 2.18.1 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.在登录时,以默认方式同意隐私政策;3.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传照片功能。 | 2020年12月7日 | 2.14.0 | |
3 | 顺丰金融 | 深圳市顺恒融丰投资有限公司 | V4.3.6 | 1.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息;2.在注册登录时,以默认方式同意隐私政策;3.因用户不同意收集非必要的QQ、邮箱等个人信息,拒绝提供我要留言功能;4.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传图片功能。 | 1.WebView远程代码执行漏洞;2.界面劫持风险。 | 2020年10月23日 | V4.3.2 |
4 | 坐车网 | 广州浩宁智能设备有限公司 | 3.21.209697 | 1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2. 在注册时,以默认方式同意隐私政策;3. 账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。 | 1.HTTPS中间人劫持风险;2.WebView远程代码执行漏洞;3.界面劫持风险;4.Janus签名机制漏洞。 | 2020年10月29日 | 3.18.201551 |
5 | 中邮钱包 | 中邮消费金融有限公司 | 2.9.9 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引,咨询在线客服,客服明确回复未实名认证的账号无需注销。 | 2020年10月23日 | 2.8.6 | |
6 | 华盛通 | 深圳市时代华盛网络科技有限公司 | 2.3.501 | 1.隐私政策中未逐一列出获取个人银行卡信息的目的、方式、范围;2.征得用户同意前,App私自收集个人IMEI信息;3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 2020年11月26日 | V2.3.201 | |
7 | 万联e万通 | 万联证券股份有限公司 | V8.04.30 | 1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;2.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传照片业务;3.为注销用户账号设置不必要或不合理条件:App账号管理界面未提供账号注销菜单入口,通过客服联系时,却为注销用户账号设置不必要或不合理条件(账号使用手机号码注册但未填写姓名、身份证号码等个人信息,但受理注销账号时却要求提供包括姓名、身份证号码才可进行)。 | Janus签名机制漏洞。 | 2020年11月26日 | 8.04.10 |
