【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（1012-1025）

●最新监管动态

监管通报动态

●监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的 APP 各类型占比分析  

01 最新监管动态

1. 监管通报动态

10 月 20 日，上海通管局依据相关法律法规，对 APP（SDK）侵害用户权益的违规行为持续开展整治。经抽测，发现 42 款 APP（SDK）存在侵害用户权益行为，对未能在限期内完成整改并提交报告的，上海通管局将依法依规予以处理。

10 月 22 日，工信部依据相关法律法规的要求，对智能终端违法违规收集使用个人信息等问题开展治理，经抽查，共发现 20 款智能终端存在侵害用户权益行为，整改落实不到位的，工信部依法依规组织开展相关处置工作。

10 月 28 日，浙江通管局依据相关法律法规的要求，持续加大对 APP 侵害用户权益的整治力度。浙江通管局对此前公开通报侵害用户权益行为的 APP 开展 " 回头看 " 专项复查，经核查，共发现 18 款 APP 仍存在问题整改不彻底、不到位的情况，浙江通管局采取下架处理。

02 监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的 APP 数据，从 APP 行业分类及 TOP3 问题数据两方面来说明。

1 ) 问题行业 TOP3：

学习教育类

实用工具类

本地生活类

2 ) 隐私合规问题 TOP3：

TOP1：认定方式 2-1 未逐一列出 APP ( 包括委托的第三方或嵌入的第三方代码、插件 ) 收集使用个人信息的目的、方式、范围等；

TOP2：26 号文一 - ( 三 ) -9 明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则，如发生变动，应及时告知用户最新情况。突出显示敏感个人信息的处理目的、方式和范围，建立已收集个人信息清单，不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则；

TOP3：认定方法 3-1 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及 APP 数量如下：

问题分类	问题数量
191-2 未明示收集使用个人信息的目的、方式和范围	37
164-1 违规收集个人信息	15
191-1 未公开收集使用规则	13
164-2 超范围收集个人信息	12
164-5 APP 强制、频繁、过度索取权限	11
191-6 未按法律规定提供删除或更正个人信息功能 " 或 " 未公布投诉、举报方式等信息	10
164-6 APP 频繁自启动和关联启动	6
164-4 强制用户使用定向推送	2
26 号文 信息窗口乱跳转	2
164-3 违规使用个人信息	1
164-9 应用分发平台上的 APP 信息明示不到位	1
总计	110

针对国家近两周监管通报数据，依据 APP 类型，统计出现通报的 APP 数量如下：

APP 类型	APP 数量
邮件快件寄递类	28
实用工具类	14
其他	13
学习教育类	6
网上购物类	5
求职招聘	3
本地生活类	2
房屋租售类	1
网络直播类	1
总计	73

03 漏洞风险分析

从全国的 Android APP 中随机抽取了 4,057 款进行漏洞检测发现，存在中高危漏洞威胁的 APP 为 3,164 个，即 77.99%% 以上的 APP 存在中高危漏洞风险。而这 3,164 款漏洞应用中，有高危漏洞的应用共 2,333 款，占比 73.74%，有中危漏洞的应用共 3,071 款，占比 97.06%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的 APP 占比如下：

各漏洞类型占比分析

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为 Java 代码反编译风险、HTTPS 未校验主机名漏洞以及动态注册 Receiver 风险。各漏洞类型占比情况如下图所示：

存在漏洞的 APP 各类型占比分析

从 APP 类型来看，实用工具类 APP 存在漏洞风险最多 , 占漏洞 APP 总量的 22.3%，其次为教育学习类 APP，占比 11.97%，生活服务类 APP 位居第三，占比 10.03%，漏洞数量排名前十的类型如下图所示：