209款App被点名 涉及工行、广发等多家银行
1月11日,广东省通信管理局发文,2020年11至12月,共监测发现201款App存在侵害用户权益和安全隐患问题,并依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规对App运营者发出《违法违规App处置通知》,责令限
1月11日,广东省通信管理局发文,2020年11至12月,共监测发现201款App存在侵害用户权益和安全隐患问题,并依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规对App运营者发出《违法违规App处置通知》,责令限期改正并通知各应用商店督促整改。
据移动支付网了解,本批被责令整改的201款侵害用户权益和安全隐患问题App,游戏类30款、金融类30款、工具类26款、生活服务类19款、聊天社交类18款、购物类17款、音乐视频类15款、旅行交通类13款、拍照摄影类8款、教育类7款、医疗健康类7款、办公类6款、新闻阅读类5款。
广东省通信管理局表示本批App侵害用户权益的典型表现有:
A、未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围(146款,占比72.6%);
B、App未通过弹窗告知隐私政策等方式公开收集使用个人信息的规则并征得用户同意前就开始收集个人信息或索取终端相关权限(79款,占比39.3%);
C、App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限(51款,占比25.4%);
D、未按法律规定提供账号注销、删除、更正个人信息功能或未公布相关投诉举报方式(49款,占比24.4%)。
数据安全隐患问题主要有Janus签名机制漏洞、未移除有风险的Webview系统隐藏接口漏洞、界面劫持安全、密钥硬编码漏洞、Java代码反编译风险等。
多款银行App被点名
此次被点名的30款金融类App涉及包括工商银行、广发银行、广州银行、东莞银行、顺德农商银行在内的多家银行,各银行App所存在的问题也各有不同。
以东莞银行为例,东莞银行App存在首次运行未经用户阅读并同意隐私政策前行为监控获取GET_TASK发现检索了应用程序、Android ID、MAC地址、IMEI、IMSI;明确拒绝非必要权限后仍然频繁索要;未在隐私政策中发现描述撤回已同意授权的条款描述;未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围等多个问题。
广发银行旗下广发信用卡发现精彩App则是只有“未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围”一个问题。
此次被点名的App中包括卫盈联信息技术旗下我来数科App,该App存在未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;密钥硬编码漏洞;未移除有风险的Webview系统隐藏接口漏洞等问题。
值得注意的是,卫盈联信息技术为香港金融科技集团WeLab旗下子公司,而WeLab在2019年4月拿下了香港第4张虚拟银行牌照。
WeLab集团的投资方背景雄厚,包括长江和记旗下的TOM集团、马来西亚主权基金Khazanah Nasional Berhad、世界银行集团成员IFC、阿里巴巴创业者基金、红杉资本、建银国际、欧洲大型银行ING等,都在WeLab集团的融资名单上出现过。
来付吧、粤通卡被点名
除了30款金融App之外,在其他类型App中也有与移动支付相关的App被点名。
名单显示,广东联合电子服务股份有限公司旗下粤通卡App因App首次运行未经用户阅读并同意隐私政策,申请获取位置权限;未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;以默认方式同意隐私政策等原因被点名。
粤通卡是广东省全省高速公路联网收费专用缴费卡,目前除了高速公路缴费还可用于停车缴费、加油消费等场景。
粤通卡App则为粤通卡提供配套服务,包括在线购买粤通卡及充值易设备、粤通卡的空中充值、账单查询等功能。
来付吧App属于深圳市前海扫扫科技有限公司旗下,因不给权限不让用:用户拒绝非程序和业务必需的最小必要权限,程序自动退出;未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;首次启动,未经用户阅读并同意隐私政策,应用就申请读取电话状态、获取位置信息和访问外部存储权限等原因被点名。
据企查查显示,深圳市前海扫扫科技有限公司为宜卡科技旗下子全资公司,该公司实际控制人与深圳移卡科技有限公司实际控制人同为刘颖麒。
在华为应用商店中只能找到“来付吧应用卡收还款”App,其版本号与被点名的“来付吧”相同,但是开发者为乐刷科技有限公司。