请查收→10月安全专项评测报告

一、10月测试情况回顾

10月共检测950款应用，未达标应用282款，其中228款应用未通过安全标准检测，占未达标应用的80.9%，占比最高。应用高危权限使用不当、存在隐私违规行为，依旧是导致安全标准未通过的主要原因，分别占未通过安全检测应用总数的70.6%、41.2%。

二、数据分析

在隐私检测项中发现，违规收集个人信息的应用占比最高，为78.5%，典型场景为隐私声明中未清晰明示第三方SDK收集和处理数据的目的、方式和范围，常见的包括极光、个推等SDK获取IMSI信息、应用列表信息等。超范围收集个人信息占比为14%，其高频表现为APP或内嵌三方SDK获取GPS定位信息、系统安装的应用程序数据，未在隐私声明中告知用户。

对于高危权限检测项，应用违规调用android.permission.CALL_PHONE（拨打电话）权限占比为67%，其中便捷生活、金融理财、实用工具类应用的表现较突出，开发者需重点关注！

三、典型案例分析及解决方案

1.某汽车类APP滥用

android.permission.CALL_PHONE权限

问题应用：懂×帝

版本号：7.3.0

具体问题：在用户与销售顾问拨打电话的场景中，点击“免费咨询”按钮后直接拨打电话。

解决方案：对于拨打电话功能，除一键报警、安全专线、网络会议等必须场景外，其他场景禁止申请android.permission.CALL_PHONE权限。建议开发者可以使用Intent.Action_DIAL，启动Android系统的拨号应用程序，调起拨号界面，然后由用户进行手动拨号。这种方式不需要任何权限的设置。

2.某出行导航类APP静默后台时超高频次获取GPS定位信息

问题应用：Earth×球

版本号：3.6.1

具体问题：测试人员在完成APP功能遍历后，静默后台时，在测试工具中监控到该APP超高频次获取GPS定位信息。同时发现该APP隐私声明中未向用户明示其收集GPS定位信息的频率。

解决方案：APP在静默后台，且未执行任何后台任务的场景下，不应收集GPS位置信息。

3.某新闻阅读类APP申请无关权限

问题应用：凤×新闻

版本号：7.56.1

具体问题：测试人员在浏览新闻资讯的场景下，将信息分享至微博三方平台时，该APP向用户索要存储权限，拒绝授权则无法分享。当测试人员选择分享至微信时，显示可以对外分享。如下图所示：

解决方案：APP在分享至QQ、微信、微博等第三方外部平台时，不应索取存储权限。应用权限申请必须遵循最小化原则，只申请业务功能所必要的权限，禁止申请不必要的权限。

END