官方测试9款手机阅读器小我信息搜集情状，陈述公布！

近期，中国收集空间平安协会、国度计算机收集应急手艺处置协调中心对“阅读器类”公家大量利用的部门App搜集小我信息情状停止了测试。测试情状及成果如下：

一、测试对象

本次测试拔取了19家利用商铺⁽¹⁾累计下载量到达1亿次的“阅读器类”App，共计9款，其根本情状如表1。

表1 9款App根本情状

二、测试办法

（一）测试情况

本次测试拔取不异品牌、型号的手机末端，安拆不异版本安卓操做系统，别离摆设9款App，在不异收集情况下停止同步操做。

（二）测试场景

以完成一次互联网信息阅读活动做为测试单位，包罗启动App、搜刮信息、拜候信息3种用户利用场景，以及后台寂静利用场景⁽²⁾。

（三）测试内容

本次测试包罗系统权限挪用、小我信息上传、收集上传流量3项内容。

三、测试成果

（一）系统权限挪用情状

测试发现，9款App在4种场景下挪用了位置、设备信息、剪切板、利用列表、相册5类系统权限，未发现挪用麦克风、通信录等其他权限。

（1）在启动App场景中，挪用系统权限品种最多的为悟空阅读器（5类），挪用系统权限次数最多的为UC阅读器（88次）。详细情状如表2。

展开全文

表2 启动App场景挪用系统权限情状

（2）在搜刮信息场景中，挪用系统权限品种最多的为小米阅读器和搜狗阅读器极速版（均为3类），挪用系统权限次数最多的为小米阅读器（12次）。详细情状如表3。

表3 搜刮信息场景挪用系统权限情状

（3）在拜候信息场景中，通过阅读器翻开网站时，挪用系统权限品种和次数最多的均为悟空阅读器（2类、5次）；通过阅读器下载文件时，挪用系统权限次数最多的为UC阅读器和悟空阅读器（均为2次）。详细情状如表4。

表4 拜候信息场景挪用系统权限情状

（4）在后台寂静场景中，挪用系统权限品种最多的为UC阅读器、夸克、360阅读器、悟空阅读器（均为2类），挪用系统权限次数最多的为360阅读器（16次）。详细情状如表5。

表5 后台寂静场景挪用系统权限情状

（二）小我信息上传情状

测试发现，9款App上传了4品种型小我信息⁽³⁾：①位置信息，包罗经纬度、街道地址、当前毗连Wi-Fi MAC地址、当前毗连基站信息、周边可用Wi-Fi MAC地址；②独一设备识别码，包罗IMEI（国际挪动设备识别码）、Android ID（安卓ID）、OAID（开放匿名设备标识符）、手机MAC地址；③利用列表信息，包罗手机上已安拆、新安拆、新卸载的利用信息；④用户在App内的截图操做信息。

（1）在启动App场景中，小我信息上传品种最多的为UC阅读器（4类）。详细情状如表6。

表6 启动App场景小我信息上传情状

（2）在搜刮信息场景中，小我信息上传品种最多的为悟空阅读器（2类）。详细情状如表7。

表7 搜刮信息场景小我信息上传情状

（3）在拜候信息场景中，通过阅读器翻开网站时，小我信息上传品种最多的为小米阅读器和悟空阅读器（均为2类）；通过阅读器下载文件时，小我信息上传品种最多的为UC阅读器和360阅读器（均为2类）。详细情状如表8。

表8 拜候信息场景小我信息上传情状

（4）在后台寂静场景中，小我信息上传品种最多的为UC阅读器（3类）。详细情状如表9。

表9 后台寂静场景小我信息上传情状

（三）收集上传流量情状

（1）9款App在用户完成一次网站阅读活动（启动App、搜刮信息、翻开网站）时，上传数据流量均匀⁽⁴⁾最多的为悟空阅读器，约为1608KB；均匀起码的为小米阅读器，约为472KB。详细情状如图1。

图1 完成一次网站阅读活动的均匀上传数据流量（单元：KB）

（2）9款App在用户完成一次文件下载活动（启动App、搜刮信息、下载文件）时，上传数据流量均匀⁽⁵⁾最多的为QQ阅读器，约为1994KB；均匀起码的为小米阅读器，约为152KB。详细情状如图2。

图2 完成一次文件下载活动的均匀上传数据流量（单元：KB）

（3）9款App后台寂静12小时，上传数据流量均匀⁽⁶⁾最多的为UC阅读器，约为2506KB；均匀起码的为华为阅读器，约为87KB。详细情状如图3。

图3 后台寂静12小时均匀上传数据流量（单元：KB）

正文：

⁽¹⁾包罗华为利用市场、小米利用商铺、腾讯利用宝、OPPO软件商铺、VIVO利用市场、360手机助手、百度手机助手、豌豆荚手机助手、历趣利用商铺、乐商铺、魅族利用商铺、挪动MM商铺、承平洋下载、中关村在线、木蚂蚁安卓利用市场、多特软件站、华军软件园、西西软件园、绿色资本网。

⁽²⁾启动App指用户点击阅读器图标启动App至首页加载完毕；搜刮信息指用户搜刮一个网站或文件，至搜刮成果加载完毕；拜候信息指用户点击一条搜刮成果停止阅读（当搜刮成果为一个网页时）或下载（当搜刮成果为一个文件时）；后台寂静指用户启动阅读器后，间接切换到后台连结寂静形态。

⁽³⁾不包罗用户拜候互联网产生的交互信息。例如，用户阅读银行网站时，可能向网站传输身份证号、银行卡号、取款密码等信息，在此过程中阅读器仅根据收集协议向网站转发数据，自己不搜集上述信息。

⁽⁴⁾共反复测试10次。

⁽⁵⁾共反复测试10次。

⁽⁶⁾共反复测试6次。

来源：国度互联网应急中心CNCERT微信公家号

流程编纂：tf028