Keep等APP被通报,技术类问题值得关注!
简评:本次通报中技术类的问题不少,值得关注(均已标红,在此感谢蔡总的分享!)。主要包括以下几类。
1.Janus签名机制漏洞;2.应用签名未校验风险;3.动态调试攻击风险;4.威胁数据安全问题;5.密钥硬编码漏洞;6.zip文件解压目录遍历漏洞;7.应用签名未校验风险;8.动态调试攻击风险;9.应用数据任意备份风险;10界面劫持风险。
北京市通信管理局关于41款问题App的通报
发布时间:2022-09-05 18:20 来源:北京市通信管理局
依据《网络安全法》《数据安全法》《个人信息保护法》《网络产品安全漏洞管理规定》等法律法规,我局组织第三方检测机构对北京地区APP开展技术检测工作。
经检测,2022年8月共发现41款APP存在侵害用户权益和安全隐患等问题,现要求相关APP运营企业立即进行整改并于9月15日前提交整改报告。逾期仍整改不到位的,我局将依法依规予以处置。
特此通报。
附件:北京市通信管理局通报存在问题的APP名单
(联系电话:010-63312622)
附件
北京市通信管理局通报存在问题的APP名单
(2022年8月,共41款)
序号
| 应用名称
| 运营者名称
| 应用版本
| 应用来源
| 所涉问题
|
1
| 捕鱼大作战
| 在线途游(北京)科技有限公司
| 1.270
| vivo 应用商店
| 未经用户同意收集使用个人信息
|
Janus签名机制漏洞
| |||||
应用签名未校验风险
| |||||
动态调试攻击风险
| |||||
2
| 考研帮
| 北京盈禾优仕科技有限责任公司
| 4.2.6
| 华为应用市场
| 强制用户使用定向推送功能
|
未明示收集使用个人信息的目的、方式和范围
| |||||
3
| 花伴侣
| 北京联星时代科技有限公司
| 3.2.10 华为应用市场
| 华为应用市场
| 强制用户使用定向推送功能
|
违规收集个人信息
| |||||
4
| 照片拼图趣
| 北京易晨科技有限公司
| 9.2.7 OPPO软件商店
| OPPO软件商店
| 违规收集个人信
|
账号注销困难
| |||||
5
| TouchRetouch
| 北京佳友商贸有限公司
| 4.4.13
| 百度手机助手
| 违规收集个人信息
|
账号注销困难
| |||||
6
| 闪光视频
| 伊普西龙信息科技(北京)有限公司
| 1.65.0
| 华为应用市场
| 强制用户使用定向推送功能
|
违规收集个人信息
| |||||
7
| Volvo On Road
| 北京阳光达车辆技术有限公司
| v1.0.6.1103
| 百度手机助手
| 违规收集个人信息
|
账号注销困难
| |||||
8
| 工作蜂水印相机
| 北京自由视觉科技有限公司
| 4.9.0
| 华为应用市场
| App 强制、频繁、过度索取权限
|
强制用户使用定向推送功能
| |||||
违规收集个人信息
| |||||
9
| 最美证件照
| 开元泽通投资咨询(北京)有限公司
| 1.7.0
| 华为应用市场
| 强制用户使用定向推送功能
|
违规收集个人信息
| |||||
10
| 发型酷酷(Hairstyle Makeover)
| 北京三江七泽科技有限公司
| 19.0
| VIVO应用市场
| 强制用户使用定向推送功能
|
违规收集个人信息
| |||||
账号注销困难
| |||||
11
| 照片拼图编辑-拼图
| 北京白鱼入舟科技有限公司
| 2.7.2
| VIVO应用市场
| 违规收集个人信息
|
账号注销困难
| |||||
12
| Picsart美易全能编辑器
| 北京美易互动信息技术有限公司
| 19.8.51
| OPPO软件商店
| 违规收集个人信息
|
13
| 轻图-一键P出红人同款
| 亿睿科信息技术(北京)有限公司
| 3.2.5
| VIVO应用市场
| 强制用户使用定向推送功能
|
违规收集个人信息
| |||||
14
| 证件照拍照
| 北京尔湾生活网络科技有限公司
| 4.3.0
| 华为应用市场
| 强制要求用户同意收集个人信息
|
强制用户使用定向推送功能
| |||||
违规收集个人信息
| |||||
15
| 老照片修复-智能修复
| 北京图助鹏梦科技有限公司
| 4.4.1
| VIVO应用市场
| 个人信息收集发生在用户同意前
|
应用收集信息未在隐私政策中申明
| |||||
16
| 魔镜大师-美妙的镜像效果
| 北京曙光无限科技有限公司
| 3.87
| VIVO应用市场
| 强制用户使用定向推送功能
|
违规收集个人信息
| |||||
17
| 免费证件照
| 1.7.3
| 华为应用市场
| 强制用户使用定向推送功能
| |
违规收集个人信息
| |||||
18
| 720云
| 北京微想科技有限公司
| 3.4.9
| 华为应用市场
| 违规收集个人信息
|
19
| 鲱鱼罐头
| 逻辑起点科技(北京)有限公司
| 5.2.11
| 华为应用市场
| 违规收集个人信息
|
账号注销困难
| |||||
20
| 漫芽糖
| 北京枫谷科技有限公司
| 7.3.6
| 腾讯应用宝
| App 强制、频繁、过度索取权限
|
强制用户使用定向推送功能
| |||||
违规收集个人信息
| |||||
21
| 照片修复大全
| 庞赛(北京)信息科技有限公司
| 2.2.2
| VIVO应用市场
| 强制用户使用定向推送功能
|
违规收集个人信息
| |||||
22
| keep
| 北京卡路里信息技术有限公司
| 7.32.0
| 小米应用商店
| 威胁数据安全问题
|
密钥硬编码漏洞
| |||||
zip文件解压目录遍历漏洞
| |||||
23
| Zepp Life
| 华米(北京)信息科技有限公司
| 6.2.1
| 小米应用商店
| App频繁自启动和关联启动
|
威胁数据安全
| |||||
应用签名未校验风险
| |||||
动态调试攻击风险
| |||||
zip文件解压目录遍历漏洞
| |||||
24
| 蜗牛睡眠
| 赛博龙科技(北京)有限公司
| 6.5.0
| 腾讯应用宝
| 未明示收集使用个人信息的目的、方式和范围
|
App频繁自启动和关联启动
| |||||
应用数据任意备份风险
| |||||
25
| PICOOC
| 缤刻普锐(北京)科技有限责任公司
| 4.7.2
| 华为应用市场
| 未明示收集使用个人信息的目的、方式和范围
|
应用签名未校验风险
| |||||
密钥硬编码漏洞
| |||||
动态调试攻击风险
| |||||
应用数据任意备份风险
| |||||
zip文件解压目录遍历漏洞
| |||||
26
| 趣动Will Go
| 北京趣动科技有限公司
| 2.8.8
| 华为应用市场
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则收集个人信息
| |||||
27
| 妙健康
| 北京妙医佳健康科技集团有限公司
| 5.5.8
| 腾讯应用宝
| 未经用户同意收集使用个人信息
|
威胁数据安全问题
| |||||
zip文件解压目录遍历漏洞
| |||||
28
| 蓝基因
| 北京蓝基因科技有限公司
| 7.5.6
| 华为应用市场
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则
| |||||
违规向他人提供个人信息
| |||||
应用签名未校验风险
| |||||
密钥硬编码漏洞
| |||||
动态调试攻击风险
| |||||
应用数据任意备份风险
| |||||
zip文件解压目录遍历漏洞
| |||||
29
| 国中康健
| 国中康健集团有限公司
| 1.18.517
| 华为应用市场
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则收集个人信息
| |||||
Janus签名机制漏洞
| |||||
应用数据任意备份风险
| |||||
30
| POP Fit
| 北京桃子无限科技发展有限公司
| 1.2.4
| 华为应用市场
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则
| |||||
违反必要原则收集个人信息
| |||||
账号注销难
| |||||
应用签名未校验风险
| |||||
动态调试攻击风险
| |||||
界面劫持风险
| |||||
应用数据任意备份风险
| |||||
zip文件解压目录遍历漏洞
| |||||
31
| 百通医学
| 北京百通世纪科技有限公司
| 6.7.3
| 腾讯应用宝
| 未明示收集使用个人信息的目的、方式和范围
|
未经用户同意收集使用个人信息
| |||||
强制用户使用定向推送功能
| |||||
违反必要原则收集个人信息
| |||||
违反必要原则
| |||||
动态调试攻击风险
| |||||
界面劫持风险
| |||||
应用数据任意备份风险
| |||||
32
| 灵兰中医
| 北京灵兰精诚中医科技有限公司
| 3.1.1
| 百度手机助手
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则
| |||||
应用签名未校验风险
| |||||
动态调试攻击风险
| |||||
界面劫持风险
| |||||
zip文件解压目录遍历漏洞
| |||||
33
| 光猪圈健身
| 北京中体联合数据科技有限公司
| 3.14.2
| 腾讯应用宝
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则
| |||||
账号注销难
| |||||
应用签名未校验风险
| |||||
动态调试攻击风险
| |||||
界面劫持风险
| |||||
应用数据任意备份风险
| |||||
zip文件解压目录遍历漏洞
| |||||
34
| 医网信
| 北京数字医信科技有限公司
| 6.2.1
| 小米应用商店
| 未明示收集使用个人信息的目的、方式和范围
|
未经用户同意收集使用个人信息
| |||||
35
| 爱武艺
| 北京爱武艺科技有限公司
| 7.0.3
| vivo应用商店
| 未明示收集使用个人信息的目的、方式和范围
|
强制用户使用定向推送功能
| |||||
违反必要原则
| |||||
动态调试攻击风险
| |||||
应用数据任意备份风险
| |||||
36
| 大象冥想
| 赛博龙科技(北京)有限公司
| 2.2.5
| vivo应用商店
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则收集个人信息
| |||||
应用数据任意备份风险
| |||||
37
| 薄荷轻断食
| 北京老虎创想科技有限公司
| 1.5.5
| 腾讯应用宝
| 未明示收集使用个人信息的目的、方式和范围
|
账号注销难
| |||||
应用签名未校验风险
| |||||
密钥硬编码漏洞
| |||||
动态调试攻击风险
| |||||
界面劫持风险
| |||||
应用数据任意备份风险
| |||||
38
| 生命说商城
| 生命说(北京)健康管理有限公司
| 1.0.61
| 腾讯应用宝
| 未明示收集使用个人信息的目的、方式和范围
|
未经用户同意收集使用个人信息
| |||||
密钥硬编码漏洞
| |||||
zip文件解压目录遍历漏洞
| |||||
39
| 长垣体育
| 北京合力金智科技发展有限公司
| 1.0.8
| vivo应用商店
| 未明示收集使用个人信息的目的、方式和范围
|
威胁数据安全问题
| |||||
应用签名未校验风险
| |||||
动态调试攻击风险
| |||||
应用数据任意备份风险
| |||||
zip文件解压目录遍历漏洞
| |||||
违反必要原则收集个人信息
| |||||
40
| 慧加家园
| 北京慧加医学信息咨询有限公司
| 1.1.0
| vivo应用商店
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则收集个人信息
| |||||
违规向他人提供个人信息
| |||||
41
| 贝易寿
| 北京三满多福企业管理有限公司
| 1.1.6
| 华为应用市场
| 未明示收集使用个人信息的目的、方式和范围
|
违反必要原则收集个人信息
| |||||
违反必要原则
| |||||
违规向他人提供个人信息
| |||||
账号注销难
| |||||
威胁数据安全问题
| |||||
应用签名未校验风险
| |||||
动态调试攻击风险
| |||||
应用数据任意备份风险
| |||||
zip文件解压目录遍历漏洞
|