当前位置: 广东省通信管理局 > 新闻动态 > 工作动态

215款App被广东省通信管理局责令限期整改(2021年1月)

发布时间:2021-02-23 18:34 来源:广东省通信管理局

2021年1月,广东省通信管理局共监测发现215款App存在侵害用户权益和安全隐患问题(详见附件1),并依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规对App运营者发出《违法违规App处置通知》,责令限期整改并通知各应用商店督促整改。另外,对于前期已通报App整改进度进行核查复测,发现仍有7款App未整改或整改不彻底(详见附件2),再次公开通报。

c74a51f210ee46a6adea9c111e4e37af

本批被责令整改的215款侵害用户权益和安全隐患问题App中,游戏类45款、工具类38款、生活服务类22款、购物类20款、社交类19款,教育类18款,旅行交通类15款,金融理财类12款,健康类10款,新闻阅读类4款,视音频类4款、办公类5款、娱乐类3款。

本批App侵害用户权益的典型表现有:一是未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围(129款,占比60%),二是未经用户阅读并同意隐私政策,提前申请获取终端权限(69款,占比55.2%),三是App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限(49款,占比39.2%),四是未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引(48款,占比21.5%);数据安全隐患问题主要有Janus签名机制漏洞、未移除有风险的Webview系统隐藏接口漏洞、界面劫持安全、密钥硬编码漏洞、应用备份风险等。

在315消费者权益日即将到来之际,广东省通信管理局将持续加大巡查力度,及时发现并通报侵犯用户权益的App,同时加强对已通报App及其运营者关联App进行跟踪复查,如有必要坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光等措施,依法严厉处置,切实维护App用户合法权益和网络安全秩序。

 

附件1:215款被广东省通信管理局责令整改App名单

附件2:7款前期通报整改未整改或整改不彻底App名单

 

广东省通信管理局   

2021年2月22日   

附件1

215款被广东省通信管理局责令整改App名单

共215款侵害用户权益App,其中116款同时存在网络数据安全隐患问题。215款APP共涉及13个大类,其中游戏类45款、工具类38款、生活服务类22款、购物类20款、社交类19款,教育类18款,旅行交通类15款,金融理财类12款,健康类10款,新闻阅读类4款,视音频类4款、办公类5款、娱乐类3款。

序号

App名称

分类

版本号

公司名称

侵害用户权益问题

安全隐患问题

I 游戏类:序号1-45,共45款

1

冰雪皇家婚礼

游戏

2.0.9

深圳云步互娱网络科技有限公司

1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;
  2.处理更正、删除个人信息问题的承诺时限超过 15个工作日。

应用备份风险

2

超级飞鸟

游戏

1.2.6

深圳市微谷时代科技有限公司

1.隐私政策等公示文本中没有列举说明获取存储和录音权限的目的、方式、范围,且未逐一列出第三方SDK收集个人信息的目的、方式、范围;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的位置和录音权限。


3

单机星星消消乐

游戏

V10.36

深圳市泰尚科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取位置权限;
  2.未公开收集使用规则;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

Janus签名机制漏洞

4

动感小飞侠

游戏

1.5.2

深圳市微谷时代科技有限公司

1.隐私政策等公示文本中没有列举说明获取存储权限的目的、方式、范围,且未逐一列出第三方SDK收集个人信息的目的、方式、范围;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。


5

动漫英雄大作战

游戏

1.2.4

深圳市乐云无线科技有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.未经用户阅读隐私政策,应用就申请获取位置信息、存储和电话状态信息权限;
  3.未建立并公布个人信息安全投诉、举报渠道。

应用备份风险

6

俄罗斯方块消消消

游戏

1.2.7

深圳市唯变科技开发有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限。


7

凤凰座出击

游戏

3.7

广州银辉通讯科技有限公司

1.隐私政策难以访问:进入App主界面后,无法找到隐私政策;
  2.隐私政策等公示文本中没有列举说明获取存储权限的目的、方式、范围;
  3.未建立并公布个人信息安全投诉、举报渠道;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。


8

公主小游戏

游戏

3.8

深圳市童娱网络科技有限公司

1.   App首次运行未经用户阅读并同意隐私政策,申请获取位置权限;
  2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3. App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

Janus签名机制漏洞。

9

幻城

游戏

1.2.43

广州银汉科技有限公司

1.APP中未发现隐私政策;
  2.未经用户阅读并同意隐私政策,申请存储、位置信息、电话状态和短信权限;
  3.未建立并公布个人信息安全投诉、举报渠道。


10

僵尸榨汁机

游戏

1.5.2

金萪哲信(深圳)科技有限公司

1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;
  2.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限;

应用备份风险

11

开心萌萌大作战

游戏

1.1

深圳市掌上畅游科技有限公司

1.隐私政策难以访问:App首次运行提示用户阅读同意隐私政策,进入App主界面后,点击隐私政策链接,未找到相关内容;
  2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。

Janus签名机制漏洞

12

恐怖故事

游戏

1.3.1

深圳市天逸之夏网络科技有限公司

1.隐私政策难以访问:App首次运行提示用户阅读同意隐私政策,进入App主界面后,找不到隐私政策;
  2.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、MAC地址信息;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

1.Janus签名机制漏洞;
  2.密钥硬编码漏洞;
  3.Webview远程代码执行漏洞;
  4.未移除有风险的Webview系统隐藏接口漏洞。

13

龙珠觉醒

游戏

2.9.0

深圳市豆悦网络科技有限公司

未经用户阅读并同意隐私政策,申请存储和电话状态信息权限。


14

迷你动物大作战

游戏

1.4.3

深圳市微谷时代科技有限公司

隐私政策难以访问:进入App主界面后,找不到隐私政策。


15

密室逃脱1逃离地牢

游戏

666.19.06

深圳市火星人互动娱乐有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.APP中未发现隐私政策;
  3.未经用户阅读隐私政策,应用就申请获取电话状态信息权限;
  4.未建立并公布个人信息安全投诉、举报渠道。


16

明日之后

游戏

1.0.175

广州泳泳信息科技有限公司

未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限。


17

泡泡精灵传奇

游戏

2.6.25.1124.044

深圳云步互娱网络科技有限公司

1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;
  2.处理更正、删除个人信息问题的承诺时限超过 15个工作日。

应用备份风险

18

拼图发烧友

游戏

1.0.9

深圳市全支付科技开发有限公司

1.未经用户阅读并同意隐私政策,申请存储、电话状态和位置信息权限;
  2.未建立并公布个人信息安全投诉、举报渠道;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。


19

倩女幽魂

游戏

1.8.8

广州银汉科技有限公司

未经用户阅读隐私政策,应用就申存储和电话状态信息权限。


20

枪战英雄

游戏

0.6.4.042

广州四三九九信息科技有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.APP中未发现隐私政策;
  3.未建立并公布个人信息安全投诉、举报渠道。


21

亲吻猫咪

游戏

23.0

广州银辉通讯科技有限公司

1.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;
  2.隐私政策等公示文本中没有列举说明获取存储权限的目的、方式、范围,且未逐一列出第三方SDK收集个人信息的目的、方式、范围;
  3.未建立并公布个人信息安全投诉、举报渠道。


22

球球与白块

游戏

1.3.2

深圳市飞鸟与鱼科技开发有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.APP中未发现隐私政策;
  3.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限;
  4.未建立并公布个人信息安全投诉、举报渠道。


23

全民彩金捕鱼

游戏

3.19.0

深圳千里之星网络科技有限公司

1.政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
  2.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账户、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
  3.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
  4.收集个人信息的频度等超出业务功能实际所需;
  5.未提供有效的更正、删除个人信息及注销用户账号功能。

1.存在Janus签名机制漏洞;
  2.存在动态注入的风险;
  3.未移除有风险的Webview系统隐藏接口。

24

热血大作战:真奇迹

游戏

1.4.9.1

广州兆熙信息科技有限公司

1.未公开收集使用规则;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的录音权限。

1.HTTPS中间人劫持风险;
  2.WebView远程代码执行漏洞;
  3.界面劫持风险;
  4.Janus签名机制漏洞。

25

三国伏魔录

游戏

1.9.17

深圳酷饭科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话和位置权限;
  2.隐私政策中未逐一列出获取存储和位置权限的目的、方式、范围;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

界面劫持风险。

26

三国世界

游戏

3.4.9

深圳市皇聚游戏开发有限公司

1.在App隐私政策中没有收集使用个人信息规则;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.Janus签名机制漏洞。

27

蛇蛇白块大作战

游戏

1.1.3

深圳市全支付科技开发有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.APP中未发现隐私政策;
  3.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限;
  4.未建立更正、删除个人信息的渠道;
  5.未建立并公布个人信息安全投诉、举报渠道。


28

时空召唤

游戏

5.0.0

广州银汉科技有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.隐私政策中没有列举说明获取短信权限的目的、方式、范围;
  3.未经用户阅读隐私政策,应用就申请获取相机、位置信息、存储、录音、电话状态信息、和短信权限。


29

史上最难强迫症游戏2

游戏

2.7.3

深圳市四海软件有限公司

1.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;
  2.未建立处理更正、删除个人信息问题的渠道;
  3.未建立并公布个人信息安全投诉、举报渠道;
  4.账号注销难:应用内未发现注销账号功能

应用备份风险

30

数独大全

游戏

1.0.4

深圳市飞鸟与鱼科技开发有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.APP中未发现隐私政策;
  3.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限;
  4.未建立更正、删除个人信息问题的渠道;
  5.未建立并公布个人信息安全投诉、举报渠道;

应用备份风险

31

四海单机斗地主

游戏

1.3.6

深圳市四海软件有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.APP中未发现隐私政策。

应用备份风险

32

四人麻将

游戏

2.2.1

深圳市四海软件有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.APP中未发现隐私政策;

应用备份风险

33

坦克世界闪击战

游戏

7.5.0.109

广州泳泳信息科技有限公司

1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI等用户信息;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


34

跳跳跳方块

游戏

1.2.7

深圳市飞鸟与鱼科技开发有限公司

未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限。


35

小小突击队

游戏

2.0.5

广州四三九九信息科技有限公司

1.账号注销难:应用内未发现注销账号功能;
  2.应用内集成多个可收集个人信息的第三方SDK,但未在隐私政策逐一列明及其收集使用个人信息的目的、方式和范围;
  3.未建立并公布个人信息安全投诉、举报渠道;

应用备份风险

36

新剑侠情缘

游戏

2.20.1

珠海剑心互动娱乐有限公司

1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


37

星空传奇:爆装传奇

游戏

8.0.1

深圳乐游无限网络科技有限公司

1.   App首次运行未经用户阅读并同意隐私政策,申请获取电话、存储权限;
  2. 隐私政策难以访问:进入App主界面后,找不到隐私政策;
  3. 账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;
  4. 未建立并公布个人信息安全投诉、举报渠道。


38

绚丽切水果

游戏

2.8

深圳市时间坊贸易有限公司

1.APP中未发现隐私政策;
  2.未经用户阅读隐私政策,应用就申请获取存储权限。


39

叶罗丽

游戏

16.0.1

深圳智梦星科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取电话和存储权限;
  2.隐私政策中未明确列出获取个人存储权限的目的、方式、范围;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、IMSI和MAC地址信息;
  5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.Janus签名机制漏洞;
  2.密钥硬编码漏洞。

40

一梦江湖

游戏

45.0

广州泳泳信息科技有限公司

未经用户阅读并同意隐私政策,申请获取存储和电话状态信息权限。


41

一跳到底

游戏

1.4.4

深圳市乐云无线科技有限公司

1.不给权限不让用:用户拒绝授予存储和电话状态权限后,无法正常使用应用;
  2.APP中未发现隐私政策;
  3.未经用户阅读隐私政策,应用就申请获取位置信息、存储和电话状态信息权限。

应用备份风险

42

有礼包

游戏

5.2.0

广州油梨信息科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 在登录页面,以默认方式同意隐私政策。


43

真人天天斗地主

游戏

5.10.066

深圳市禅游互动娱乐有限公司

账号注销难:应用内未发现注销账号功能。


44

正中靶心

游戏

2.3.0

深圳市掌娱无限科技有限公司

1.APP中未发现隐私政策;
  2.未经用户阅读隐私政策,应用就申请获取存储和电话状态信息权限。


45

子弹先生狙击战场

游戏

1.6.0

深圳市优智信息技术有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话和位置权限;
  2.隐私政策难以访问:App首次运行提示用户阅读同意隐私政策,进入App主界面后,找不到隐私政策;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

1.Janus签名机制漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

II 工具类:序号46-83,共38款

46

Badam维语输入法

工具

6.92.0

广州智品网络科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取电话、定位、通话记录、通讯录和存储权限;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的定位、通话记录和通讯录权限。


47

Excel表格制作

工具

V12.5

深圳上翼技术有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


48

V380   Pro

工具

1.3.3

广州市宏视电子技术有限公司

更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。


49

宝宝取名

工具

1.9

深圳市软游天下信息科技有限公司

1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、IMEI、IMSI等用户信息;
  2.在申请打开可收集个人信息的存储权限时,未同步告知用户其目的。


50

宝妈帮

工具

3.2

广州市广商网络科技有限公司

App首次运行未经用户阅读并同意隐私政策,申请获取存储权限。

WebView远程代码执行漏洞。

51

畅行车管通

工具

3.6

深圳市国脉畅行科技股份有限公司

隐私政策中未明确列出获取相机权限的目的、方式、范围。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.Janus签名机制漏洞。

52

超级录屏

工具

1.2.2.4

广州飞磨投资中心(有限合伙)

1.违反必要原则收集个人信息:用户不同意开启非必要的位置权限,拒绝提供视频功能;
  2.在申请打开可收集用户位置敏感权限时,未同步告知用户其目的。


53

分付宝

工具

4.3.6

深圳市数字资本管理有限公司

1.隐私政策中未逐一列出获取姓名、身份证个人信息及个人存储、电话、相机和位置权限的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的位置和相机权限;
  4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

54

高考蜂背

工具

7.0.17

广州蜂背网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.未提供有效的更正、删除个人信息功能;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。


55

黑猫控车

工具

1.5.26

东莞市黑猫信息科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.Janus签名机制漏洞。

56

欢乐记账

工具

1.1.9

广州迪安斯云科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、位置和电话权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

界面劫持风险。

57

欢游

工具

1.2.0-13331

广州沙巴克网络科技有限公司

 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.Janus签名机制漏洞。

58

芥子空间

工具

1.1.59

广州猎游娱乐有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

FFmpeg文件读取漏洞。

59

口袋兼职

工具

5.0.8

广州极豆网络科技有限公司

1.   App首次运行未经用户阅读并同意隐私政策,申请获取存储和位置权限;
  2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3. App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。


60

来电科技

工具


深圳来电科技有限公司

1.在申请收集位置权限时,未同步告知用户其目的;
  2.未公开收集使用规则;
  3.账号注销难:未提供有效的注销账号功能,小程序账号管理界面未提供账号注销菜单入口,通过客服联系时,明确回复无法注销账号。


61

来电闪光

工具

8.9.0

佛冈源结信息科技有限公司

首次开启APP,未同意隐私政策前行为监控发现获取、Android ID、IP地址、MAC地址、IMEI、IMSI等用户信息。


62

录屏大师

工具

3.4.1.1

广州飞磨科技有限公司

1.打开的可收集个人位置信息权限与现有业务功能无关;
  2.App每点击“我的、漫画”功能,均会读取Android ID、MAC地址、IMEI、IMSI等用户信息,收集个人信息的频度超出业务功能实际需要。


63

绿侠快充

工具

2.7.332

深圳市充电易科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取相机权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在注册登录时,以默认方式同意隐私政策;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限;
  5.账号注销难:未提供有效的注销账号功能,且在用户协议和相关界面上没有注销指引。

1.程序反编译风险;
  2.界面劫持风险;
  3.动态调试攻击风险;
  4.so文件注入攻击风险。

64

蜜蜂打卡

工具

1.0.6

广州掌晟明诸信息科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在注册登录时,以默认方式同意隐私政策;
  3.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

65

喵驾

工具

3.2.2.110417

深圳市点嘀互联网络有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、位置和电话权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在注册登录时,以默认方式同意隐私政策。

1.   WebView远程代码执行漏洞;
  2. HTTPS中间人劫持风险;
  3. Janus签名机制漏洞。

66

莫莉幻想

工具

2.0.39

中山市世宇动漫科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和位置权限;
  2.在App《用户协议》中没有收集使用个人信息规则;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.在登录页面,以默认方式同意隐私政策;
  5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

未移除有风险的Webview系统隐藏接口漏洞。

67

企查猫

工具

4.3.6

深圳企查宝数据科技有限公司

1.隐私政策中未逐一列出获取个人姓名、公司名、行业、职务和身份认证信息的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

WebView远程代码执行漏洞。

68

巧影

工具

V4.16.5.18945.CZ

深圳巧影科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.未提供有效的更正、删除个人信息及注销用户账号功能,且在隐私政策和相关界面上没有声明指引。

Jaus签名机制漏洞。

69

视频去水印

工具

1.2.2

深圳市初悦科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 在登录页面,以默认方式同意隐私政策;
  3. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


70

视频去水印软件

工具

V1.5.1

深圳考拉互动科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取位置、电话和存储权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;
  4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


71

手机定位防走丢

工具

6.5.6

广州云芯信息科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.征得用户同意前,App嵌入的第三方SDK私自收集个人软件安装列表信息;
  3.在注册登录时,以默认方式同意隐私政策。


72

淘车位e共享停车

工具

12.0  

淘车位科技(广州)有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。


73

途强在线

工具

2.12.5

深圳市几米物联有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

1.密钥硬编码漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

74

微粉助手

工具

1.2.8

深圳市仟指科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 征得用户同意前,App嵌入的第三方SDK私自收集IMEI信息;
  3. 在注册登录时以默认方式同意隐私政策;
  4. 未提供有效的更正、删除个人信息功能。


75

卫士手机定位防盗

工具

V1.0.0

东莞市驰驰电子商务有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取短信、相机、存储、麦克风、通讯录和位置权限;
  2.在登录页面,以默认方式同意隐私政策;
  3.不给权限不让用:要求用户一次性同意打开短信、相机和通讯录多个可收集个人信息的权限,用户不同意则无法使用;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的短信、相机、麦克风和通讯录权限。


76

未来管家

工具

1.12.0

花生未来(广州)科技有限公司

1.征得用户同意前,App私自收集个人电话号码信息;
  2.在注册登录时,以默认方式同意隐私政策;
  3.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。

Janus签名机制漏洞。

77

未知术

工具

1.15

东莞市未知术网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在注册登录时,以默认方式同意隐私政策。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.Janus签名机制漏洞。

78

未知术S

工具

1.17

东莞市未知术网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在注册登录时,以默认方式同意隐私政策。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.Janus签名机制漏洞。

79

小鸽飞讯

工具

2.8.1

广州蓝色动力科技有限公司

1.   App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;
  2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3. 在注册登录时,以默认方式同意隐私政策。

密钥硬编码漏洞。

80

选址易

工具

2.3.0

深圳市伙伴行网络科技有限公司

1.违反必要原则收集个人信息:要求用户一次性同意打开相机和麦克风权限,用户不同意则无法使用;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的相机和麦克风权限;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

81

易加油

工具

6.2.1

深圳易加油信息科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取位置权限和电话权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在登录时,以默认方式同意隐私政策;
  4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


82

赢在习惯

工具

1.8.9

佛山市法拉哥科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取电话权限和存储权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在注册登录时,以默认方式同意隐私政策;
  4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

83

悦动浏览器

工具

7.0.8

深圳市悦生活科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。

1.Webview远程代码执行漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

III 生活服务类:序号84-105,共22款

84

28快运

生活服务

3.2.2

广州市安发网络科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取位置、存储、电话和相机权限;
  2.隐私政策中未明确列出获取相机权限的目的、方式、范围;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.在注册时,以默认方式同意隐私政策;
  5.不给权限不让用:用户不同意开启非必要的相机权限,App无法使用;
  6.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

85

Hi居

生活服务

2.4.1

广州海伦堡物业管理有限公司

App首次运行未经用户阅读并同意隐私政策,申请获取电话和存储权限。

界面劫持风险。

86

K生活

生活服务

2.2.23

深圳佳兆业科技集团有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的相机、位置、录音和通讯录权限;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.界面劫持风险;
  2.Janus签名机制漏洞。

87

PP停车

生活服务

4.1.0

深圳市神州路路通网络科技有限公司

1.隐私政策中未逐一列出获取个人手机通话记录、拨打电话和管理通话权限的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI信息;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的手机通话记录、拨打电话和管理通话权限;
  5.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口;
  6.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。

1.Webview远程代码执行漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

88

叮叮易建

生活服务

3.2.5

深圳叮叮易建网络科技有限公司

1.隐私政策难以访问:进入App主界面后,需多于4次点击操作才能访问到隐私政策;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


89

菲度

生活服务

2.5.12

广州市露兴软件科技有限公司

1.隐私政策难以访问:进入App主界面后,找不到隐私政策;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;
  4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

1.界面劫持风险;
  2.动态调试攻击风险;
  3.so文件注入攻击风险。

90

关爱守护

生活服务

1.2.8

深圳市亦青藤电子科技有限公司

1.App在用户未使用相关功能或服务时,提前申请获取终端的录音、通讯录、位置和相机权限;
  2.未建立并公布个人信息安全投诉、举报渠道。

界面劫持风险。

91

快递员助手

生活服务

3.3.4

深圳市点易达科技有限公司

App首次运行未经用户阅读隐私政策,申请获取存储、电话和位置权限。

WebView远程代码执行漏洞。

92

立行租车

生活服务

2.4.0

深圳市意仁网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.注销用户账号的处理承诺时限(30天)超过15个工作日。

界面劫持风险。

93

莲花GO

生活服务

4.6.2

广州易初莲花连锁超市有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。


94

岭南通

生活服务

2.4.3

广东岭南通股份有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和设备权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在注册登录时,以默认方式同意隐私政策;
  4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.密钥硬编码漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

95

启辰智联

生活服务

2.1.4

深圳联友科技有限公司广州分公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话、通讯录、位置和相机权限;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的通讯录和相机权限。


96

任车行

生活服务

5.4.9

深圳市麦谷科技有限公司

1.在App隐私政策中没有收集使用个人信息规则;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限;
  3.未提供有效的更正、删除个人信息及注销用户账号功能,且在隐私政策和相关界面上没有声明指引。

界面劫持风险。

97

闪电修

生活服务

2.6.15

深圳闪电修网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在注册登录时,以默认方式同意隐私政策。

界面劫持风险。

98

省省回头车

生活服务

5.15.1

广州回头车信息科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.更正、删除用户信息及注销账号的处理承诺时限(30天)均超过15个工作日。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

99

我的社保

生活服务

3.5.1

广州闪聘网络科技股份有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


100

药师帮

生活服务

4.41.0

广州速道信息科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


101

邮证

生活服务

3.4.6

广州车行易科技股份有限公司

1.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI和MAC地址信息;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.隐私政策中未明确列出获取相机权限的目的、方式、范围;
  4.在注册登录时,以默认方式同意隐私政策;
  5.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。


102

中国医疗人才网

生活服务

7.2.0

深圳市万泉河科技股份有限公司

App首次运行未经用户阅读并同意隐私政策,申请获取存储权限。

1.   WebView远程代码执行漏洞;
  2. 界面劫持风险。

103

中华老黄历

生活服务

5.0.3

广东凡跃集团股份有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话、相机和位置权限;
  2.隐私政策中未明确列出获取相机权限的目的、方式、范围;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.不给权限不让用:用户不同意开启非必要的位置和相机权限,拒绝提供所有业务功能;
  5.App在用户未使用相关功能或服务时,提前申请获取终端的位置和相机权限;
  6.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

1.   WebView远程代码执行漏洞;
  2. Janus签名机制漏洞。

104

赚钱鸭

生活服务

1.0.6

东莞市智慧小群科技有限公司

1.隐私政策中未明确列出获取相机和录音权限的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在注册登录时,以默认方式同意隐私政策;
  4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


105

租租车

生活服务

5.4.210106

广州力挚网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。


IV 购物类:序号106-125,共20款

106

爱租机

购物

4.0.2

深圳市爱租机科技有限公司

1.隐私政策中未明确列出获取相机权限的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;
  4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


107

八斗银

购物

2.0.3

广东八斗银建设投资集团有限公司

1.隐私政策中未逐一列出获取个人姓名、公司名、联系电话及详细地址信息及相机权限的目的、方式、范围;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限。


108

翠叮当藏品

购物

1.2.8

深圳市华娱创智科技有限公司

1. 隐私政策中未明确列出获取相机权限的目的、方式、范围;
  2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3. 在注册登录时以默认方式同意隐私政策。


109

灯网商城

购物

1.79

中山灯多看科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取位置权限和存储权限;
  2.隐私政策难以访问:进入App主界面后,找不到隐私政策;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.界面劫持风险;
  2.动态调试攻击风险;
  3.so文件注入攻击风险;
  4.Janus签名机制漏洞。

110

多贝省钱

购物

1.0.30

深圳市俏梦科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.HTTPS中间人劫持风险。

111

返利日记

购物

4.2.0

深圳市胖胖龙网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.频繁申请权限:App在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的位置权限,骚扰用户。


112

返利网高佣联盟

购物

3.6.0

广州聚美惠购网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.频繁申请权限:App在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的位置权限,骚扰用户。


113

购返吧

购物

5.4.7

广州秦凌信息科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限;
  2.隐私政策难以访问:进入App主界面后,找不到隐私政策;
  3.隐私政策中未明确列出获取相机权限的目的、方式、范围;
  4.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  5.在注册登录时,以默认方式同意隐私政策。

WebView远程代码执行漏洞。

114

华润万家

购物

3.3.0

华润万家有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取位置、存储和电话权限;
  2.隐私政策中未明确列出获取相机权限的目的、方式、范围;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


115

九航云选

购物

1.1.16

广东九航贸易有限公司

1.   App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限;
  2. 隐私政策中未明确列出获取相机权限、位置权限的目的、方式、范围;
  3. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4. 在注册登录页面,以默认方式同意隐私政策。

密钥硬编码漏洞

116

珑梨派

购物

V1.3.4

领积信息技术(广州)有限公司

1.隐私政策中未明确列出获取相机权限的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


117

玫瑰返利联盟

购物

4.4.0

广州天狼星科技有限公司

1. 隐私政策中未逐一列出获取个人相机和录音权限的目的、方式、范围;
  2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3. 在注册登录时以默认方式同意隐私政策。

未移除有风险的Webview系统隐藏接口漏洞。

118

拿趣用

购物

3.0.1

深圳喜闻科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、位置和电话权限;
  2.隐私政策中未逐一列出获取通讯录权限的目的、方式、范围;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.   WebView远程代码执行漏洞;
  2. 界面劫持风险。

119

全民严选

购物

2.3.20

深圳市一探究竟科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

密钥硬编码漏洞

120

奢分期

购物

5.12.2

广州微一网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在注册登录时,以默认方式同意隐私政策;
  3.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。

Janus签名机制漏洞。

121

省钱

购物

7.7.6

深圳市哥伦布服饰有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

1.密钥硬编码漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

122

天天返利

购物

1.1.2

深圳市券券宝网络科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

WebView远程代码执行漏洞。

123

优券购物

购物

3.8.9

广州粉娱科技有限公司

1. App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;
  2. 账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。


124

芝麻鲸选

购物

4.1.0

广州多多返网络科技有限公司

首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IMEI、IMSI等用户信息。


125

蜘点订货通

购物

2.9.8

蜘点商业网络服务有限公司

1. 隐私政策难以访问:进入App主界面后,找不到隐私政策;
  2. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


V 社交类:序号126-144,共19款

126

Lespark

社交

7.4.2

清远市帕克文化传媒有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限;
  2.隐私政策难以访问:进入App主界面后,需多于4次点击操作才能访问到隐私政策;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。


127

打灯

社交

V1.3.4

深圳市品品店科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和位置权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。


128

豆皮

社交

1.7.4

深圳酷皮科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限、电话权限和位置权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

1.HTTPS中间人劫持风险;
  2.界面劫持风险。

129

对面

社交

6.9.88

深圳市乐唯科技开发有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.不给权限不让用:用户不同意开启非必要的位置权限,拒绝提供所有业务功能。


130

多聊聊天交友

社交

V5.5.4

聚乐网络科技(深圳)有限公司

1.在注册登录时,以默认方式同意隐私政策;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的录音权限和相机权限;
  3.更正、删除用户信息的处理承诺时限(6个月)超过15个工作日。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.动态调试攻击风险;
  4.so文件注入攻击风险。

131

怪咖

社交

V1.5.0

广州艾维赛尔网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的定位权限。


132

画音

社交

3.7.0.126

早安科技(广州)有限公司

1. 在注册页面,以默认方式同意隐私政策;
  2. 违反必要原则收集个人信息:要求用户一次性同意打开相机权限和麦克风权限,用户不同意则无法使用;
  3. App在用户未使用相关功能或服务时,提前申请获取终端的相机权限和麦克风权限;
  4. 更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。


133

美陌

社交

5.5.4

深圳天睿网络科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 在登录注册页面和信息填写页面,以默认方式同意隐私政策。


134

蜜多多

社交

5.5.4

广州三维科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在登录注册页面和信息填写页面,以默认方式同意隐私政策。

1.密钥硬编码漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

135

蜜约交友

社交

1.3.0

深圳酷科网络科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供客服业务;
  3.征得用户同意前,App嵌入的第三方SDK私自收集个人电话号码、IMEI、IMSI、经纬度信息。

1.Janus签名机制漏洞;
  2.FFmpeg文件读取漏洞。

136

千帆直播

社交

6.1.7

广州市千钧网络科技有限公司

首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、MAC地址、Android ID、IMEI等用户信息。


137

声洞

社交

2.8.5

广州沙巴克网络科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;
  2.征得用户同意前,App私自收集个人电话号码信息;
  3.登录时,以默认方式同意隐私政策;
  4.账号注销难:账号注销后有30天的冷静期,超过最长处理时限15个工作日;
  5.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


138

闲聊聊天交友

社交

5.5.5

深圳市禾火网络科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 在注册登录页面和信息填写页面,以默认方式同意隐私政策;
  3. App在用户未使用相关功能或服务时,提前申请获取终端的录音、相机和位置权限。

1.密钥硬编码漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

139

小爱直播间

社交

2.9.3

珠海云迈网络科技有限公司

1. 在登录页面,以默认方式同意隐私政策;
  2. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


140

小号管家

社交

1.1.7

深圳市仟指科技有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

Janus签名机制漏洞

141

秀蛋

社交

2.9.4

深圳秀蛋科技有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

界面劫持风险。

142

序赞

社交

4.7.46

佛山市视序澎湃科技有限公司

1.隐私政策中未逐一列出获取个人身份证号信息的目的、方式、范围;
  2.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

143

摇一摇交友

社交

1.5.2

深圳市乐唯科技开发有限公司

App首次运行未经用户阅读并同意隐私政策,申请获取存储权限。

1.程序反编译风险;
  2.HTTPS中间人劫持风险;
  3.WebView远程代码执行漏洞;
  4.界面劫持风险;
  5.动态调试攻击风险;
  6.so文件注入攻击风险;
  7.Janus签名机制漏洞。

144

正宗漂流瓶

社交

2.0.5.6

深圳字母科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限、电话权限、相机权限、录音权限和位置权限;
  2.在注册登录时,以默认方式同意隐私政策;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限和录音权限;
  4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日;
  5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

界面劫持风险。

VI 教育类:序号145-162,共18款

145

A100教学

教育

1.1.7

广东新启翔教育科技发展有限公司

首次开启APP,未同意隐私政策前行为监控发现获取MAC地址、IMEI、IMSI等用户信息。


146

宝宝学拼音识字

教育

2.3.10

广州崇飞信息科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

界面劫持风险。

147

儿童教育游戏

教育

5.1

深圳市童趣网络科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取电话、存储和位置权限;
  2.隐私政策中未逐一列出获取位置权限的目的、方式、范围;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.App主界面以默认方式同意隐私政策。

1.界面劫持风险;
  2.Janus签名机制漏洞。

148

儿童益智数学游戏

教育

1.3.9

广州崇飞信息科技有限公司

1.   App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;
  2. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

界面劫持风险。

149

儿童英语学习

教育

2.4

广州迩沃互联网服务有限公司

1.在App中没有隐私政策;
  2.首次开启APP,未同意隐私政策前行为监控发现获取Android   ID、MAC地址、IP地址等用户信息;
  3.APP在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的存储和设备权限,骚扰用户。


150

辅导帮

教育

2.6.8

深圳乐游无限网络科技有限公司

1.App隐私政策难以阅读:文字过小过密;
  2.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.界面劫持风险;
  2.Janus签名机制漏洞。

151

工业工程师联盟

教育

1.1.0

东莞市精益华企管理顾问有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取相机权限和存储权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在注册登录时,以默认方式同意隐私政策;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限;
  5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。


152

画啦啦少儿美术

教育

4.7.0

广州六一信息科技有限公司

1.在注册登录时,以默认方式同意隐私政策;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、IMSI和MAC地址信息;
  4.不给权限不让用:用户不同意开启非必要的相机、录音和麦克风权限,拒绝提供所有业务功能;
  5.App在用户未使用相关功能或服务时,提前申请获取终端的录音、相机、麦克风权限;
  6.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口,通过联系客服明确回复无法注销账号。


153

画啦啦小灯塔

教育

1.15.0

广州六一信息科技有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


154

快快查汉语字典

教育

4.1.0

珠海栗子网络科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 在注册登录时以默认方式同意隐私政策;
  3. 个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。


155

栗子学院

教育

3.0.7

中咨联教育技术(深圳)有限公司

1.隐私政策中未逐一列出获取个人邮箱信息的目的、方式、范围;
  2.违反必要原则收集个人信息:因用户不同意收集非必要的个人邮箱信息,拒绝提供意见反馈功能;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。


156

米信

教育

4.6.21

深圳市乐乐米信息技术有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息。


157

声希AI课

教育

1.4.4

深圳市声希科技有限公司

1.   App首次运行未经用户阅读并同意隐私政策,申请获取个人存储和录音权限;
  2. 在注册登录时以默认方式同意隐私政策。


158

食安快线

教育

4.2.2

食安快线信息技术(深圳)有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取电话、存储、相机和麦克风权限;
  2.在注册登录时,以默认方式同意隐私政策;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的相机和麦克风权限;
  5.征得用户同意前,App嵌入的第三方SDK私自收集个人经纬度信息;
  6.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。

密钥硬编码漏洞

159

天天识字

教育

4.20.0

广州琢玉教育科技有限公司

首次开启APP,未同意隐私政策前行为监控发现获取、Android ID、MAC地址、IP地址等用户信息。

界面劫持安全

160

天天学农

教育

3.9.2.1

深圳市天天学农网络科技有限公司

1.在App隐私政策中没有收集使用个人信息规则;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、IMSI和MAC地址信息。

1.密钥硬编码漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

161

脱单大师

教育

4.1.5

深圳心灵屋科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取相机权限、电话权限、存储权限、录音权限和位置权限;
  2.在注册登录时,以默认方式同意隐私政策;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的相机权限、录音权限和位置权限;
  4.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

界面劫持风险。

162

掌中英语

教育

7.0.1

深圳掌英信息科技有限公司

1.隐私政策难以访问:App首次运行提示用户阅读同意隐私政策,进入App主界面后,找不到隐私政策;
  2.隐私政策中未逐一列出获取个人职业的目的、方式、范围;
  3.征得用户同意前,App私自收集个人IMEI、MAC地址信息;
  4.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

VII 旅行交通类:序号163-177,共15款

163

Wcar

旅行交通

270

深圳市胜必得电子科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取位置、电话、存储、相机和录音权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的相机和录音权限;
  4.未建立并公布个人信息安全投诉、举报渠道。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

164

车豆荚

旅行交通

1.0.77

广东酷啦啦网络科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话、位置权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。

界面劫持风险。

165

车行易查违章

旅行交通

7.0.2

广州车行易科技股份有限公司

1.在注册登录时,以默认方式同意《车行易用户使用协议》;
  2.违反必要原则收集个人信息:用户不同意开启非必要的位置权限,拒绝提供咨询分享业务;
  3.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。


166

嘀嘀虎

旅行交通

7.0.0.8

深圳广联赛讯有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

密钥硬编码漏洞

167

放假旅游网

旅行交通

2.9.5

广东放假国际旅游股份有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;
  2.在登录页面,以默认方式同意隐私政策。


168

货车宝货车导航

旅行交通

3.0.1.4

深圳市货车宝科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

Janus签名机制漏洞

169

卡贝

旅行交通

v2.0.3

今卡贝区块链(深圳)有限公司

1.在注册登录时,以默认方式同意隐私政策;
  2.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

170

两步路户外助手

旅行交通

6.8.6

深圳市两步路信息技术有限公司

1.隐私政策中未逐一列出获取身份证号码和证件照片信息和相机权限的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.征得用户同意前,App私自收集个人电话号码信息;
  4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

密钥硬编码漏洞。

171

马车保

旅行交通

4.2.7

广东车卫士信息科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取通讯录权限;
  2.隐私政策中未逐一列出获取绑定银行卡信息及通讯录权限的目的、方式、范围;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的通讯录权限;
  5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

172

窝友自驾

旅行交通

V9.2.2

深圳市窝友之家科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址、IMEI信息;
  3.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

未移除有风险的Webview系统隐藏接口漏洞。

173

响车车

旅行交通

3.2.17.0

广州响车车科技有限公司

1.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、MAC地址、图片和经纬度信息;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.为注销用户账号设置不必要或不合理条件:要求需身份认证,使用过车辆服务的账号才能注销账号。

1.Webview远程代码执行漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

174

熊猫签证

旅行交通

3.15.3

深圳市飘飘宝贝有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

界面劫持风险。

175

运东东

旅行交通

4.1.2

深圳马蹄圈技术有限公司

更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。

界面劫持风险。

176

长隆旅游

旅行交通

5.0.1

广州长隆集团有限公司

1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


177

智能ETC

旅行交通

5.0.0

深圳市智载科技有限责任公司

1.隐私政策中未逐一列出获取个人相机和录音权限的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.征得用户同意前,App嵌入的第三方SDK私自收集个人经纬度信息;
  4.不给权限不让用:用户不同意开启非必要的位置权限,拒绝提供所有业务功能;
  5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;
  6.应用分发平台上的App信息明示不到位:应用分发平台下载页面所明示App的名称与下载安装后的App名称不一致。


VIII 金融理财类:序号178-189,共12款

178

白熊保单管家

金融理财

1.0.2

深圳数飞科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限;
  2.隐私政策中未逐一列出获取个人姓名、出生日期和证件号信息的目的、方式、范围;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.程序反编译风险;
  2.界面劫持风险;
  3.动态调试攻击风险;
  4.so文件注入攻击风险。

179

布谷农场

金融理财

3.4.1

深圳财富农场互联网金融服务有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

180

分期乐

金融理财

5.14.3

深圳市分期乐网络科技有限公司

未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

界面劫持风险。

181

广金所

金融理财

V3.42.0

广金所信息服务有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。

未移除有风险的Webview系统隐藏接口漏洞。

182

合众e贷财富

金融理财

V4.2.0

深圳合众财富金融投资管理有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供修改头像业务;
  3.更正、删除用户信息及注销用户账号的处理承诺时限(30天)均超过15个工作日。


183

金酷

金融理财

3.3.1

深圳市崇广科技有限公司

1.隐私政策中未逐一列出获取存储、电话、位置和相机权限的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险;
  3.HTTPS中间人劫持风险。

184

平安精选

金融理财

2.4.1

中国平安保险(集团)股份有限公司

1. App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;
  2. 在登录注册页面,以默认方式同意隐私政策;
  3. 更正、删除用户信息的处理承诺时限(30天)超过15个工作日。


185

通付宝

金融理财

4.6.0

通付宝网络技术有限公司

1.隐私政策难以访问:进入App主界面后,无法访问到隐私政策
  2.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息;
  3.不给权限不让用:用户不同意开启非必要的位置和相机权限,拒绝提供所有业务功能。

界面劫持安全

186

小花借条

金融理财

1.0.2

广东国寿互联网金融信息服务有限公司

1.未公开收集使用规则;
  2.在申请收集用户姓名、身份证号码等敏感信息时,未同步告知用户其目的;
  3.未提供有效的更正、删除个人信息及注销账号功能。


187

信用卡还呗

金融理财

2.2.2

广州方圆围网络科技有限公司

1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI等用户信息;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


188

长城炼金术

金融理财

2.0.2

长城证券股份有限公司

1.隐私政策中未明确列出获取相机权限和收集银行卡和身份证信息的目的、方式、范围;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

界面劫持风险

189

掌富易购

金融理财

3.1.2

广州掌富易购跨境电商有限公司

未公开收集使用规则:在正常网络环境下,隐私政策无法查看。


IX 健康类:序号190-199,共10款

190

FloMe

健康

1.7.0

广州播种网络科技有限公司

在注册时,以默认方式同意隐私政策。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

191

Wearfit

健康

3.2.10.29

深圳市微克科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、位置、相机、电话、通话记录和通讯录权限;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的相机、读取通话记录和读取联系人权限。

界面劫持风险。

192

百众健康

健康

2.5.1

深圳锦汇健康科技有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限。

密钥硬编码漏洞。

193

备孕神器

健康

1.1.0

广州小灵猴科技有限公司

1.隐私政策难以访问:进入App主界面后,找不到隐私政策;
  2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引及在相关账号管理界面,均无法找到注销入口。

WebView远程代码执行漏洞。

194

好轻

健康

3.54

珠海云麦科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和电话权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在注册登录时,以默认方式同意隐私政策。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

195

好身材

健康

3.37

深圳市易连物联网有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在注册登录时,以默认方式同意隐私政策。


196

康康在线

健康

8.0.0

深圳市迈康信息技术有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI信息。


197

轻加减肥

健康

6.8.6

珠海三益堂科技有限公司

1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IP地址、IMEI、IMSI等用户信息;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。


198

石榴云医

健康

3.5.1

广州七乐康药业连锁有限公司

1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI等用户信息;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.违反必要原则:APP在用户未使用相关功能或服务时,提前申请开启定位权限。

界面劫持安全

199

微马

健康

2.13.0

微马体育控股有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储和位置权限;
  2.隐私政策难以访问:进入App主界面后,找不到隐私政策;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.在注册登录时,以默认方式同意隐私政策;
  5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。


X 新闻阅读类:序号200-203,共4款

200

GGBook看书小说软件

新闻阅读

9.3.2.5

广州市久邦数码科技有限公司

1.首次开启APP,未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IMEI、IMSI;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引;
  4.个人信息安全投诉、举报渠道的处理承诺时限(30天)超过15个工作日。

1、WebView远程代码执行漏洞;
  2、HTTPS中间人劫持风险;
  3、界面劫持风险。

201

九库阅读

新闻阅读

7.3.3

广州萌萌达网络科技有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 违反必要原则收集个人信息:要求用户一次性同意打开相机权限、存储权限和电话权限,用户不同意则无法使用;
  3. App在用户未使用相关功能或服务时,提前申请获取终端的相机权限。


202

手阅

新闻阅读

1.4.9

深圳市手阅网络科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储、电话和位置权限;
  2.未公开收集使用规则;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.不给权限不让用:用户不同意开启非必要的位置权限,App无法使用;
  5.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;
  6.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

203

招聘天下

新闻阅读

2.1.2

聘宝信息技术(深圳)有限公司

1.   App首次运行未经用户阅读并同意隐私政策,申请获取存储权限;
  2. 隐私政策中未逐一列出获取用户姓名和身份证号信息以及申请位置权限和相机权限的目的、方式、范围;
  3. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4. 在登录页面,以默认方式同意隐私政策。


XI 视音频类:序号204-207,共4款

204

蜜桃秀场美女直播

视音频

5.0.5

广州市点润信息技术有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在注册登录页面,以默认方式同意隐私政策。

1.Webview远程代码执行漏洞;
  2.未移除有风险的Webview系统隐藏接口漏洞。

205

青柠直播

视音频

2.4.3

深圳凡象科技有限公司

账号注销难:账号注销成功后提示31天可撤销申请,处理时间超过最长承诺时限15个工作日。

1.Janus签名机制漏洞;
  2.FFmpeg文件读取漏洞。

206

射手直播

视音频

6.3.2

深圳市时代映像文化传媒有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取电话权限;
  2.征得用户同意前,App嵌入的第三方SDK私自收集个人IMEI、IMSI和MAC地址信息;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  4.在注册登录时,以默认方式同意隐私政策。

1.Janus签名机制漏洞;
  2.密钥硬编码漏洞;
  3.未移除有风险的Webview系统隐藏接口漏洞。

207

绚铃

视音频

5.6.2

深圳市凯旋通讯技术有限公司

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在登录时,以默认方式同意隐私政策。


XII 办公类:序号208-212,共5款

208

扫描王PDF

办公

1.4.5

深圳市掌捷科技有限公司

在登录页面,以默认方式同意隐私政策。


209

扫描仪全能王

办公

2.4.1

深圳市恒创永弘文化传媒有限公司

1.在注册登录时,以默认方式同意《用户协议》;
  2.强制用户使用定向推送功能。


210

生意进销存

办公

4.10.55

深圳市百草科技有限公司

在注册登录时,以默认方式同意隐私政策。

1.程序反编译风险;
  2.界面劫持风险;
  3.动态调试攻击风险;
  4.so文件注入攻击风险。

211

时光序

办公

3.8.0

花生未来(广州)科技有限公司

1.征得用户同意前,App私自收集个人电话号码信息;
  2.在注册登录时,以默认方式同意隐私政策;
  3.更正、删除用户信息,注销用户账号及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。


212

小日常

办公

2.19.0

广州小日常科技有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取电话权限、存储权限、位置权限和读取日历权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在登录时,以默认方式同意隐私政策;
  4.App在用户未使用相关功能或服务时,提前申请获取终端的位置权限;
  5.账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。


XIII   娱乐类:序号213-215,共3款

213

爱豆IDOL

娱乐

7.5.6

深圳市爱豆网络技术有限公司

1.App首次运行未经用户阅读并同意隐私政策,申请获取存储权限;
  2.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  3.在注册登录时,以默认方式同意隐私政策;
  4.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息。

密钥硬编码漏洞

214

汕头橄榄台

娱乐

3.1.0

华夏城视网络电视股份有限公司

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 更正、删除用户信息及个人信息安全投诉、举报渠道的处理承诺时限(30天)均超过15个工作日。


215

占卜大师

娱乐

3.3

深圳市鹏嘉电子有限公司

App首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限。

1.界面劫持风险;
  2.Janus签名机制漏洞。

 


 

附件2

7款前期通报整改未整改或整改不彻底App名单

序号

应用名称

开发者

版本号

侵害用户权益问题

安全隐患问题

前期通报时间

通报版本

1

掘金宝

掘金链科技(深圳)有限公司

2.0.1.10

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在申请打开可收集个人信息的权限时,未同步告知用户其目的;
  3.APP首次运行,用户同意隐私政策前,私自收集“GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI”信息;
  4.APP在用户明确拒绝权限申请后,频繁申请开启与当前服务场景无关的权限(存储),骚扰用户。


2020年11月26日

V2.0.0.03

2

摇钱花

深圳市小赢科技有限责任公司

2.18.1

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.在登录时,以默认方式同意隐私政策;
  3.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传照片功能。


2020年12月7日

2.14.0

3

顺丰金融

深圳市顺恒融丰投资有限公司

V4.3.6

1.征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息;
  2.在注册登录时,以默认方式同意隐私政策;
  3.因用户不同意收集非必要的QQ、邮箱等个人信息,拒绝提供我要留言功能;
  4.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传图片功能。

1.WebView远程代码执行漏洞;
  2.界面劫持风险。

2020年10月23日

V4.3.2

4

坐车网

广州浩宁智能设备有限公司

3.21.209697

1. 未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2. 在注册时,以默认方式同意隐私政策;
  3. 账号注销难:未提供有效的注销账号功能,且在隐私政策和相关界面上没有注销指引。

1.HTTPS中间人劫持风险;
  2.WebView远程代码执行漏洞;
  3.界面劫持风险;
  4.Janus签名机制漏洞。

2020年10月29日

3.18.201551

5

中邮钱包

中邮消费金融有限公司

2.9.9

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.未提供有效的注销账号功能:按照隐私政策中声明的注销指引,咨询在线客服,客服明确回复未实名认证的账号无需注销。


2020年10月23日

2.8.6

6

华盛通

深圳市时代华盛网络科技有限公司

2.3.501

1.隐私政策中未逐一列出获取个人银行卡信息的目的、方式、范围;
  2.征得用户同意前,App私自收集个人IMEI信息;
  3.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围。


2020年11月26日

V2.3.201

7

万联e万通

万联证券股份有限公司

V8.04.30

1.未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围;
  2.违反必要原则收集个人信息:用户不同意开启非必要的相机权限,拒绝提供上传照片业务;
  3.为注销用户账号设置不必要或不合理条件:App账号管理界面未提供账号注销菜单入口,通过客服联系时,却为注销用户账号设置不必要或不合理条件(账号使用手机号码注册但未填写姓名、身份证号码等个人信息,但受理注销账号时却要求提供包括姓名、身份证号码才可进行)。

Janus签名机制漏洞。

2020年11月26日

8.04.10

 


【返回顶部】 【关闭窗口】 【打印本页】