2022年7月,有媒体报道,小天才T1儿童平板电脑应用商店中,下载的部分游戏、漫画等APP含有色情、血腥、暴力、诱发未成年人模仿违法犯罪行为内容问题。7月18日,北京市消费者协会、天津市消费者协会、河北省消费者权益保护委员会联合约谈了广东小天才科技有限公司。根据未成年人保护法规定,禁止任何组织、个人制作或者向未成年人出售、出租或者以其他方式传播淫秽、暴力、凶杀等毒害未成年人的图书、报刊、音像制品、电子出版物以及网络信息等,目前涉事APP均已被下架处理。
资讯阅读类应用涉及图书、报刊、音像制品、电子出版物等可以广泛传播网络信息的交互式应用。受限于现有技术这类应用无法开展常态化内容识别监测,极易被不法分子利用,进而传播鼓吹推翻国家政权、煽动宗教极端主义、宣扬民族分裂思想、教唆暴力恐怖活动、散布淫秽色情、低俗媚俗及谣言等违法违规信息,有的还存在窃取隐私、恶意扣费、诱骗欺诈、过度索权等侵害用户合法权益的行为,资讯阅读类APP内容安全问题不容乐观。爱加密近期利用自研移动应用大数据平台开展此类APP的专项观测分析形成此专题报告,力争让APP开发运营企业引起广泛关注。
一、资讯阅读类移动应用概况
据爱加密移动应用大数据平台监控的1000+个应用渠道的数据统计,全国资讯阅读类应用共计130409款,约占已收录总应用7.06%。其中,明确开发者信息的应用为44246款,占比33.93%。
1.资讯阅读类移动应用地域分布情况
通过对明确主体信息的资讯阅读类移动应用分析,归属北京市的资讯阅读应用数量位居全国第一,占总量的23.78%;其次是广东省,占总量的20.07%;上海市位列第三,占总量的8.55%。浙江省和江苏省以7.04%和4.67%的占比,分列第四和第五。
2. 资讯阅读类移动应用发布渠道情况
资讯阅读移动应用发布渠道主要有应用宝、豌豆荚和pp助手PC端等,其中,应用宝共计发布移动应用45198款,占比34.66%;豌豆荚共计发布移动应用42545款,占比32.62%;pp助手PC端,共计发布移动应用32726款,占比25.09%。
3.资讯阅读类移动应用下载数量情况
综合全国移动应用分发渠道的下载量统计,资讯阅读类应用累计下载量排名第一的是“百度”,下载423亿次,开发者为“百度在线网络技术(北京)有限公司”;其次是“今日头条”,下载417亿次,开发者为“北京字节跳动科技有限公司”;排名第三的是“腾讯新闻”,下载255亿次,开发者为“腾讯科技(北京)有限公司”。
二、部分资讯阅读类应用存在内容违规
根据相关法律法规及政策性文件,互联网内容风险可分为涉政敏感类、涉黄类、涉暴恐类、涉违禁类、涉广告类、涉违法违规类等六大类二百余项子类风险。如:涉政敏感类又可包含敏感人物类、敏感事件、旗帜标识、宗教类、意识形态类、风险管控类等子风险类别。
2022年7月,爱加密通过内容审核系统及内容风控专家对资讯阅读类下载量较高的50款移动应用进行网络信息内容巡检,本次检测及巡查中所发现的部分违规、有害及不良信息内容如下:
案例一:未经认证,违规账号乱象丛生
检测发现,资讯阅读类移动应用中存在大量的不符合此项规定,未经认证的、错用或滥用具有特定含义或属性的标识、符号、名称的违规账号存在,根据《互联网用户账号信息管理规定》第八条第二、四款规定:互联网用户注册、使用账号信息不得假冒、仿冒、捏造政党、党政军机关、企事业单位、人民团体和社会组织的名称、标识等;假冒、仿冒、捏造新闻网站、报刊社、广播电视机构、通讯社等新闻媒体的名称、标识等,或者擅自使用“新闻”、“报道”等具有新闻属性的名称、标识等内容。如:
案例二:低俗、色情等信息无处不在
检测发现,多个资讯阅读类移动应用仍存在大量不符合上述规定的涉淫秽色情、低俗、软色情信息,此类信息在图片、文本等不同信息类型,以及用户头像、用户名称、评论区、图文等场景中均有存在。根据《网络信息内容生态治理规定》第六条第九款规定:网络信息内容生产者不得制作、复制、发布含有散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的违法信息。例如:
案例三:封建迷信类信息对读者产生误导,造成不良影响
检测发现,多个资讯阅读移动应用未有效对封建迷信类信息进行有效回查,导致平台中仍有大量的违规内容出现,根据《网络信息内容生态治理规定》及《互联网宗教信息服务管理办法》规定:网络信息内容生产者不得制作、复制、发布含有破坏国家宗教政策,宣扬邪教和封建迷信的违法信息。例如:
案例四:部分应用存在相关安全机制设置不全
检测发现,不少移动应用缺少内容安全回查回溯机制,导致历史存量信息中的不规范、错误的新闻事件用语,不符合当前法规及政策导向等内容未能得到有效的回溯及纠正,产生传播风险。例如:
某资讯类平台中,对于新型冠状病毒(COVID-19)的报道信息中仍存在有大量使用了带有地名“污名化”含意的“武汉肺炎”称谓的内容。
巡检的50款应用中发现近半数(42%)移动应用存在“高危风险内容”。其中存在“涉黄信息”的占比30%;存在“违法违规信息”的占比18%;存在“涉政敏感信息”的占比6%。对此,开发企业、运营企业作为责任主体应加强网络信息内容治理的主观能动性,规范信息内容的生态,而广大用户需规范自身行为,提高内容安全意识,避免发布违法和不良信息内容。
具体到细分类别的内容风险类型,资讯阅读类应用中所出现的风险类型主要集中在低俗文字、低俗图片、色情动漫、涉政敏感、仿冒政府机关账号、炒作虚拟货币、封建迷信和赌博博彩等22类,其中以涉低俗、色情类信息居多。
从移动应用的功能机制设置角度来看,本次检测的50款资讯阅读类应用中有16%的移动应用存在相关安全机制设置不全的现象。其中,未成年人保护模式缺失问题,占该类型应用检测总量的14%;实名认证缺失问题,占该类型应用检测总量的4%;经济、教育和医疗等账号缺失专门标识问题,占该类型应用检测总量的2%。
三、部分资讯阅读类应用存在个人信息收集违规
我国民法典明确规定,个人信息收集应遵循适用必要原则,收集的信息对实现正常服务而言是“充分”的;收集个人信息的范围仅限于与提供这项产品和服务密切相关;确保收集的个人信息是“适当”的。网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。随着资讯阅读类应用总量逐年增加,收集用户个人信息的技术手段变得多样化,而部分应用也出现了违规收集个人信息的行为,且未清晰限定收集目的、方式及范围。例如超范围收集用户通讯录、精确地理位置、短信、通话记录等个人信息,给用户个人隐私和合法权益造成严重侵害。
通过对资讯阅读类移动应用所获取的敏感权限分析来看,申请储存相关权限的应用最多,占存在采集敏感权限应用总量的99.51%;其次是申请电话相关权限的应用,占比为78.82%;排名第三的是申请位置相关权限的应用,占总量的46.31%。个人信息敏感权限采集中存储权限采集占比接近100%,显示资讯阅读移动应用对个人信息相关的敏感权限获取存在过度的风险。
对本年度有更新的资讯阅读类1030款应用进行个人信息合规性检测发现,存在“违规收集个人信息”的占比80.10%;存在“超范围收集个人信息”的占比43.88%;存在“APP频繁自启动和关联启动”的占比39.51%。违规和超范围收集个人信息成为最主要也是最严重的个人信息采集违规情况,背离了采集个人信息应遵守“最小化原则”的法律规定。开发企业、运营企业作为责任主体应提高认识,严格自律,而广大用户需要提高隐私保护意识,不轻易安装来源不明的移动应用。
同时经检测发现资讯阅读类关联境外IP或域名的移动应用共计156款,数据流向多个国家和地区。具体来看,数据跨境传输目的地排名第一的是中国香港,占比81.41%;排名第二的是美国,占比19.87%;排名第三的是日本,占比7.69%。值得注意的是,移动应用还存在将程序代码等数据直接外发或通过第三方SDK向境外传输数据的行为,存在重大的安全风险。
四、资讯阅读类应用漏洞概况
分析发现,移动应用安全事件的多数是由相同的漏洞、不安全的编码实践,以及缺乏足够的安全测试造成的。对资讯阅读106969款应用进行107项漏洞扫描发现,71.63%以上的移动应用存在高危漏洞风险。这与检测技术的提升存在一定的关联性。随着检测技术的提升,能检测出的高危漏洞也越多。近三年,资讯阅读类移动应用中检测出高危漏洞的比例从2020年的69.94%增长至2022年的71.63%,呈现明显的上升趋势。
资讯阅读移动应用高危漏洞类型主要有Janus漏洞、截屏攻击风险和日志数据泄露风险等,占比分别为55.53%、51.67%和49.23%。此外,Java代码加壳风险和权限滥用风险也值得关注,占比分别为48.73%和48.53%。
五、资讯阅读类应用存在恶意行为及被盗版风险
恶意软件是当前互联网上最大的安全威胁之一,是一种恶意侵入性软件程序,包括但不限于病毒、蠕虫、间谍软件、广告软件、诈骗和网络钓鱼、勒索软件、机器人、特洛伊木马、Rootkit和键盘记录器等。通过爱加密移动应用大数据平台检测发现,资讯阅读含有恶意程序的应用共计11674款,从类型分布来看,恶意程序类型以“流氓行为”为主。
对资讯阅读类应用的签名信息分析发现,很多应用存在使用多个签名打包的情况,有可能是分发渠道要求,也有可能出于其他目的,但对于开发运营者来说,自身的APP管理也会存在风险隐患,是否被二次签名打包,是否在互联网上存在仿冒盗版应用的传播,不太容易发现和察觉。目前工信部也在推行APP认证签名体系的建设,有效防范和遏制仿冒盗版应用。
结语
随着移动互联网的快速发展,人们的生活节奏越来越快,对比纸媒,资讯阅读类应用信息分享更加方便,因此深受用户喜爱。但部分资讯阅读类应用所存在的安全漏洞、违规收集个人信息、内容违规等给用户带来了诸多困扰。资讯阅读类应用中含有很多漫画、小说等,吸引了大量未成年用户,这些应用可能内容审核不严,充斥着大量软色情、暴力、封建迷信等内容,未成年用户自我保护意识较差,容易对其身心健康造成不利影响。针对这类应用,结合监管机构强化对违规应用监管力度的同时,运营企业也需要加强内容审核,确保内容的安全健康、合规合法。
爱加密移动应用大数据中心总监谢仰建议,App运营企业首先要对注册用户的基本信息进行审核,包括头像、昵称、个人介绍等内容,实行“后台实名、前台自愿”原则。目前从检测结果来看,被测试App在用户注册的基本信息审核方面来看,审核的准确率不高,存在涉黄头像、涉政昵称等高风险内容。
其次在用户发表的评论审核方面,根据网信办发布的关于《互联网跟帖评论服务管理规定(修订草案征求意见稿)》意见稿中提到,平台运营者应当严格落实要建立信息内容发布的审核机制,对评论信息内容必须落实先审后发,及时发现处置违法和不良信息,并向网信部门报告,同时向用户提出警告或封停账号等措施。此外,平台需对自身发布或转载的内容进行严格审核,层层把关,做到发布的内容不产生歧义、不违法违规、特别是没有意识形体上的偏差。
最后,平台要建立信息内容的巡检机制,定期对平台发布、用户发表的内容进行巡查,避免出现以前合规,现在违规的内容传播。希望在各方力量的共同努力下,我国的网络空间会变得更加健康清朗。
热门跟贴