Top
首页 > 正文

CSTC横评 | 在线教育APP是否存在安全隐患?

2)隐私政策中是否逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等
发布时间:2020-04-13 14:07        来源:中国软件评测中心        作者:中国软件评测中心

2020年3月10日-19日,我们对在线视频会议APP进行了个人信息安全方面的研究,这次我们将目光转移到了新冠肺炎疫情中另一类受宠的应用类型:在线教育。

2019年10月2日,教育部等11个部门联合印发指导意见,促进在线教育健康发展,2019年11月11日教育部办公厅又下发了关于印发《教育移动互联网应用程序备案管理办法》的通知,国家对于在线教育系统的重视程度由此可见一斑。

1、研究对象的选取

本次选择用户规模较大,影响范围较广的6款在线教育APP软件进行研究,它们分别是Vipkid V3.8.0、沪江网校V4.9.4.849、学而思网校V7.10.03、达内在线 V2.2.0、作业帮 V12.7.4、新东方在线V4.7.7。在平台选择上,本次只选择其相应的Android平台版本;所有软件均从其官网上进行下载。

2、研究指标的选取

2019年12月30日,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合发布了《App违法违规收集使用个人信息行为认定方法》,本次研究根据此认定方法选取与权限及个人信息相关的部分内容,具体包括如下:

1. 权限相关

本次所考察的权限范围包括CALENDAR 日历、CALL_LOG 通话记录、CAMERA 相机、CONTACTS 通讯录、LOCATION 位置、MICROPHONE 麦克风、PHONE 电话、SENSORS 传感器、SMS 短信、STORAGE 存储。

3

2. 个人信息相关

与个人信息相关的项目包括:

1)是否有隐私政策

2)隐私政策中是否逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等

3)是否向用户提供任何拒绝收集、使用其个人信息的方式

4)在用户未同意收集个人信息前,是否已经存在收集个人信息的行为

5)用户不同意收集某类个人信息,是否仍收集该类个人信息

6)实际收集、使用的个人信息是否超出用户同意范围

7)是否默认开启收集、使用个人信息相关系统权限

8)收集的个人信息类型或打开的可收集个人信息权限与现有业务功能是否无关

3、测试结果及分析

1. 测试结果

1)权限申请相关测试结果

以下为6款软件所声明的权限获取内容。对于存在声明获取的权限,则表格中相应结果以“√”表示,否则为“/”。

2)个人隐私相关内容测试结果

说明:表格中的“√”表示有对应测试项的行为发生,如未有此行为,则为“/”。

4

2. 结果分析

1) 总体情况

2
图1:6款软件获取权限数量对比

从所声明的权限数量来看,Vipkid要获取的系统操作权限数量为5个,沪江网校为7个,学而思为9个,达内在线12个,作业帮为9个,新东方在线为12个。

对于所考察的26类权限,按照6款软件获取的情况分为三类,第一类是6款软件均有获取,第二类是6款软件均未获取,第三类是其它,即介于一类及二类之间。图2展示了三类情况的占比。

1
图2:6款软件获取权限的几种情况对比

对于第一类,有5种权限,6款软件均进行了获取。这5种权限所涉及的功能分别是拍摄、录音、读取电话状态(获取设备IMSI、IMEI号)、文件读取、文件写入。其中的拍摄、录音、文件读取、文件写入这四个权限对于在线教育系统来说是基本功能所必须的权限;而读取电话状态是目前几乎市面上所有类型型软件都具有的行为,这是基于厂商商业角度考虑所获取,其实并非软件实际功能所需。

对于第二类,有10种权限,6款软件均未获取。它们分别是:READ_CALL_LOG 读取通话记录、WRITE_CALL_LOG 编辑通话记录、PROCESS_OUTGOING_CALLS 修改或查看拨号、READ_PHONE_NUMBERS 读取本机电话号码、ANSWER_PHONE_CALLS 接听电话、ADD_VOICEMAIL 添加语音邮件、USE_SIP 使用网络电话、BODY_SENSORS 获取身体传感器(心率等)信息、RECEIVE_WAP_PUSH 接收WAP推送、RECEIVE_MMS 接收彩信。

除以上提到的15类权限外,剩余的11类权限,因涉及每个软件实现的功能不同及其它目的,所要求获取的权限也相应的略有差异。

2)存在问题

1、声明权限超出业务实际使用范围

达内软件在权限声明中提到了读取通讯录、编辑通讯录及访问精准定位等权限,但实际上软件并不含有与此权限相关的功能。

2、收集个人信息行为不规范

在用户关闭电话权限的情况下,学而思网校仍然会收集用户的部分设备信息、IP地址;达内软件未提供注销账户功能,也未提供个人隐私保护政策以说明注销账户后平台的处理措施。

3、隐私政策声明不规范

达内软件未提供隐私政策。

4、总结与建议

从调研结果来看,在系统权限申请使用及个人信息的收集方面,大部分在线教育类软件都能够遵守有关国家标准及规范,但是仍存在少数软件在个人信息收集及使用上不尽如人意,建议大家在进行此类软件的购买及使用时做好事前调查与甄别。

注:智能终端软件测试实验室拥有 “国家智能终端软件产品质量监督检验中心”资质,多年来一致致力于移动互联网应用安全检测技术研究,可以提供移动互联网应用安全检测及评估、个人隐私合规性检测、源代码安全审计、适配性测试、渠道监测等服务。

如有相关内容咨询,可以联系:王女士:15801567456/13691322040

合作站点
stat