新闻中心

CSTC横评 | 视频会议泄露个人信息?一份来自中国评测智能终端实验室的提醒

2020-03-19

23048

      2020年伊始,新型冠状病毒疫情打乱了大家的工作和生活节奏。为打赢这场疫情,企事业单位自觉响应政府的倡议及号召,在复工后大多采取远程在线办公模式,学校也开展网课实现“停课不停学”。如此一来,在线视频会议系统市场用户规模出现爆炸式增长。

      通过视频会议系统在线开会讨论工作、开展企业内训、上网课、交作业……一时间大家用得得心应手。但是很多人在使用时可能会更关心网速好不好,甚至关心摄像头有没有加美颜,却又有多少人在关心自己是否无意中泄漏了个人信息呢?

      按照GB/T 35273-2020《信息安全技术 个人信息安全规范》的定义,所谓个人信息,是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。具体可包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

      个人信息被泄露后所带来的危害,相信大家都有切身体会,轻者可能被商家利用,给个人的生活带来不必要的困扰,重者可能会带来经济上的重大损失。基于此,在使用视频会议的时候,作为个人信息权利主体的我们,有必要了解这类软件在收集及使用个人信息的现状。为了帮大家拨开迷雾,中国软件评测中心智能终端软件测试实验室选取市场上影响范围较广的几款视频会议软件进行了研究比对。


研究对象的选取

本次仅选择用户规模较大,影响范围较广的7款软件进行研究,它们分别是腾讯会议V1.2.2、小鱼易连V2.28.7、钉钉V5.0.5、华为会议V6.1.238、飞书V3.18.4、全时云会议V5.0.2和好视通云会议V3.20.3。在平台选择上,本次只选择其相应的Android平台版本;在下载渠道上,所有软件均从其官网上进行下载。


研究指标的选取

本次研究主要选取了权限及个人信息相关内容,具体包括如下:

1.   权限相关

本次所考察的权限范围包括CALENDAR 日历、CALL_LOG 通话记录、CAMERA 相机、CONTACTS 通讯录、LOCATION 位置、MICROPHONE 麦克风、PHONE 电话、SENSORS 传感器、SMS 短信、STORAGE 存储。

5A067


2.   个人信息相关

与个人信息相关的项目包括:

  • 是否有隐私政策

  • 隐私政策中是否逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等

  • 是否向用户提供任何拒绝收集、使用其个人信息的方式

  • 在用户未同意收集个人信息前,是否已经存在收集个人信息的行为

  • 用户不同意收集某类个人信息,是否仍收集该类个人信息

  • 实际收集、使用的个人信息是否超出用户同意范围

  • 是否默认开启收集、使用个人信息相关系统权限


测试结果及分析

1.  权限申请相关测试结果

以下为7款软件所声明的权限获取内容。对于存在声明获取的权限,则表格中相应结果以“√”表示,否则为“/”。



2.  个人隐私相关内容测试结果

说明:表格中的“√”表示有对应测试项的行为发生,如未有此行为,则为“/”。


32E62


3. 结果分析

(1)总体情况


BB1F

图1:7款软件获取权限数量对比


      从所声明的权限数量来看,钉钉及飞书要获取的系统操作权限数量均为13个,全时云会议为12个,好视通云会议为9个,小鱼易连为9个,华为会议为8个,腾讯会议为6个。

      对于所考察的26类权限,按照7款软件获取的情况分为三类,第一类是7款软件均有获取,第二类是7款软件均未获取,第三类是其它,即介于一类及二类之间。图2展示了三类情况的占比。


BF0B


图2:7款软件获取权限的几种情况对比


      对于第一类,有4种权限7款软件均进行了获取。这四种权限所涉及的功能分别是拍摄、录音、读取电话状态(获取设备IMSI、IMEI号)、文件写入。其中的拍摄、录音、文件写入这三个权限对于在线视频会议系统来说是基本功能所必须的权限;而读取电话状态并非软件功能所需,而更多的是基于厂商商业角度考虑所获取,这也是目前比较有争议的一个行为。

      对于第二类,有9种权限7款软件均未获取。它们分别是:READ_CALL_LOG 读取通话记录、WRITE_CALL_LOG 编辑通话记录、READ_PHONE_NUMBERS 读取本机电话号码、ANSWER_PHONE_CALLS 接听电话、ADD_VOICEMAIL 添加语音邮件、USE_SIP 使用网络电话、BODY_SENSORS 获取身体传感器(心率等)信息、RECEIVE_WAP_PUSH 接收WAP推送、RECEIVE_MMS 接收彩信。

      除以上提到的13类权限外,剩余的13类权限,因涉及每个软件实现的功能不同,所要求获取的权限也相应的略有差异,如对于SEND_SMS 发送短信这个权限,仅有华为会议获取,是因为华为软件具有通过短信分享链接的功能;而全时云会议索要接收短信权限是因为它需要用户在登录时接收手机验证码等。


(2) 存在问题

1. 申请权限大于业务实际所需

      在权限的申请与使用方面,存在申请的权限大于业务实际所需的情况。如全时云会议申请了访问精准定位、访问粗略位置和接收短信权限,但没有提供显示与会者位置,提示接收短信等功能;好视通云会议申请了修改或查看拨号权限,但是均未使用相关功能。

2. 个别软件隐私政策声明不规范

      从个人信息收集方面来看,7款软件均公布有相应的隐私政策,其中6款软件均在隐私政策中说明了收集个人信息的类型、范围及目的。小鱼易连的隐私政策中只说明了收集个人信息的类型和范围,未明确说明收集这些信息的目的,只是笼统的说明用于优化服务体验,确保产品和服务的安全等。


总结与建议

      从调研结果来看,大部分软件在系统权限申请使用及个人信息的收集上较为规范,可以按照有关国家标准及规范并结合自身业务进行权限获取及个人信息收集,但是仍存在少数软件在个人信息收集及使用上不规范行为,建议大家在进行此类软件的购买及使用时做好事前调查与甄别。


注:智能终端软件测试实验室拥有 “国家智能终端软件产品质量监督检验中心”资质,多年来一致致力于移动互联网应用安全检测技术研究,可以提供移动互联网应用安全检测及评估、个人隐私合规性检测、源代码安全审计、适配性测试、渠道监测等服务。

      如有相关内容咨询,可以联系:王女士15801567456/13691322040


3349381607