盘点！2022年度TOP1000应用绿标安全标准评测数据年终总结来啦

上周，软件绿色联盟发布了2022年度绿标五大标准各类应用表现情况的年终总结，今天我们也来总结一下TOP1000应用绿标安全标准评测数据，希望帮助开发者及测试人员主动完成APP安全合规治理工作，高效适配绿标安全标准，与软件绿色联盟一起打造健康、绿色、安全的应用环境。

一、总结2022年度TOP1000应用绿标安全标准评测数据

软件绿色联盟与广大应用厂商精诚配合，积极开展绿标评测，并推动问题应用进行整改，2022年安全标准达标率从68.9%提升至78.9%，提高了10%，450+应用完成整改。

【分析安全标准未通过检测项】：隐私违规、高危权限依旧是需要开发者重点关注的风险项，全年未通过的平均占比率分别是53.5%、55%。从走势图可以看出，隐私违规问题由70.4%降至36.7%，得到了明显改善，高危权限问题较突出，在下文会进一步展开分析。

二、总结隐私检测项高频问题及解决方案

1.哪些问题得到了显著改善？

隐私政策同意或拒绝不规范问题：隐私政策未提供拒绝按钮或仅使用“好的”、“我知道了”等无法清晰表达用户同意的词语。

频繁申请权限问题：APP首次启动或再次运行时，部分功能频繁弹窗申请权限，如存储权限、设备信息权限、位置权限等。

欺骗误导用户下载APP问题：应用广告界面无APP下载提示，点击广告页面下载APP、应用通过诱导性文字欺骗误导用户下载APP等场景。

经过一年的推动整改，以上问题得到显著改善。

2.还有部分问题待改善：

1）截止2022年12月，违规收集个人信息的问题应用占未通过安全标准应用的80.8%，是隐私安全检测的重灾区！主要不通过现象：

①APP本身获取软件安装列表信息、WLAN MAC信息等，但未在隐私政策中告知用户。

举例：某金融理财类APP在浏览模式下，获取WLAN MAC信息，未在隐私政策中声明。

问题应用：通×信

版本号：5.76

具体问题：在“浏览模式”下，该应用获取WLAN MAC信息，未在隐私政策中声明。

解决方案：浏览模式下，隐私政策未以弹窗等形式向用户明示清晰收集使用个人信息的目的、方式和范围时，严禁获取任何用户数据。开发者需在隐私政策中清晰明示该APP获取信息的类型以及获取目的、方式和范围。

②APP内嵌三方SDK如广告类SDK（穿山甲、广点通等）、推送类SDK（个推、华为推送等）等获取系统安装的应用程序、IMSI、GPS定位信息等数据，未在隐私政策中声明。

举例：某旅游住宿类APP内嵌三方SDK违规收集个人信息

问题应用：首×如家

版本号：9.13.0

具体问题：在测试过程中，发现该APP存在个推SDK获取系统安装的应用程序行为，但是未在隐私政策中声明。

解决方案：APP集成的第三方SDK必须以个人信息处理规则弹窗等形式向用户明示第三方SDK处理个人信息的目的、方式和范围。

③应用的隐私政策中未清晰、完整的明示第三方SDK收集和处理数据的目的、方式和范围。这种情况下请开发者在用户隐私政策等公示文本中逐一罗列APP所集成的第三方SDK列表以及该SDK收集使用个人信息的目的、方式和范围，并征得用户同意。请开发者参见正确示例↓：

正确示例↑

错误示例↑

④APP本身或内嵌三方SDK未清晰明示具体获取的数据类型，仅用“设备信息”、“软硬件序列号”等代替设备MAC地址、IMSI和IMEI。

2）截止2022年12月，过度申请权限&不给权限无法注册登录的问题应用占未通过安全标准应用的11.0%。目前依然存在的问题如部分应用启动即申请与业务场景无关的授权、部分基金股票类应用不给电话等权限无法注册登录等场景。

举例：不给权限无法注册登录

问题应用：东×财富

版本号：10.5.1

具体问题：测试人员在注册登录时，APP向用户索取设备信息权限，拒绝授权则无法正常注册或登录该APP。

解决方案：应用权限申请必须遵循最小化原则，只申请业务功能所必要的权限，禁止申请不必要的权限。用户拒绝授予某个权限时，与此权限无关的其他业务功能必须保证能正常使用，包括应用可以正常注册或登录。

三、总结高危权限检测项高频问题及解决方案

1.哪些问题得到了优化？

在高危权限检测项中，不当调用android.permission.BIND_ACCESSIBILITY_SERVICE的问题得到了优化，由36%降至20%。合规指引：仅限APP实现支持无障碍功能情况下，可以申请使用此权限，如针对视障人士的屏幕朗读功能。除上述合理使用场景外，其他场景一律禁用该权限。

2.还有部分问题待改善：

1）截止2022年12月，不当调用android.permission.CALL_PHONE的问题应用占未通过安全标准应用的62%。便捷生活、旅游住宿、主题个性类应用出现调用android.permission.CALL_PHONE权限的概率最高。常见的问题现象如：在用户拨打经销商、客服、商家（电话购票等方式）、机构电话等场景下进行电话咨询时，存在调用android.permission.CALL_PHONE权限的行为。

举例：某旅游住宿类APP不当调用

android.permission.CALL_PHONE权限

问题应用：携×旅行

版本号：8.55.0

具体问题：在用户与酒店人员拨打电话的场景中，点击“电话”按钮后直接拨打电话。

解决方案：对于拨打电话功能，除一键报警、安全专线、网络会议等必须场景外，其他场景禁止申请android.permission.CALL_PHONE权限。建议开发者可以使用Intent.Action_DIAL，启动Android系统的拨号应用程序，调起拨号界面，然后由用户进行手动拨号。这种方式不需要任何权限的设置。

2）截止2022年12月，不当调用android.permission.BIND_NOTIFICATION_LISTENER_SERVICE权限的问题应用占未通过安全标准应用的18%。常见的问题现象如实用工具类：WiFi、手机管家等具有清理、管理能力的APP，调用该权限清理通知栏中消息。

举例：某金融理财类APP调用

android.permission.BIND_NOTIFICATION_LISTENER_SERVICE权限

问题应用：中×人保

版本号：6.12.1

具体问题：测试人员在遍历APP功能时，在测试工具中监控到该APP在无合理场景的情况下，调用

android.permission.BIND_NOTIFICATION_LISTENER_SERVICE权限。同时在隐私政策中，未清晰明示此权限的使用场景与目的。

解决方案：监听通知栏是高危权限，滥用此权限可能导致用户隐私泄露，只有极少数APP在特定场景下可申请，如手表手环穿戴应用，将通知栏信息引导至穿戴设备的情况下。在无合理场景的情况下，请开发者直接删除此权限，避免权限检测时出现异常。关于监听通知栏权限合理VS不合理使用场景说明的内容，可前往此链接查看。