总算明白广东通报迅雷、唯品会等 88 款问题 App，捷停车被罚 2 万上不良名单 - 最新消息

最新消息11月24日消息 11月23日，广东省通信管理局发布App监管情况通报（2021年10月），累计检测5千余款App，共发现疑似存在问题App 237款，经核验确定问题App 88款，对其中“红娘婚恋”等85款App运营者发出《违法违规App处置通知》责令限期改正并通知各应用商店督促整改，对问题突出的“捷停车”“驾考家园”“凯立德导航”3款App运营企业做出警告并罚款的行政处罚决定。

最新消息获悉，这些应用涉及迅雷（.7076）、唯品会（）、中信证券（）等。

被查处的 App 存在两方面问题，一是 App 及其后台服务器存在 “明文存储密码”“反编译”“SQL 注入”等数据安全隐患问题；二是违反用户个人信息保护规定，包括 “未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成 SDK 及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权，以及违反最小必要原则超前、超需、超频索取权限或采集信息，甚至不给必需权限不让用等强迫行为。

被予以行政处罚的 “捷停车”App 存在侵害用户权益的问题较为典型，其中最为突出的问题是:为用户注销账号设置过多不合理的障碍。App 在用户注册账号时仅凭手机号码及验证码即完成注册，但注销账号时却要求用户提供手机号码的真实姓名、身份证正反面照片，甚至要求用户提供电信运营商出具的手机号码权属证明方可受理。此外，该 App 还存在未使用相关功能就索取用户相机权限，且相机权限及 App 集成的地图、支付、推送、统计、分享等多个 SDK 均未在隐私政策中逐一列明。对此，广东省通信管理局约谈了捷停车 App 运营公司的负责人，对该公司做出给予警告并罚款两万元的行政处罚，同时报请工业和信息化部纳入电信业务经营不良名单。

附件:存在问题的App名单（88款）

序号

App名称

版本号

企业名称

侵害用户权益问题

安全隐患问题

驾考家园

广州先睿数码科技有限公司

1.“未公开收集使用规则”:App首次运行未经用户阅读隐私政策，就申请获取存储、电话、麦克风、相机和位置五项权限；
2.“未明示收集使用个人信息的目的、方式和范围”:隐私政策中没有说明获取相机和麦克风权限的目的、方式、范围；应用内集成多个第三方SDK，且未在隐私政策中声明；
3.“未经用户同意收集使用个人信息”:征得用户同意前就开始收集个人信息（Android ID、MAC地址等）；以默认方式同意隐私政策。

捷停车

深圳市顺易通信息科技有限公司

1.“违反必要原则收集个人信息”:在用户未使用相关功能或服务时，提前申请开启相机权限；
2.“未明示收集使用个人信息的目的、方式和范围”:隐私政策中没有列出获取存储、相机和拨打电话权限的目的、方式、范围，应用内集成多个第三方SDK，且未在隐私政策中声明；
3.“账号注销难”:为注销用户账号设置不必要或不合理条件。

凯立德导航

深圳市凯立德欣软件技术有限公司

1.未明示收集使用个人信息的目的、方式和范围:App申请使用相机、麦克风和通信录三项权限，超出隐私政策用户授权范围；
2.应用内集成多个可收集用户个人信息的第三方SDK，且未在隐私政策中声明。

千聊

广州思坞信息科技有限公司

1.以默认方式同意隐私政策；
2.违反必要原则:App在用户未使用相关功能或服务时，提前申请开启相机、麦克风权限；
3.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限（三十天）超过15个工作日。

KingRoot

广州云讯信息科技有限公司

1.未公开收集使用规则:App中未发现隐私政策；
2.未经用户同意收集使用个人信息:未经用户阅读隐私政策并征的同意前，应用就申请获取拍照、存储和读取电话状态权限；
3.超范围收集个人信息:应用申请使用拍照权限，超出隐私政策用户授权范围；
4.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

向日葵保险

广州向日葵信息科技有限公司

1.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
2.频繁索取存储权限:用户明确表示不同意后，仍频繁征求用户同意、干扰用户正常使用；

代码反编译风险
明文存储密码风险
File同源策略绕过漏洞

花生日记

广州花生日记网络科技有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI；
2.违反必要原则:更换头像时只同意存储权限不同意相机权限无法正常使用；
3.隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围。

组件导出风险
组件导出风险

夸克

.140

优视科技（中国）有限公司

1.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

代码反编译风险
签名机制漏洞
明文存储密码风险

NOW直播

.14

深圳市腾讯计算机系统有限公司

1.超范围收集个人信息:应用申请使用拍照权限，超出隐私政策用户授权范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

全民电视直播

珠海星动技术咨询有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
3.违反必要原则:“用户反馈”图片时只同意存储权限不同意相机权限，拒绝提供业务功能。

文件读取漏洞
注入漏洞
的XSS攻击漏洞

唯品会

广州唯品会电子商务有限公司

1.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

明文存储密码风险
File同源策略绕过漏洞

迅雷

.7076

深圳市迅雷网文化有限公司

1. App未明确告知收集使用读取联系人权限的目的、方式、范围；
2.隐私政策中未逐一列出第三方SDK收集个人信息的目的、方式、范围。

金十数据

广州金十信息科技有限公司

1.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
2.不给权限不让用:用户拒绝授予获取电话状态和访问外部存储权限后，无法使用应用。

的XSS攻击漏洞

布卡漫画

珠海布卡科技有限公司

1.不给权限不让用:用户拒绝授予访问外部存储权限后，无法使用应用.

明文存储密码风险
File同源策略绕过漏洞
3.密钥硬编码漏洞

爱拍

.912

广州爱拍网络科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取存储和电话权限；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
3.不给权限不让用:用户不同意开启非App运行最小必要的电话权限，App无法使用。

明文存储密码风险
File同源策略绕过漏洞

MAKA

深圳格莱珉文化传播有限公司

1.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
首次运行未经用户阅读隐私政策，就申请获取存储和电话权限。

时代财经

广东时代传媒有限公司

1.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
2.超范围收集个人信息:应用申请使用相机权限，超出隐私政策用户授权范围。

的XSS攻击漏洞

微商相册

深圳市微购科技有限公司

1.私自共享给第三方:应用内集成多个第三方SDK,且未在隐私政策逐一说明会向第三方共享信息；
2.不给权限不让用:用户拒绝授予访问外部存储权限后，无法使用应用。

1.应用数据任意备份风险
2.剪切板敏感信息泄露漏洞

迷人直播

深圳恩斯洛格科技有限公司

1.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
2.违规向他人提供个人信息:未经用户同意，App向接入的第三方mPush魔推SDK提供用户android id、IMEI、Mac地址等个人信息；
3.违反必要原则:App在用户未使用相关功能或服务时，提前申请开启位置、电话权限；
4.不给权限不让用:用户不同意开启非App运行最小必要的位置、电话权限，App无法使用；
5.未按法律规定提供删除或更正个人信息功能:更正、删除个人信息、注销用户账号的承诺时限（30天）超过15个工作日，个人信息安全投诉、举报渠道的承诺处理时限亦超过15个工作日。

西瓜影音播放器

深圳乡里云网络科技有限公司

1.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
2.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取存储和电话权限。

明文存储密码风险
File同源策略绕过漏洞

小7手游

.1986

深圳尚米网络技术有限公司

1.超范围收集个人信息:应用申请使用麦克风权限，超出隐私政策用户授权范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
3.不给权限不让用:用户不同意开启非App运行最小必要的电话权限，App无法使用。

丝瓜视频

深圳美明赞文化传播有限公司

1.未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等；
2.个人信息安全投诉、举报渠道的承诺处理时限（30天）超过15个工作日。

代码反编译风险
明文存储密码风险
File同源策略绕过漏洞

快猫

深圳市禾火网络科技有限公司

1.未按法律规定提供删除或更正个人信息功能；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

明文存储密码风险
File同源策略绕过漏洞
3.密钥硬编码漏洞

我的安吉拉

.1037

广州金科文化科技有限公司

1. App未明确告知收集使用拍照权限的目的、方式、范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

1.存在应用备份风险
2.存在Java代码反编译风险

汤姆猫跑酷

.491

广州金科文化科技有限公司

未明确告知收集使用拍照权限的目的、方式、范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

1.存在应用备份风险
2.存在Java代码反编译风险

老黄历通胜-日历万年历择日

广东灵机文化传播有限公司

未明确告知收集使用拍照、麦克风和电话权限的目的、方式、范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；

1.存在Java代码反编译风险

企鹅电竞

.516

深圳市腾讯计算机系统有限公司

Webview明文存储密码风险

九游

广州爱九游信息技术有限公司

未明确告知收集使用读取日程提醒权限的目的、方式、范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

帮购

深圳市帮购科技有限公司

1.未公开收集使用规则:App中未发现隐私政策；
2.不给权限不让用:用户拒绝授予读取电话状态、拍照、获取位置信息、访问外部存储和读取短信内容权限后，无法使用应用。

1.存在Java代码反编译风险

时空猎人

广州银汉科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取读取电话状态权限；
未明确告知收集使用读取短信内容权限的目的、方式、范围；
3.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

1.存在应用备份风险
2.存在Java代码反编译风险

洪铟八字算命

广州洪铟信息科技有限公司

1.私自共享给第三方:应用内集成第三方SDK，且未在隐私政策逐一说明会向第三方共享信息；
以默认方式同意隐私政策。

1.存在应用备份风险

唯彩看球

广州唯彩会网络科技有限公司

1.存在应用备份风险
2.存在Java代码反编译风险

神庙逃亡2

深圳市创梦天地科技有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、ip地址；
2.电话权限超频获取；
3.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
4.未按法律规定提供删除或更正个人信息功能。

地铁跑酷

深圳市梦域科技有限公司

首次运行未经用户阅读隐私政策，就申请获取电话、相机、位置、存储、麦克风和拨打电话权限；
2.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、ip地址
3.电话权限超频获取
4.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
5.未按法律规定提供删除或更正个人信息功能。

浏览器

深圳市艾酷通信软件有限公司

未明确告知收集使用相机、麦克风权限的目的、方式、范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

1.存在Java代码反编译风险

万联证券股票开户

万联证券股份有限公司

首次运行未经用户阅读隐私政策，应用就申请获取相机、录音、存储和位置信息权限；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

1.存在Java代码反编译风险

富途牛牛

深圳市富途网络科技有限公司

1应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
2.未经用户阅读隐私政策，应用就申请获取存储权限;
3.个人信息安全投诉、举报渠道的承诺处理时限（30天）超过15个工作日

立刷

嘉联支付有限公司

未明确告知收集使用麦克风权限的目的、方式、范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

1.存在应用备份风险
2.存在Java代码反编译风险

立刷商户版

嘉联支付有限公司

1.存在Java代码反编译风险

中邮钱包

中邮消费金融有限公司

未明确告知收集使用麦克风权限的目的、方式、范围

顺丰金融

深圳市顺恒融丰投资有限公司

未明确告知收集使用短信和日历权限的目的、方式、范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
3.未经用户阅读隐私政策，应用就申请获取位置信息、相机、存储、麦克风和电话状态信息权限。

1.存在Java代码反编译风险

乐刷商务版

深圳市移卡科技有限公司

1.未经用户阅读隐私政策，应用就申请获取读取位置、存储和电话三项权限；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

心语语音聊天交友

惠州市屹立信息技术有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

钱盒商户通

深圳盒子信息科技有限公司

未明确告知收集使用相机权限的目的、方式、范围；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
3.账号注销难:为注销用户账号设置不必要或不合理条件。

房贷计算器

深圳市中龙信息科技有限公司

1.未经用户阅读隐私政策，应用就申请获取电话状态信息权限；
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息；
3.更正、删除个人信息难:更正、删除个人信息的人工处理承诺时限（三十天）超过15个工作日；
4.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限（三十天）超过15个工作日。

飞贷

深圳中兴飞贷金融科技有限公司

应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

我要自学网

佛山市丰智胜教育咨询服务有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现获取Android ID、MAC地址、IMEI、IMSI；
2.存在嵌入第三方代码、插件等方式通过App客户端直接收集个人信息的情况，且在使用过程中未明确告知用户；
3.未按法律规定提供删除或更正个人信息功能。

三国志幻想大陆

深圳市豆悦网络科技有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、IP地址、MAC地址、IMEI、IMSI；
2.存在嵌入第三方代码、插件等方式通过App客户端直接收集个人信息的情况，且在使用过程中未明确告知用户。

哆点

广州热点软件科技股份有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现获取Android ID、IP地址、MAC地址、IMEI；
2.存在嵌入第三方代码、插件等方式通过App客户端直接收集个人信息的情况，且在使用过程中未明确告知用户；
3.未按法律规定提供删除或更正个人信息功能。

Q房网

深圳市云房网络科技有限公司

1.更正、删除个人信息处理时限过长:更正、删除个人信息的人工处理承诺时限为30天，超过15个工作日。

代码反编译风险；
明文存储密码风险；
3.密钥硬编码漏洞；
Provider数据泄露漏洞

跑跑达人

深圳市梦想畅游科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取个人的存储权限；
2.进入App主界面，隐私政策难以访问；
3.强制用户使用定向推送功能:利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项。

1.应用数据任意备份风险；
组件导出风险

蛇蛇争霸

深圳市抱一网络科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取个人的存储、电话两项权限；
2.进入App主界面，隐私政策难以访问；
3.不给权限不让用:用户不同意开启非App运行最小必要的电话权限，App无法使用。

签名机制漏洞

共享师资

广州利他网络科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取个人的相机、存储两项权限；
2.未明示收集使用个人信息的目的、方式和范围:隐私政策中未列出获取相机、存储权限的目的、方式、范围。
3.违反必要原则:App在用户未使用相关功能或服务时，提前申请开启相机权限；
在用户明确拒绝相机权限和存储权限申请后，频繁申请开启与服务场景无关的权限，骚扰用户；
5.以默认方式同意隐私政策。

1.剪切板敏感信息泄露漏洞；
的XSS攻击漏。

鲸鱼阅读

深圳市华阅文化传媒有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取个人的位置、存储和电话权限；
2.隐私政策难以访问:进入App主界面后，需5次（多于4次）点击操作才能访问到；
3.未明示收集使用个人信息的目的、方式和范围:隐私政策未列出获取存储权限的目的、方式和范围；
4.违反必要原则:App在用户未使用相关功能或服务时，提前申请开启位置权限。

全民千炮捕鱼

深圳游创天下网络科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取位置、存储、电话和短信权限；
2.进入App主界面，隐私政策难以访问；
3.违反必要原则:App在用户未使用相关功能或服务时，提前申请开启位置和短信权限。

代码反编译风险
签名机制漏洞
3.未移除有风险的Webview系统隐藏接口漏洞

捕鱼至尊宝

深圳智道明远科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取位置、存储、电话权限；
2.以默认方式同意隐私政策；
3.违反必要原则:App在用户未使用相关功能或服务时，提前申请开启位置权限。

签名机制漏洞；
明文存储密码风险；
3.“应用克隆”漏洞攻击风险；
4.未移除有风险的Webview系统隐藏接口漏洞。

红娘婚恋

深圳市创乐天下网络科技有限公司

1.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限30日超过15个工作日。

1.明文数字证书风险；
组件导出风险；
组件导出风险；
Receiver组件导出风险。

松果倾诉

广州智悦网络科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取存储、电话权限，亦未同步告知用户其目的；
2.不给权限不让用:用户不同意开启非App运行最小必要的电话权限，App无法使用。

签名机制漏洞

对庄翡翠

深圳市对庄科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取存储、电话权限；
2.进入App主界面，隐私政策难以访问；
3.未明示收集使用个人信息的目的、方式和范围:隐私政策中没有列出获取存储、电话、相机等权限的目的、方式、范围；
4.以默认方式同意隐私政策；
5.违反必要原则:修改个人信息头像时需要开启非最小必要的相机权限（存储权限是最小必要权限），不给权限不让修改；
6.不给权限不让用:用户不同意开启非App运行最小必要的电话权限，App无法使用；
7.投诉、举报承诺处理时限过长:个人信息安全投诉、举报渠道的承诺处理时限（三十天）超过15个工作日。

文件读取漏洞。

经络穴位图解

深圳市灸大夫医疗科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取存储、电话权限，亦未同步告知用户其目的；
2.不给权限不让用:用户不同意开启非App运行最小必要的电话权限，App无法使用；
3.账号注销难:为注销用户账号设置不合理条件，“30天缓冲期”的注销处理承诺时限超过15个工作日。

签名机制漏洞

史上最坑爹的游戏3

珠海顶峰互动科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取存储、电话权限；
2.不给权限不让用:用户不同意开启非App运行最小必要的电话权限，App无法使用；
3.应用内集成多个第三方SDK，未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等。

代码反编译风险
签名机制漏洞

云淘集

深圳市造梦网络科技有限公司

1.未明示收集使用个人信息的目的、方式和范围:在申请打开可收集个人信息的存储、位置权限时，未同步告知用户其目的；
2.隐私政策中没有列出获取存储、位置权限的目的、方式、范围；
3.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

代码反编译风险；
明文存储密码风险；
File同源策略绕过漏洞；
的XSS攻击漏洞

万顺叫车

深圳万顺叫车云信息技术有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取个人位置、存储和电话三项权限；
2.违反必要原则:修改个人信息头像时需要开启非最小必要的相机权限（存储权限是最小必要权限），不给权限不让修改；
3.未明示收集使用个人信息的目的、方式和范围:隐私政策未列出获取相机权限的目的、方式和范围；
4.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户。

口袋助理

深圳市口袋网络科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取存储、电话权限。

明文存储密码风险
2.密钥硬编码漏洞
的XSS攻击漏洞

妈妈金融学院

广州普融教育科技有限公司

首次运行未经用户阅读隐私政策，就申请获取存储权限。

代码反编译风险；
明文存储密码风险；
File同源策略绕过漏洞。

美胸汇

广州一九九零科技有限公司

1.未公开收集使用规则:App首次运行未经用户阅读隐私政策，就申请获取位置、电话权限；
2.违反必要原则:App在用户未使用相关功能或服务时，提前申请开启相机、位置、麦克风权限。

文件读取漏洞

十色成人两性情趣

深圳市德他数据有限公司

未明确告知收集使用电话权限的目的、方式、范围；
2.违反必要原则:App在用户未使用相关功能或服务时，提前申请开启拨打电话和相机权限。

组件导出风险；
组件导出风险

有车以后

广州有车以后信息科技有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK检索了应用程序。
2.超频获取电话权限。

环境检测
2.防截屏检测
3.界面劫持安全

坐车网

广州浩宁智能设备有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK获取Android ID、MAC地址。
2.超频获取电话权限。
3.未提供有效的更正、删除个人信息及注销用户账号功能。

环境检测
2.敏感信息内存加密
3.防截屏检测
4.界面劫持安全
5.登陆密码爆破风险

八斗银

广东八斗银建设投资集团有限公司

1.未明示收集使用个人信息的目的、方式和范围:申请个人信息权限或个人敏感信息时未同步告知用户目的，且隐私政策中也未说明。
2.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK检索了应用程序、Android ID、MAC地址、ip地址。
3.未提供撤回已同意授权的用户操作方法。
4.应用内集成多个可收集个人信息的第三方SDK，但未在隐私政策逐一说明是否向第三方共享信息。
5.未提供账号注销途径。

环境检测
2.防截屏检测
3.界面劫持安全

高铁管家

深圳市活力天汇科技股份有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK获取应用程序、Android ID。
2.超频获取电话权限。

环境检测
2.界面劫持安全

WiFi管家

深圳市腾讯计算机系统有限公司

1.账号注销难:应用内未发现注销账号功能
2.应用内集成多个可收集个人信息的第三方SDK，且未在隐私政策逐一说明以及是否向第三方共享信息。

Webview明文存储密码风险

广银信用卡

广州银行股份有限公司信用卡中心

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK获取应用程序、Android ID、MAC地址、ip地址。
2.同意存储权限不同意相机权限无法正常使用更换头像功能。
3.隐私政策未发现描述响应时限的条款。

蜜桃直播

广州市九浚信息技术有限公司

1.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK获取了应用程序、Android ID、MAC地址、IMEI。
2.主界面四步以内未能找到隐私政策。

环境检测
2.防截屏检测
3.界面劫持安全
4.登陆密码爆破风险

56视频

广州市千钧网络科技有限公司

1.未明示收集使用个人信息的目的、方式和范围:56视频隐私政策完全调用搜狐视频隐私政策，描述完全一致，且未通过自定义弹窗告知索权目的。
2.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK检索了应用程序、IP地址、MAC地址、IMEI、IMSI。
3.应用内集成多个可收集个人信息的第三方SDK，但未在隐私政策逐一说明是否向第三方共享信息。

人气直播

深圳市果酱时代科技有限公司

1.未明示收集使用个人信息的目的、方式和范围:隐私政策中未明示手机信息权限和存储权限使用目的，也未使用自定义弹框同步告知目的。
2.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK检索了应用程序、Android ID、IMSI。
3.以默认同意的方式收集个人信息:首次登录时默认同意隐私政策。
4.应用内集成多个可收集个人信息的第三方SDK，但未在隐私政策逐一说明是否向第三方共享信息。

1.敏感信息内存加密
2.防截屏检测
3.界面劫持安全

来吼语音

广州柠柠网络科技有限公司

1.未明示收集使用个人信息的目的、方式和范围:首次运行未以弹窗的方式告知用户协议和隐私政策，也未使用自定义弹框同步告知索权目的。
2.未经用户同意收集使用个人信息:首次开启App，未同意隐私政策前行为监控发现GET_TASK检索了应用程序、Android ID、MAC地址、ip地址、IMEI、IMSI。
3.以默认同意的方式收集个人信息:首次登录时默认同意隐私政策。
4.应用内集成多个可收集个人信息的第三方SDK，但未在隐私政策逐一说明是否向第三方共享信息。

界面劫持安全

记点点记账

广州小迈网络科技有限公司

1.应用内集成多个可收集个人信息的第三方SDK，但未在隐私政策逐一说明是否向第三方共享信息。
2.未公开收集使用规则:App首次运行未弹窗提示用户阅读隐私政策。
3. 未明示收集使用个人信息的目的、方式和范围:申请打开可收集个人信息的权限时，未同步告知用户其目的。

广州农商银行

广州农村商业银行股份有限公司

极简记账

深圳路得青云信息科技有限公司

奥买家全球购

广东奥园奥买家电子商务有限公司

存在Java代码反编译风险

恒大财富

恒大互联网金融服务（深圳）有限公司