一款看似普通的传感器配套 APP,可能正在把专业监测场景中的设备、系统、会话与行为数据带出境外网络。我们对HXXXX APP(原文件名已做加密处理)进行了动态抓包、静态分析、应用市场溯源、淘宝销售线索、国内招投标数据与美国政府采购数据的交叉核验,形成了一份面向客户决策的数据出境调研报告。
HXXXX APP 是某境外公司为数据记录器提供的移动端工具,主要用于设备连接、参数配置、数据下载、导出、分享及云服务联动。测试显示:在中国大陆境内网络环境下,该 APP 会向 Microsoft App Center 的 in.appcenter.ms 发起日志上传请求并获得成功响应。这一链路不依赖业务登录是否成功,也不依赖 Google 服务是否可访问。——境内终端数据被发送至境外第三方云服务,已构成明确的数据出境事实。
更值得注意的是,在指定网络环境下,该 APP 还会触发旧版业务接口,涉及用户名、密码、token、APP 版本、设备型号、固件类型和版本信息。静态分析还发现新版云端认证及数据上传路径,显示应用内部存在云端认证、数据上传、配置同步和远程连接能力。受证书校验限制,部分新版链路尚未完整动态验证,但其潜在风险已不应被简单视为普通 APP 遥测。
风险之所以敏感,是因为该设备并非普通消费电子产品。 国内公开销售和招投标线索显示,其产品已进入高校、科研院所、生态环境、水利、海洋、农林、冷链、工业、文博档案、建筑节能等专业场景。淘宝“某中国总站”等渠道销售多类数据记录器、气象站、温湿度与水下监测设备;国内项目中可见荒漠生态、竹林生态定位观测、遥感实验室、水文水资源、近海水文气象、水环境监测、生态环境监测网络等采购场景。——潜在外泄数据不只是 APP 运行日志,更可能包含长期监测点位、设备部署、项目管理和机构业务信息。
报告同时核验了该境外公司的美国政府采购背景: 数据显示,2007—2026 年间其与美国联邦政府存在数百笔合同,采购内容集中在环境、水文、气象、实验室和测量设备领域,其中包括美国国防部及陆军工程兵团相关采购记录。这并不等于中国用户数据直接流向美军,但“境外接收方具有美国政府及国防部供应商背景”本身,已构成数据出境合规和供应链安全评估中的重要风险因素。
因此,相关单位在采购、测试和使用该 APP 前,应要求厂商或代理提供数据流向图、第三方 SDK 清单、境外接收方说明、遥测关闭方案、离线使用方案及中国大陆数据出境合规材料;涉及科研、生态、水利、海洋、工业和公共部门场景时,更应对设备配置、项目数据和上传路径进行单独评估。完整证据链、抓包结果、接口清单、国内应用场景与采购背景,请下载报告全文查看。
注:本报告所有数据均来自公开媒体报道、学术文献及政府公开文件,仅用于学术研究。
相关分析报告(5864字)、《HXXXX APP境内传感器数据出境调研报告》已进行合规化处理并上传至星球。
