您當前所在位置:知道(dào)網絡 > 新聞 > 行(xíng)業新聞

我們

實測37款App:原來(lái)我們每天被讀取幾千次
微信獲取位置信息69次、讀寫儲存空(kōng)間(jiān)549次,高(gāo)德地圖獲取位置信息34次、抖音(yīn)獲取位置信息23次、支付寶獲取位置信息13次、微博獲取位置信息12次,這是某用戶手機App一天的權限使用記錄。
十幾款手機App竟然在用戶毫無感知的情況下,幾乎看光了手機裏的全部內(nèi)容。為(wèi)何有(yǒu)些(xiē)App沒有(yǒu)主動告知就偷偷自啓動讀寫儲存空(kōng)間(jiān)、照片和(hé)文件?為(wèi)何一些(xiē)和(hé)自身服務定位毫不相幹的權限,App都想要?這些(xiē)App在調取手機權限時(shí),早已在不知不覺間(jiān)經過了用戶允許。
半個(gè)月前,國家(jiā)互聯網信息辦公室、工業和(hé)信息化部等四部門(mén)聯合發布了《常見類型移動互聯網應用程序必要個(gè)人(rén)信息範圍規定》(簡稱《規定》),明(míng)确對39類App劃定了必要個(gè)人(rén)信息範圍,5月1日起正式實施。這意味着,App、小(xiǎo)程序運營者過度索權的行(xíng)為(wèi)将會(huì)得(de)到規範,公民在網絡空(kōng)間(jiān)的合法權益将會(huì)得(de)到保護。
距離此項《規定》正式落地已不足一個(gè)月,記者對市面上(shàng)包含社交、購物、出行(xíng)、娛樂在內(nèi)的37款主流App使用權限進行(xíng)測試後發現,仍然有(yǒu)不少(shǎo)App涉嫌過度索權,其中不乏百度地圖、快手、UC等知名App。
 
 
每部手機每天被定位3691次
今年1月,小(xiǎo)米MIUI隐私保護能力建設研發團隊公布了這樣一組數(shù)據:“平均每部手機每天會(huì)被App定位3691次,相冊和(hé)個(gè)人(rén)文件每天被App訪問2432次,App在後台每天嘗試悄悄地啓動783次,有(yǒu)超過40萬個(gè)App可(kě)以直接讀取用戶的剪切闆。”
簡單計(jì)算(suàn),一部手機平均每小(xiǎo)時(shí)會(huì)被App定位154次,平均1分鍾被定位2.56次。你(nǐ)根本無法察覺App暗中在做(zuò)什麽。
 
App對用戶信息的渴望,遠超用戶想象。
4月7日,記者使用一部安卓國産手機下載了較為(wèi)常用的37款App,涵蓋社交、娛樂、電(diàn)商、出行(xíng)等領域。
從手機權限管理(lǐ)界面中看到,37款App都涉嫌索要定位權限、拍照、錄像權限以及手機識别碼(IMEI碼)權限。
不僅如此,33款App索要通(tōng)訊錄權限,大(dà)多(duō)要求“讀取聯系人(rén)”,微信、QQ、脈脈、淘寶、微博5款App獲取的通(tōng)訊錄權限還(hái)包括“新建/修改/删除聯系人(rén)”;QQ、鐵(tiě)路12306和(hé)微博3款App還(hái)索取“讀取彩信”“讀取短(duǎn)信記錄”的權限;番茄免費小(xiǎo)說則需要讀取用戶撥打電(diàn)話(huà)的權限。
一些(xiē)App在其“個(gè)人(rén)信息保護政策”中對此做(zuò)了解釋。
美圖秀秀稱,收集用戶位置、設備信息是為(wèi)了幫助用戶獲得(de)更感興趣的社區(qū)內(nèi)容,或在工具素材和(hé)廣告內(nèi)容推薦上(shàng)呈現更符合需求的內(nèi)容,減少(shǎo)對海量內(nèi)容篩選的時(shí)間(jiān);bilibili表示,索取設備信息權限是為(wèi)了給用戶提供視(shì)頻展示和(hé)播放服務,索取定位是為(wèi)了定向推薦、維護和(hé)改進産品之必須;番茄免費小(xiǎo)說申請(qǐng)電(diàn)話(huà)權限,是為(wèi)了用戶看到廣告頁需要撥号和(hé)顯示對方電(diàn)話(huà)所設置。
除上(shàng)述授權要求外,有(yǒu)不少(shǎo)App還(hái)需要讀取用戶的剪切闆、日曆、存儲等權限。如果一款導航類App索取定位是為(wèi)了給用戶提供服務,為(wèi)何愛(ài)奇藝、bilibili、脈脈、QQ音(yīn)樂等App也要獲取用戶的定位信息?
為(wèi)何讀書(shū)軟件也要讀取用戶撥打電(diàn)話(huà)的權限?
社交類App啓用麥克風是為(wèi)了便于交流,為(wèi)何餐飲訂單平台要啓用麥克風及錄音(yīn)功能?
事實上(shàng),手機裏的不同權限對應不同風險。民間(jiān)非企運營互聯網安全組織網絡尖刀創始人(rén)曲子龍告訴《IT時(shí)報》記者。
獲取通(tōng)訊錄權限,大(dà)多(duō)用于做(zuò)大(dà)數(shù)據畫(huà)像,同時(shí)獲得(de)用戶的“社交關系”,容易被不法分子盜取後用于詐騙;短(duǎn)信權限的風險更大(dà),如果被濫用,輕則被利用“薅羊毛”,重則被用于攔截短(duǎn)信驗證碼,控制(zhì)所有(yǒu)的數(shù)字資産;麥克風權限,則可(kě)以用于監聽(tīng);至于位置、相冊權限,多(duō)用于建立行(xíng)動軌迹和(hé)獲取相冊裏的隐私。
至于App自動讀取手機的應用列表,是通(tōng)過應用列表分析用戶使用什麽應用、使用多(duō)少(shǎo)次,大(dà)多(duō)用于廣告大(dà)數(shù)據分析,也有(yǒu)一些(xiē)手機助手是為(wèi)了判别用戶是否安裝某程序,是否需要推薦以及程序是否需要升級。
 
多(duō)款App不授權不可(kě)用
《常見類型移動互聯網應用程序必要個(gè)人(rén)信息範圍規定》開(kāi)篇便明(míng)确,網絡運營者不得(de)收集與其提供服務無關的個(gè)人(rén)信息,移動互聯網應用程序(App)運營者不得(de)因用戶不同意收集非必要個(gè)人(rén)信息,而拒絕用戶使用App基本功能服務。
但(dàn)當記者對一些(xiē)常用App進行(xíng)測試後發現,不授權便不可(kě)用的現象,較為(wèi)普遍。比如,《規定》對運動健身類App的要求均是無須個(gè)人(rén)信息,即可(kě)使用基本功能服務。記者測試了部分健身類App發現,如果不登陸用戶賬号将無法正常使用keep、Hi運動、每日瑜伽App。在安卓手機應用市場(chǎng)裏下載“美腿瘦腿”App時(shí),會(huì)跳(tiào)出授權選項,需要用戶授權App讀取存儲、電(diàn)話(huà)、位置信息、麥克風、通(tōng)訊錄及其他權限,如果不同意,将無法下載該App。比如,《規定》對于女性健康類App的要求是無須個(gè)人(rén)信息,即可(kě)使用基本功能服務。但(dàn)當記者打開(kāi)媽媽網備孕App時(shí),必須要注冊信息,否則不能正常使用。
此外,記者還(hái)發現,很(hěn)多(duō)權限用戶無法手動進行(xíng)關閉,而一旦在開(kāi)始點擊了同意隐私協議,或者打開(kāi)了某項權限,該權限下方所包含的更多(duō)細節也都一并處于默認打開(kāi)狀态。
長期專注于移動安全領域的廠商安天移動安全,近年來(lái)持續大(dà)力投入,形成了一套針對移動風險應用治理(lǐ)的有(yǒu)益體(tǐ)系,其中也包含了對App隐私權限問題的針對性檢測,能夠較好檢出App違法違規收集個(gè)人(rén)信息的各類問題。
“根據目前我們檢出的數(shù)據統計(jì)結果,Top3隐私權限問題為(wèi)‘無隐私彈窗、彈窗前收集個(gè)人(rén)信息、強制(zhì)索權’。其實目前市面上(shàng)的很(hěn)多(duō)應用均或多(duō)或少(shǎo)存在一定隐私權限方面的問題,這是普遍現象。”安天移動安全方面人(rén)士說道(dào)。
 
不同手機App授權管理(lǐ)不同
更令人(rén)驚訝的是,有(yǒu)些(xiē)App的權限被用戶拒絕後,卻又悄悄被打開(kāi)了。
記者在一台魅族手機自帶的應用商店(diàn)裏下載了一款百度地圖App,首頁默認勾選開(kāi)啓定位、存儲、麥克風、設備信息四項授權,并在屏幕最下方有(yǒu)“同意”和(hé)“不同意并退出”的按鈕。
記者将四項授權全部取消後,點擊“同意”按鈕,便進入百度地圖搜索頁面。然而,當記者查詢某條路線時(shí),百度地圖依然自動定位了“我的位置”,并提供了導航路線。
這是怎麽回事?記者進入手機裏百度地圖“應用訪問授權”設置後發現,在已經拒絕的前提下,位置信息、存儲空(kōng)間(jiān)、日曆、電(diàn)話(huà)、相機、通(tōng)訊錄和(hé)麥克風均為(wèi)開(kāi)啓狀态。
根據《規定》,地圖導航類App的基本功能服務為(wèi)“定位和(hé)導航”,必要個(gè)人(rén)信息為(wèi)位置信息、出發地、到達地。但(dàn)如果根據記者的測試結果,這款百度地圖App不僅涉嫌過度索權,而且還(hái)有(yǒu)欺騙用戶的嫌疑。
然而,記者在自己的華為(wèi)手機上(shàng)做(zuò)了同樣測試,無論是從華為(wèi)應用市場(chǎng)還(hái)是魅族應用市場(chǎng)中下載的百度地圖,隻要在初始狀态拒絕授權,其權限內(nèi)默認是關閉狀态。
百度地圖客服人(rén)員用兩款手機測試後,得(de)到了和(hé)記者同樣的結論,但(dàn)她也坦承,目前暫時(shí)無法确定記者測試結果不同的原因,可(kě)能是與手機型号有(yǒu)關。
記者分别用魅族和(hé)華為(wèi)手機測試了其他App,測試發現,首次打開(kāi)App的狀态下,沒有(yǒu)點擊任何授權,以下App分别啓動了部分權限。
記者在“應用權限管理(lǐ)”中看到:快手、西瓜視(shì)頻、抖音(yīn)、騰訊視(shì)頻、keep、UC浏覽器(qì)、搜狗浏覽器(qì)均在自動讀取應用列表。在此基礎上(shàng),西瓜視(shì)頻和(hé)抖音(yīn)、keep、UC浏覽器(qì)還(hái)在讀取手機識别碼;騰訊視(shì)頻和(hé)搜狗浏覽器(qì)均可(kě)以修改系統設置。
盡管以上(shàng)App 提供的基本服務不同,但(dàn)根據《規定》,短(duǎn)視(shì)頻類、新聞資訊類、在線影(yǐng)音(yīn)類、浏覽器(qì)類、運動健身類App均無須個(gè)人(rén)信息,即可(kě)使用基本功能服務。根據記者的測試結果意味着,上(shàng)述App涉嫌過度索權。
但(dàn)是,記者使用華為(wèi)手機用同樣的方式對上(shàng)述App進行(xíng)測試發現,以上(shàng)App的權限均為(wèi)禁止狀态。
為(wèi)何不同手機在獲取權限方面有(yǒu)不同的表現?記者緻電(diàn)抖音(yīn)和(hé)西瓜視(shì)頻的客服,對方表示暫未接到上(shàng)述問題的反饋;Keep客服并未對此進行(xíng)解釋,但(dàn)表示如果不想App獲取權限,用戶找到相應權限将其關閉即可(kě)。其餘App的客服則無人(rén)接聽(tīng)。
業內(nèi)人(rén)士猜測,這或許與不同手機廠商對App索權的限制(zhì)有(yǒu)關,或者是某些(xiē)應用市場(chǎng)裏的特制(zhì)安裝包,有(yǒu)後門(mén)存在。
“同款App針對不同的分發渠道(dào),即使是同一個(gè)版本也會(huì)有(yǒu)針對性不同的策略,可(kě)能從正規應用市場(chǎng)下載的App符合監管要求,用戶授權前不會(huì)收集任何個(gè)人(rén)信息,但(dàn)我從其他第三方分發平台下載的同名稱應用就會(huì)存在問題。”安天移動安全大(dà)白鵝團隊說。
碁震安全研究團隊高(gāo)級研究員宋宇昊認為(wèi),安卓系統原生(shēng)提供了針對一部分權限的訪問控制(zhì)(比如通(tōng)話(huà)、相機、麥克風),對于這部分訪問權限的提示,在所有(yǒu)安卓手機上(shàng)都是相同的。
但(dàn)是在這部分權限以外,例如手機識别碼的權限控制(zhì),并不是安卓原生(shēng)提供,而是由各家(jiā)手機廠商自己定制(zhì)的。在這種情況下,需要控制(zhì)哪些(xiē)權限、默認允許禁止都是根據廠商自己對于敏感信息的理(lǐ)解來(lái)設計(jì)的。
在獲取用戶權限方面,蘋果就規範許多(duō)。用戶可(kě)以在設置中輕易找到App所需的定位、麥克風、相機、藍(lán)牙、Siri權限,并将其手動關閉。iOS系統從7.0開(kāi)始就停止了IMEI相關接口開(kāi)放,開(kāi)發者無法直接獲得(de)相關權限。4月7日,蘋果宣布,未來(lái)幾個(gè)星期內(nèi)将實施全新的隐私采集用戶披露和(hé)許可(kě)政策。
 
IMEI碼也是個(gè)人(rén)信息
37款App的“個(gè)人(rén)隐私權限政策”中,基本都有(yǒu)類似條款:“當您使用本款應用時(shí),我們會(huì)搜集你(nǐ)的設備信息,包括設備型号、唯一設備标識符、設備MAC地址、操作(zuò)系統類型、屏幕分辨率、電(diàn)信運營商、登錄IP地址、軟件版本型号、接入網絡的方式、網絡質量數(shù)據。”
從《規定》對39類App詳細要求來(lái)看,并沒有(yǒu)對IMEI碼、IP地址等信息有(yǒu)明(míng)确要求,那(nà)麽,設備信息是否屬于本次《規定》的監管範圍?
《民法典》中規定,個(gè)人(rén)信息是以電(diàn)子或者其他方式記錄的能夠單獨或者與其他信息結合識别特定自然人(rén)的各種信息,包括自然人(rén)的姓名、出生(shēng)日期、身份證件号碼、生(shēng)物識别信息、住址、電(diàn)話(huà)号碼、電(diàn)子郵箱、健康信息、行(xíng)蹤信息等。
另外,《中華人(rén)民共和(hé)國個(gè)人(rén)信息保護法(草案)》規定,個(gè)人(rén)信息是以電(diàn)子或者其他方式記錄的與已識别或者可(kě)識别的自然人(rén)有(yǒu)關的各種信息,不包括匿名化處理(lǐ)後的信息。個(gè)人(rén)信息的處理(lǐ)包括個(gè)人(rén)信息的收集、存儲、使用、加工、傳輸、提供、公開(kāi)等活動。
IMEI碼是國際移動設備識别碼的簡稱,即通(tōng)常所說的手機序列号,因其唯一不可(kě)變被稱為(wèi)手機的“身份證”。
上(shàng)海大(dà)邦律師(shī)事務所合夥人(rén)遊雲庭認為(wèi),手機IMEI碼是手機硬件的編号,通(tōng)過識别此編号,可(kě)以識别出使用手機的個(gè)人(rén),屬于個(gè)人(rén)信息。
在互聯網廣告聯盟生(shēng)态鏈中,IMEI碼是一個(gè)核心要素。一個(gè)IMEI碼就可(kě)以在廣告聯盟間(jiān)追蹤用戶的标簽,互聯網巨頭利用龐大(dà)的生(shēng)态圈收集各種類型的原始數(shù)據,為(wèi)用戶打上(shàng)标簽,最終形成一張全面精準的用戶畫(huà)像,幫助廣告主精準匹配目标用戶。
如果IMEI碼也被定義為(wèi)個(gè)人(rén)信息,根據《規定》,5月1日後,39類App都不得(de)采集該信息。
“《規定》實施後,App在此前已經收集到的信息理(lǐ)應删除,但(dàn)實踐中不會(huì)有(yǒu)廠商這麽做(zuò),他們還(hái)有(yǒu)可(kě)能拿(ná)着已經收集到的信息去匹配其他信息給用戶畫(huà)像。不過,一旦這種行(xíng)為(wèi)被發現,将會(huì)受到相應的懲罰。”遊雲庭說。
“實際上(shàng),在《通(tōng)知》出台前,手機裏的App早已獲取到了IMEI碼,存量市場(chǎng)的用戶畫(huà)像早已被利用。《通(tōng)知》出台後,對00後、10後的用戶畫(huà)像會(huì)得(de)到克制(zhì)。但(dàn)《通(tōng)知》并未提及此前被App收集到的用戶信息應當如何處理(lǐ),用戶主動搜索行(xíng)為(wèi)産生(shēng)的畫(huà)像還(hái)是無法約束。”曲子龍說。
目前國家(jiā)正在加緊制(zhì)定出台《數(shù)據安全法》《個(gè)人(rén)信息保護法》,《個(gè)人(rén)信息保護法》草案已提請(qǐng)全國人(rén)大(dà)常委會(huì)審議,對于個(gè)人(rén)信息的定義有(yǒu)望更加準确界定。
 
小(xiǎo)程序也在約束範圍之內(nèi)
另外,《通(tōng)知》特别提到,“App包括移動智能終端預置、下載安裝的應用軟件,基于應用軟件開(kāi)放平台接口開(kāi)發的、用戶無需安裝即可(kě)使用的小(xiǎo)程序”,這意味着小(xiǎo)程序也被納入監管。5月1日起,任何組織和(hé)個(gè)人(rén)發現違反本規定行(xíng)為(wèi)的,可(kě)以向相關部門(mén)舉報以維護自身權益。
不久前,《IT時(shí)報》曾報道(dào),滬上(shàng)不少(shǎo)餐廳要求用戶掃碼點餐之前,必須授權微信頭像、手機号碼,有(yǒu)的甚至要求成為(wèi)會(huì)員才能點餐,根據最小(xiǎo)必要性原則,也屬于過度索權。
根據騰訊微信團隊公号信息,2021年4月13日後發布的小(xiǎo)程序新版本,将無法獲取用戶個(gè)人(rén)信息(頭像、昵稱、性别與地區(qū)),而是直接獲取匿名數(shù)據,以此解決以往有(yǒu)些(xiē)小(xiǎo)程序總是要用戶授權信息才能使用的問題。
4月6日,工業和(hé)信息化部信息通(tōng)信管理(lǐ)局發布了《關于下架侵害用戶權益APP名單的通(tōng)報》,針對3月11日通(tōng)報的136家(jiā)存在侵害用戶權益行(xíng)為(wèi)App企業的名單,經核查複驗,發現共有(yǒu)60款App未按照要求完成整改,并對上(shàng)述60款App進行(xíng)下架處理(lǐ)。
記者在手機應用商場(chǎng)随機選擇了幾款App搜索發現,降溫寶、美圖證件照等App已經下線,天天果園、萌龍大(dà)亂鬥、8684實時(shí)公交等App已經恢複上(shàng)線。
4月8日,記者分别聯系了淘寶、微信、京東、抖音(yīn)等平台咨詢5月1日後是否會(huì)調整版本,淘寶客服表示,目前尚未收到相關技(jì)術(shù)方面的公告,截至發稿前,其餘平台暫未回應。
 
來(lái)源:IT時(shí)報
青島知道(dào)網絡-專注企業網站(zhàn)建設與網絡推廣-全網整合營銷

推薦閱讀