許多人的手機上都會有或多或少的應(yīng)用軟件,也就是俗稱的App,但是有多少人知道,在享用這些應(yīng)用軟件便利的同時,你付出的代價有多大呢?答案可能令您震驚。
大部分熱門手機應(yīng)用軟件過度收集信息
日前,上海市消費者權(quán)益保護(hù)委員會對瀏覽器、輸入法和綜合視頻這三大類手機App涉及個人信息權(quán)限,進(jìn)行了評測。結(jié)果發(fā)現(xiàn),當(dāng)前下載最熱門的18款應(yīng)用軟件中,有14款申請的25項敏感權(quán)限找不到對應(yīng)功能,包括手機用戶的撥打電話、收發(fā)短信、位置信息等敏感權(quán)限,占比達(dá)到77.8%;除此之外,本次評測結(jié)果還顯示,一些手機應(yīng)用軟件App的目標(biāo)版本過低,從而導(dǎo)致手機用戶沒有選擇權(quán),只要安裝這些手機應(yīng)用軟件,就自動同意App申請的所有敏感權(quán)限。
上海市消費者權(quán)益保護(hù)委員會、副秘書長 唐健盛:從測試情況來看,可以說情況非常不理想,很多的頭部App實際上在權(quán)限的申請和調(diào)用方面,其實是違反了一些必要性、正當(dāng)性等等原則的。
我國《網(wǎng)絡(luò)安全法》第四十一條規(guī)定:網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個人信息。
手機中涉及大量的用戶隱私信息,一款手機App獲得用戶授予的敏感數(shù)據(jù)“訪問和使用”權(quán)限時,一方面有能力獲取用戶的隱私;另一方面,這些權(quán)限又是App實現(xiàn)功能所需要的,因此,手機應(yīng)用軟件App在申請和使用敏感權(quán)限時,應(yīng)該遵循“合法、正當(dāng)、必要”原則,合理申請、合理使用。
上海市消費者權(quán)益保護(hù)委員會 副秘書長 唐健盛:我們覺得權(quán)限就類似于鑰匙,你拿了消費者家的鑰匙當(dāng)然您可以說,我是來你們家拖個地,可能要來燒個菜,但是你給消費者帶來方便的同時,你也應(yīng)該充分考慮到消費者的安全性。你拿了鑰匙以后,你把這些活干完了以后,是不是鑰匙你能把它給還回去。當(dāng)然消費者也希望能夠知道整個過程中,你確實除了掃地、拖地、燒菜沒有干別的事。
上海市消保委這次評測的重點在于:手機應(yīng)用軟件App是否存在“權(quán)限的過度申請和濫用”,是否遵循了相關(guān)法規(guī)的“合法、正當(dāng)、必要”原則,評測首先從消費者日常使用頻率很高的一些App開始。
上海市消費者權(quán)益保護(hù)委員會 副秘書長 唐健盛:第一款(類)輸入法可能是跟安全性,我們覺得是非常緊密的;第二款(類)可能瀏覽器是現(xiàn)在消費者反響相對比較強烈的;視頻網(wǎng)站我們認(rèn)為可能是消費者使用時長比較長的。
據(jù)介紹,上海市消保委此次針對熱門手機應(yīng)用軟件App的評測,主要圍繞輸入法、瀏覽器和視頻App進(jìn)行,總共包括18款,其中5款是輸入法,包括搜狗、百度、訊飛、QQ和觸寶;5款是綜合視頻,包括優(yōu)酷、騰訊、愛奇藝、芒果TV和嗶哩嗶哩;8款是瀏覽器,包括UC、QQ、360、搜狗、獵豹、百度和華為手機自帶的兩款瀏覽器。評測工程師告訴記者,這18款A(yù)pp的樣本,都是測試階段在這些應(yīng)用軟件的官方網(wǎng)站上,下載當(dāng)前的最新版本。
評測工程師 盛大江:我們這次測試權(quán)限的主要方向,涉及了兩個方面。第一個是權(quán)限的授權(quán)方式,決定了用戶是否知情并且有選擇權(quán)。第二個是這些權(quán)限是否有對應(yīng)的功能。 我們發(fā)現(xiàn)在18款應(yīng)用中,有14款應(yīng)用有25個敏感權(quán)限,沒有找到對應(yīng)的功能。這25個權(quán)限主要分布在電話權(quán)限、短信權(quán)限、定位權(quán)限,日歷、附件之類的權(quán)限上。
14款手機應(yīng)用軟件申請敏感權(quán)限目的不明
14款手機應(yīng)用軟件向用戶申請了25項敏感權(quán)限,但是沒有找到對應(yīng)的功能。這25項敏感權(quán)限,包括15項短信權(quán)限、5項電話權(quán)限、2項定位權(quán)限、2項日歷權(quán)限和1項讀取附件權(quán)限,評測工程師認(rèn)為,這些都和手機用戶的個人信息密切相關(guān)。
評測工程師 盛大江:(這款)瀏覽器那我們可以看一下,它總共申請了14項這種敏感權(quán)限,其中有4個,分別是撥打電話、外撥路徑,還有發(fā)送短信和讀取日歷這4個權(quán)限我們是沒有找到具體對應(yīng)功能的。
這也就是說,這款瀏覽器向用戶申請了14項敏感權(quán)限,其中申請的撥打電話,監(jiān)控外撥電話、重新設(shè)置外撥電話路徑,發(fā)送短信和讀取日歷活動和詳情,這4項涉及用戶個人隱私信息的敏感權(quán)限,該瀏覽器并沒有相應(yīng)的功能。
本次測試的8款瀏覽器中,有5款A(yù)pp向用戶申請了電話和短信兩大類敏感權(quán)限,同樣找不到對應(yīng)功能,其中4款瀏覽器申請的電話權(quán)限包括:撥打電話、監(jiān)控外撥電話、重新設(shè)置外撥電話路徑;4款瀏覽器申請的短信權(quán)限包括:接收短信、發(fā)送短信和讀取短信。
工程師告訴記者,瀏覽器作為手機用戶上網(wǎng)的瀏覽軟件,如果App沒有相應(yīng)的功能,而向用戶申請電話和短信的多項敏感權(quán)限,那么,可能對用戶造成安全隱患。
評測工程師 陽雄:它可以處理外撥電話的路由,就是轉(zhuǎn)撥到其它的電話,這個會給這個應(yīng)用一個什么樣的權(quán)力呢?就是如果用戶在撥打電話給張三的時候,這個應(yīng)用它是有能力去把他撥打的電話號碼改成是李四的,實際上這個電話就會撥打給李四了,但是用戶是不知情的,這個是這個權(quán)限賦予這個應(yīng)用的一個能力;另外一個權(quán)限是發(fā)送短信的一個權(quán)限,這個權(quán)限就是,允許這個應(yīng)用在后臺,可以給任意的號碼,發(fā)送任意的內(nèi)容,這個隱患就會比較大。因為它可能會在用戶不知情的一些情況下,替你發(fā)送一些確認(rèn)的短信,發(fā)送一些付費的短信等等。
除了瀏覽器以外,本次評測的5款輸入法,有3款申請的短信和位置等敏感權(quán)限,找不到對應(yīng)的功能。
評測工程師 盛大江:(這款)輸入法同樣它申請了11款敏感權(quán)限,其中位置權(quán)限的兩個詳細(xì)的小權(quán)限,和短信權(quán)限的兩個,一個是讀取一個是接收權(quán)限,我們并沒有在應(yīng)用中找到對應(yīng)的功能。
此外,本次評測的5款綜合視頻,有4款申請的電話、短信和日歷權(quán)限,找不到對應(yīng)的功能。
工程師在評測中發(fā)現(xiàn),一些App對用戶的敏感權(quán)限過度申請和濫用,沒有遵循了相關(guān)法規(guī)的“合法、正當(dāng)、必要”原則。
評測工程師 陽雄:比如說有的應(yīng)用為了在應(yīng)用使用過程當(dāng)中,用戶如果有來電不影響應(yīng)用,或者不影響用戶接收來電,他們可能就申請了呼叫電話,或者是監(jiān)控外撥這樣一個權(quán)限,但實際上這是完全沒有必要的。因為要做到這一點,這個應(yīng)用只需要申請讀取手機狀態(tài)這個權(quán)限就可以了。因為我們知道一個手機它的通話狀態(tài)其實只有三種,空閑狀態(tài)、響鈴狀態(tài)和接通的一個狀態(tài)。對于它來講它要獲取這三個狀態(tài),它只需要讀取手機狀態(tài)這一個權(quán)限就夠了,不需要有外撥電話或者是監(jiān)控外撥路徑這樣的一些權(quán)限。
少部分應(yīng)用軟件擅自開啟敏感權(quán)限
在進(jìn)一步的評測中還發(fā)現(xiàn),有4款A(yù)pp的目標(biāo)版本過低。工程師告訴記者,應(yīng)用軟件的目標(biāo)版本過低,首先可能在權(quán)限管理方面存在用戶可知而不可控的問題,其次可能存在可規(guī)避系統(tǒng)安全機制的漏洞,容易造成用戶個人信息泄露,引發(fā)終端安全和個人信息保護(hù)風(fēng)險。
評測工程師 盛大江:目標(biāo)版本過低會造成什么現(xiàn)象呢?它會造成這些應(yīng)用在安裝的時候,就會直接把敏感權(quán)限獲取到,可以不經(jīng)由用戶的主動授權(quán),我們可以看一下獵豹瀏覽器的安裝過程。因為獵豹瀏覽器的目標(biāo)版本偏低,當(dāng)安裝完成的時候,這些敏感權(quán)限已經(jīng)直接是一種開啟狀態(tài)了。那等于應(yīng)用在安裝的過程中,就獲取了這些權(quán)限。它涉及到位置權(quán)限、電話權(quán)限、短信權(quán)限、錄音權(quán)限和攝像頭權(quán)限,這些都是跟我們用戶密切相關(guān)的一些隱私權(quán)限。你只要接受安裝,那就等于接受這些權(quán)限,要么你不安裝,要么你接受所有授權(quán)。
在手機的應(yīng)用軟件“權(quán)限管理”中,記者看到,獵豹瀏覽器所申請的權(quán)限中,包括設(shè)置電話外撥路徑權(quán)限和發(fā)送短信權(quán)限兩大類,對這兩大類的權(quán)限,獵豹瀏覽器有自己的官方解釋。
評測工程師 盛大江:它的官方解釋是說,允許該應(yīng)用處理呼出以及更改撥打的號碼,此權(quán)限可以監(jiān)視重新定向和阻止呼出,所以這個權(quán)限還是比較敏感的。
工程師分析認(rèn)為,目前普遍存在申請權(quán)限與功能不匹配的情況,一個主要的原因是在開發(fā)設(shè)計App的時候,程序員缺乏對功能和權(quán)限的對應(yīng)考量。
評測工程師 陽雄:因為應(yīng)用在開發(fā)初期,程序員為了省事,可能將未來可能用到的權(quán)限還沒有用到的也都申請了,就是為了方便。
另一方面原因,可能和App的升級迭代有關(guān)。
評測工程師 陽雄:有可能是應(yīng)用曾經(jīng)有功能用到了這個權(quán)限,但是在應(yīng)用版本升級之后,這個功能沒有了,但是相應(yīng)的權(quán)限忘了把它去掉。
此外,評測工程師還認(rèn)為,除了這兩方面原因以外,也有一些App存在申請敏感權(quán)限過度的可能。
評測工程師一方面以最大的善意解讀了手機應(yīng)用軟件過度搜集用戶信息的原因,另一方面也指出,就好像把家門鑰匙給了外人,外人可以隨意進(jìn)出你的家門之時,看著你滿屋子的財產(chǎn),這個外人究竟會不會動點別的心思呢?這個答案可就不好說了。
相關(guān)調(diào)查數(shù)據(jù)顯示,此次評測的8款瀏覽器,月活躍用戶超過5億人次,最熱門的月活躍用戶超過2億8000萬;此次評測的5款輸入法,月活躍用戶超過7億人次,最熱門的月活躍用戶近4億;此次評測的5款綜合視頻月活躍用戶超過14億人次,最熱門的月活躍用戶近5億。
上海市消費者權(quán)益保護(hù)委員會副秘書長 唐健盛:這些開發(fā)者,必須知道紅線在哪里。我們在第一步所做的是你要這個權(quán)限你就必須要有功能相對應(yīng),再往下面走,可能就涉及到這個功能你設(shè)置的是否必要,可能到了第三步我們可能就會在想著你拿了這個權(quán)限以后,你能不能用好了以后就還給消費者。你考慮的是消費者的痛點,你考慮的是我們App的功能。但是我們覺得這些都是要給消費者帶來足夠的安全性,以此為前提。
綜合上海市消保委本次的評測結(jié)果,將近80%的熱門手機App不具備相應(yīng)的功能,卻向用戶申請了敏感權(quán)限,這可能意味著過度收集用戶個人信息。
上海市消費者權(quán)益保護(hù)委員會副秘書長 唐健盛:我經(jīng)常聽很多人在擔(dān)心自己是不是一個透明人。而我們的日常生活當(dāng)中可能會受到很多的一些騷擾電話、騷擾短信,更加讓消費者覺得恐慌的是,可能在某個不經(jīng)意見他發(fā)現(xiàn)自己很多信息,其實是被很多的企業(yè)是提前獲取的。
經(jīng)過工程師100多次測試之后,上海市消保委利用這些手機應(yīng)用軟件App和消費者溝通的各種渠道,包括郵件、官方微信留言等,通知這18款A(yù)pp的相關(guān)企業(yè)就評測結(jié)果,進(jìn)行技術(shù)溝通。
上海市消費者權(quán)益保護(hù)委員會副秘書長 唐健盛:我們都用了消費者跟企業(yè)溝通的一些渠道,也就是說它在App或者它的官網(wǎng)上面明示的一些郵箱傳真等等。但是我們非常遺憾地看到,這些通知很多企業(yè)都沒有得到足夠的重視,或者說我們這次也了解到,有些企業(yè)它根本和消費者溝通的郵箱可能是幾個月甚至于大半年都沒有去看過的。在隨后的媒體會上,上海市消保委正式通報了對18款手機應(yīng)用軟件App的評測結(jié)果,最終公布了“獵豹瀏覽器,觸寶輸入法和芒果TV視頻”這三款A(yù)pp申請權(quán)限存在找不到對應(yīng)功能等問題。據(jù)介紹, 直到這場媒體會之前,獵豹、觸寶和芒果TV這三家相關(guān)企業(yè)對于上海市消保委的多方聯(lián)系,始終沒有回應(yīng),也沒有出席相關(guān)的技術(shù)溝通會。
上海市消費者權(quán)益保護(hù)委員會副秘書長 唐健盛:發(fā)布會的兩天以前,我們就通過各種方法和三家企業(yè)能夠進(jìn)一步,希望能夠跟他們聯(lián)系上,比方說我們在觸寶的微信后臺進(jìn)行了留言,并且我們也上傳了PDF版的合照我們的會議通知,那么其它的你比方說獵豹瀏覽器和芒果TV我們也采用了類似的方法,我們希望多種渠道能夠使他們知道這個事,并且也非常希望他們能夠來開我們的發(fā)布會,給到消費者一個明明白白的說法。那么非常遺憾,我們通過消費者溝通的這種渠道沒有獲得企業(yè)應(yīng)有的響應(yīng),我們也認(rèn)為其實在這一塊企業(yè)也是需要進(jìn)一步加強的。
媒體會后,上海市消保委收到了這三家相關(guān)企業(yè)的書面說明,一致表示,目前相關(guān)App均已升級為新版本,新版本中已經(jīng)去除了定位權(quán)限、短信權(quán)限和監(jiān)控電話外撥權(quán)限等并沒有相應(yīng)功能的敏感權(quán)限。
上海市消費者權(quán)益保護(hù)委員會副秘書長 唐健盛:消費者并非專業(yè)的,你必須在拿這些數(shù)據(jù)的時候,一定要幫消費者把它的安全性全都考慮清楚,而我們認(rèn)為這個事恐怕不是哪一家企業(yè)憑著自己的善心就會去做的,這可能需要整個一個市場整個一些頭部的企業(yè)。我們要通過一定的機制,在保障市場的競爭和效率的前提下,我們怎么樣能夠把規(guī)則更加好的迭代。我想這可能是我們解決個人信息保護(hù)方面的一條非常有價值的探索。
專家告訴我們,許多消費者都安裝了手機應(yīng)用軟件并且給予了軟件開發(fā)商想要的大部分授權(quán),這主要有三個原因:一是方便,二是沒得選擇,不同意授權(quán)就無法安裝,三是不完全清楚這些授權(quán)背后的利害到底是什么。如果沒有嚴(yán)厲的規(guī)則,商家對利益的追逐是永無止境的,就如專家所說,如果幻想依靠手機應(yīng)用軟件開發(fā)商的善心而自發(fā)停止對消費者信息的過度搜集是不可能的。所以我們期盼,監(jiān)管的紅線早日變成一條高壓線,讓過度搜集信息的開發(fā)商不敢出手,也不想出手,還消費者一個安全放心的消費環(huán)境。
-
大數(shù)據(jù)"坑熟客",技術(shù)之罪需規(guī)則規(guī)避
2018-03-02 08:58:39
-
高質(zhì)量發(fā)展,怎么消除“游離感”?
2018-03-02 08:58:39
-
學(xué)校只剩一名學(xué)生,她卻堅守了18年
2018-03-01 14:40:53
-
有重大變動!騎共享單車的一定要注意了
2018-03-01 14:40:53
-
2018年,樓市會有哪些新變化?
2018-03-01 09:01:20