撥打電話發(fā)送短信…你所用的熱門(mén)App可能獲取了這些權(quán)限而你并不知道
2018-12-24 07:13:33 來(lái)源: 央視新聞客戶端
關(guān)注新華網(wǎng)
微博
Qzone
評(píng)論
圖集

  許多人的手機(jī)上都會(huì)有或多或少的應(yīng)用軟件,也就是俗稱的App,但是有多少人知道,在享用這些應(yīng)用軟件便利的同時(shí),你付出的代價(jià)有多大呢?答案可能令您震驚。

  大部分熱門(mén)手機(jī)應(yīng)用軟件過(guò)度收集信息

  日前,上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)對(duì)瀏覽器、輸入法和綜合視頻這三大類手機(jī)App涉及個(gè)人信息權(quán)限,進(jìn)行了評(píng)測(cè)。結(jié)果發(fā)現(xiàn),當(dāng)前下載最熱門(mén)的18款應(yīng)用軟件中,有14款申請(qǐng)的25項(xiàng)敏感權(quán)限找不到對(duì)應(yīng)功能,包括手機(jī)用戶的撥打電話、收發(fā)短信、位置信息等敏感權(quán)限,占比達(dá)到77.8%;除此之外,本次評(píng)測(cè)結(jié)果還顯示,一些手機(jī)應(yīng)用軟件App的目標(biāo)版本過(guò)低,從而導(dǎo)致手機(jī)用戶沒(méi)有選擇權(quán),只要安裝這些手機(jī)應(yīng)用軟件,就自動(dòng)同意App申請(qǐng)的所有敏感權(quán)限。

  上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)、副秘書(shū)長(zhǎng) 唐健盛:從測(cè)試情況來(lái)看,可以說(shuō)情況非常不理想,很多的頭部App實(shí)際上在權(quán)限的申請(qǐng)和調(diào)用方面,其實(shí)是違反了一些必要性、正當(dāng)性等等原則的。

  我國(guó)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定:網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開(kāi)收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。

  網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。

  手機(jī)中涉及大量的用戶隱私信息,一款手機(jī)App獲得用戶授予的敏感數(shù)據(jù)“訪問(wèn)和使用”權(quán)限時(shí),一方面有能力獲取用戶的隱私;另一方面,這些權(quán)限又是App實(shí)現(xiàn)功能所需要的,因此,手機(jī)應(yīng)用軟件App在申請(qǐng)和使用敏感權(quán)限時(shí),應(yīng)該遵循“合法、正當(dāng)、必要”原則,合理申請(qǐng)、合理使用。

  上海市消費(fèi)者權(quán)益保護(hù)委員會(huì) 副秘書(shū)長(zhǎng) 唐健盛:我們覺(jué)得權(quán)限就類似于鑰匙,你拿了消費(fèi)者家的鑰匙當(dāng)然您可以說(shuō),我是來(lái)你們家拖個(gè)地,可能要來(lái)燒個(gè)菜,但是你給消費(fèi)者帶來(lái)方便的同時(shí),你也應(yīng)該充分考慮到消費(fèi)者的安全性。你拿了鑰匙以后,你把這些活干完了以后,是不是鑰匙你能把它給還回去。當(dāng)然消費(fèi)者也希望能夠知道整個(gè)過(guò)程中,你確實(shí)除了掃地、拖地、燒菜沒(méi)有干別的事。

  上海市消保委這次評(píng)測(cè)的重點(diǎn)在于:手機(jī)應(yīng)用軟件App是否存在“權(quán)限的過(guò)度申請(qǐng)和濫用”,是否遵循了相關(guān)法規(guī)的“合法、正當(dāng)、必要”原則,評(píng)測(cè)首先從消費(fèi)者日常使用頻率很高的一些App開(kāi)始。

  上海市消費(fèi)者權(quán)益保護(hù)委員會(huì) 副秘書(shū)長(zhǎng) 唐健盛:第一款(類)輸入法可能是跟安全性,我們覺(jué)得是非常緊密的;第二款(類)可能瀏覽器是現(xiàn)在消費(fèi)者反響相對(duì)比較強(qiáng)烈的;視頻網(wǎng)站我們認(rèn)為可能是消費(fèi)者使用時(shí)長(zhǎng)比較長(zhǎng)的。

  據(jù)介紹,上海市消保委此次針對(duì)熱門(mén)手機(jī)應(yīng)用軟件App的評(píng)測(cè),主要圍繞輸入法、瀏覽器和視頻App進(jìn)行,總共包括18款,其中5款是輸入法,包括搜狗、百度、訊飛、QQ和觸寶;5款是綜合視頻,包括優(yōu)酷、騰訊、愛(ài)奇藝、芒果TV和嗶哩嗶哩;8款是瀏覽器,包括UC、QQ、360、搜狗、獵豹、百度和華為手機(jī)自帶的兩款瀏覽器。評(píng)測(cè)工程師告訴記者,這18款A(yù)pp的樣本,都是測(cè)試階段在這些應(yīng)用軟件的官方網(wǎng)站上,下載當(dāng)前的最新版本。

  評(píng)測(cè)工程師 盛大江:我們這次測(cè)試權(quán)限的主要方向,涉及了兩個(gè)方面。第一個(gè)是權(quán)限的授權(quán)方式,決定了用戶是否知情并且有選擇權(quán)。第二個(gè)是這些權(quán)限是否有對(duì)應(yīng)的功能。 我們發(fā)現(xiàn)在18款應(yīng)用中,有14款應(yīng)用有25個(gè)敏感權(quán)限,沒(méi)有找到對(duì)應(yīng)的功能。這25個(gè)權(quán)限主要分布在電話權(quán)限、短信權(quán)限、定位權(quán)限,日歷、附件之類的權(quán)限上。

  14款手機(jī)應(yīng)用軟件申請(qǐng)敏感權(quán)限目的不明

  14款手機(jī)應(yīng)用軟件向用戶申請(qǐng)了25項(xiàng)敏感權(quán)限,但是沒(méi)有找到對(duì)應(yīng)的功能。這25項(xiàng)敏感權(quán)限,包括15項(xiàng)短信權(quán)限、5項(xiàng)電話權(quán)限、2項(xiàng)定位權(quán)限、2項(xiàng)日歷權(quán)限和1項(xiàng)讀取附件權(quán)限,評(píng)測(cè)工程師認(rèn)為,這些都和手機(jī)用戶的個(gè)人信息密切相關(guān)。

  評(píng)測(cè)工程師 盛大江:(這款)瀏覽器那我們可以看一下,它總共申請(qǐng)了14項(xiàng)這種敏感權(quán)限,其中有4個(gè),分別是撥打電話、外撥路徑,還有發(fā)送短信和讀取日歷這4個(gè)權(quán)限我們是沒(méi)有找到具體對(duì)應(yīng)功能的。

  這也就是說(shuō),這款瀏覽器向用戶申請(qǐng)了14項(xiàng)敏感權(quán)限,其中申請(qǐng)的撥打電話,監(jiān)控外撥電話、重新設(shè)置外撥電話路徑,發(fā)送短信和讀取日歷活動(dòng)和詳情,這4項(xiàng)涉及用戶個(gè)人隱私信息的敏感權(quán)限,該瀏覽器并沒(méi)有相應(yīng)的功能。

  本次測(cè)試的8款瀏覽器中,有5款A(yù)pp向用戶申請(qǐng)了電話和短信兩大類敏感權(quán)限,同樣找不到對(duì)應(yīng)功能,其中4款瀏覽器申請(qǐng)的電話權(quán)限包括:撥打電話、監(jiān)控外撥電話、重新設(shè)置外撥電話路徑;4款瀏覽器申請(qǐng)的短信權(quán)限包括:接收短信、發(fā)送短信和讀取短信。

  工程師告訴記者,瀏覽器作為手機(jī)用戶上網(wǎng)的瀏覽軟件,如果App沒(méi)有相應(yīng)的功能,而向用戶申請(qǐng)電話和短信的多項(xiàng)敏感權(quán)限,那么,可能對(duì)用戶造成安全隱患。

  評(píng)測(cè)工程師 陽(yáng)雄:它可以處理外撥電話的路由,就是轉(zhuǎn)撥到其它的電話,這個(gè)會(huì)給這個(gè)應(yīng)用一個(gè)什么樣的權(quán)力呢?就是如果用戶在撥打電話給張三的時(shí)候,這個(gè)應(yīng)用它是有能力去把他撥打的電話號(hào)碼改成是李四的,實(shí)際上這個(gè)電話就會(huì)撥打給李四了,但是用戶是不知情的,這個(gè)是這個(gè)權(quán)限賦予這個(gè)應(yīng)用的一個(gè)能力;另外一個(gè)權(quán)限是發(fā)送短信的一個(gè)權(quán)限,這個(gè)權(quán)限就是,允許這個(gè)應(yīng)用在后臺(tái),可以給任意的號(hào)碼,發(fā)送任意的內(nèi)容,這個(gè)隱患就會(huì)比較大。因?yàn)樗赡軙?huì)在用戶不知情的一些情況下,替你發(fā)送一些確認(rèn)的短信,發(fā)送一些付費(fèi)的短信等等。

  除了瀏覽器以外,本次評(píng)測(cè)的5款輸入法,有3款申請(qǐng)的短信和位置等敏感權(quán)限,找不到對(duì)應(yīng)的功能。

  評(píng)測(cè)工程師 盛大江:(這款)輸入法同樣它申請(qǐng)了11款敏感權(quán)限,其中位置權(quán)限的兩個(gè)詳細(xì)的小權(quán)限,和短信權(quán)限的兩個(gè),一個(gè)是讀取一個(gè)是接收權(quán)限,我們并沒(méi)有在應(yīng)用中找到對(duì)應(yīng)的功能。

  此外,本次評(píng)測(cè)的5款綜合視頻,有4款申請(qǐng)的電話、短信和日歷權(quán)限,找不到對(duì)應(yīng)的功能。

  工程師在評(píng)測(cè)中發(fā)現(xiàn),一些App對(duì)用戶的敏感權(quán)限過(guò)度申請(qǐng)和濫用,沒(méi)有遵循了相關(guān)法規(guī)的“合法、正當(dāng)、必要”原則。

  評(píng)測(cè)工程師 陽(yáng)雄:比如說(shuō)有的應(yīng)用為了在應(yīng)用使用過(guò)程當(dāng)中,用戶如果有來(lái)電不影響應(yīng)用,或者不影響用戶接收來(lái)電,他們可能就申請(qǐng)了呼叫電話,或者是監(jiān)控外撥這樣一個(gè)權(quán)限,但實(shí)際上這是完全沒(méi)有必要的。因?yàn)橐龅竭@一點(diǎn),這個(gè)應(yīng)用只需要申請(qǐng)讀取手機(jī)狀態(tài)這個(gè)權(quán)限就可以了。因?yàn)槲覀冎酪粋€(gè)手機(jī)它的通話狀態(tài)其實(shí)只有三種,空閑狀態(tài)、響鈴狀態(tài)和接通的一個(gè)狀態(tài)。對(duì)于它來(lái)講它要獲取這三個(gè)狀態(tài),它只需要讀取手機(jī)狀態(tài)這一個(gè)權(quán)限就夠了,不需要有外撥電話或者是監(jiān)控外撥路徑這樣的一些權(quán)限。

  少部分應(yīng)用軟件擅自開(kāi)啟敏感權(quán)限

  在進(jìn)一步的評(píng)測(cè)中還發(fā)現(xiàn),有4款A(yù)pp的目標(biāo)版本過(guò)低。工程師告訴記者,應(yīng)用軟件的目標(biāo)版本過(guò)低,首先可能在權(quán)限管理方面存在用戶可知而不可控的問(wèn)題,其次可能存在可規(guī)避系統(tǒng)安全機(jī)制的漏洞,容易造成用戶個(gè)人信息泄露,引發(fā)終端安全和個(gè)人信息保護(hù)風(fēng)險(xiǎn)。

  評(píng)測(cè)工程師 盛大江:目標(biāo)版本過(guò)低會(huì)造成什么現(xiàn)象呢?它會(huì)造成這些應(yīng)用在安裝的時(shí)候,就會(huì)直接把敏感權(quán)限獲取到,可以不經(jīng)由用戶的主動(dòng)授權(quán),我們可以看一下獵豹瀏覽器的安裝過(guò)程。因?yàn)楂C豹瀏覽器的目標(biāo)版本偏低,當(dāng)安裝完成的時(shí)候,這些敏感權(quán)限已經(jīng)直接是一種開(kāi)啟狀態(tài)了。那等于應(yīng)用在安裝的過(guò)程中,就獲取了這些權(quán)限。它涉及到位置權(quán)限、電話權(quán)限、短信權(quán)限、錄音權(quán)限和攝像頭權(quán)限,這些都是跟我們用戶密切相關(guān)的一些隱私權(quán)限。你只要接受安裝,那就等于接受這些權(quán)限,要么你不安裝,要么你接受所有授權(quán)。

  在手機(jī)的應(yīng)用軟件“權(quán)限管理”中,記者看到,獵豹瀏覽器所申請(qǐng)的權(quán)限中,包括設(shè)置電話外撥路徑權(quán)限和發(fā)送短信權(quán)限兩大類,對(duì)這兩大類的權(quán)限,獵豹瀏覽器有自己的官方解釋。

  評(píng)測(cè)工程師 盛大江:它的官方解釋是說(shuō),允許該應(yīng)用處理呼出以及更改撥打的號(hào)碼,此權(quán)限可以監(jiān)視重新定向和阻止呼出,所以這個(gè)權(quán)限還是比較敏感的。

  工程師分析認(rèn)為,目前普遍存在申請(qǐng)權(quán)限與功能不匹配的情況,一個(gè)主要的原因是在開(kāi)發(fā)設(shè)計(jì)App的時(shí)候,程序員缺乏對(duì)功能和權(quán)限的對(duì)應(yīng)考量。

  評(píng)測(cè)工程師 陽(yáng)雄:因?yàn)閼?yīng)用在開(kāi)發(fā)初期,程序員為了省事,可能將未來(lái)可能用到的權(quán)限還沒(méi)有用到的也都申請(qǐng)了,就是為了方便。

  另一方面原因,可能和App的升級(jí)迭代有關(guān)。

  評(píng)測(cè)工程師 陽(yáng)雄:有可能是應(yīng)用曾經(jīng)有功能用到了這個(gè)權(quán)限,但是在應(yīng)用版本升級(jí)之后,這個(gè)功能沒(méi)有了,但是相應(yīng)的權(quán)限忘了把它去掉。

  此外,評(píng)測(cè)工程師還認(rèn)為,除了這兩方面原因以外,也有一些App存在申請(qǐng)敏感權(quán)限過(guò)度的可能。

  評(píng)測(cè)工程師一方面以最大的善意解讀了手機(jī)應(yīng)用軟件過(guò)度搜集用戶信息的原因,另一方面也指出,就好像把家門(mén)鑰匙給了外人,外人可以隨意進(jìn)出你的家門(mén)之時(shí),看著你滿屋子的財(cái)產(chǎn),這個(gè)外人究竟會(huì)不會(huì)動(dòng)點(diǎn)別的心思呢?這個(gè)答案可就不好說(shuō)了。

  相關(guān)調(diào)查數(shù)據(jù)顯示,此次評(píng)測(cè)的8款瀏覽器,月活躍用戶超過(guò)5億人次,最熱門(mén)的月活躍用戶超過(guò)2億8000萬(wàn);此次評(píng)測(cè)的5款輸入法,月活躍用戶超過(guò)7億人次,最熱門(mén)的月活躍用戶近4億;此次評(píng)測(cè)的5款綜合視頻月活躍用戶超過(guò)14億人次,最熱門(mén)的月活躍用戶近5億。

  上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書(shū)長(zhǎng) 唐健盛:這些開(kāi)發(fā)者,必須知道紅線在哪里。我們?cè)诘谝徊剿龅氖悄阋@個(gè)權(quán)限你就必須要有功能相對(duì)應(yīng),再往下面走,可能就涉及到這個(gè)功能你設(shè)置的是否必要,可能到了第三步我們可能就會(huì)在想著你拿了這個(gè)權(quán)限以后,你能不能用好了以后就還給消費(fèi)者。你考慮的是消費(fèi)者的痛點(diǎn),你考慮的是我們App的功能。但是我們覺(jué)得這些都是要給消費(fèi)者帶來(lái)足夠的安全性,以此為前提。

  綜合上海市消保委本次的評(píng)測(cè)結(jié)果,將近80%的熱門(mén)手機(jī)App不具備相應(yīng)的功能,卻向用戶申請(qǐng)了敏感權(quán)限,這可能意味著過(guò)度收集用戶個(gè)人信息。

  上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書(shū)長(zhǎng) 唐健盛:我經(jīng)常聽(tīng)很多人在擔(dān)心自己是不是一個(gè)透明人。而我們的日常生活當(dāng)中可能會(huì)受到很多的一些騷擾電話、騷擾短信,更加讓消費(fèi)者覺(jué)得恐慌的是,可能在某個(gè)不經(jīng)意見(jiàn)他發(fā)現(xiàn)自己很多信息,其實(shí)是被很多的企業(yè)是提前獲取的。

  經(jīng)過(guò)工程師100多次測(cè)試之后,上海市消保委利用這些手機(jī)應(yīng)用軟件App和消費(fèi)者溝通的各種渠道,包括郵件、官方微信留言等,通知這18款A(yù)pp的相關(guān)企業(yè)就評(píng)測(cè)結(jié)果,進(jìn)行技術(shù)溝通。

  上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書(shū)長(zhǎng) 唐健盛:我們都用了消費(fèi)者跟企業(yè)溝通的一些渠道,也就是說(shuō)它在App或者它的官網(wǎng)上面明示的一些郵箱傳真等等。但是我們非常遺憾地看到,這些通知很多企業(yè)都沒(méi)有得到足夠的重視,或者說(shuō)我們這次也了解到,有些企業(yè)它根本和消費(fèi)者溝通的郵箱可能是幾個(gè)月甚至于大半年都沒(méi)有去看過(guò)的。在隨后的媒體會(huì)上,上海市消保委正式通報(bào)了對(duì)18款手機(jī)應(yīng)用軟件App的評(píng)測(cè)結(jié)果,最終公布了“獵豹瀏覽器,觸寶輸入法和芒果TV視頻”這三款A(yù)pp申請(qǐng)權(quán)限存在找不到對(duì)應(yīng)功能等問(wèn)題。據(jù)介紹, 直到這場(chǎng)媒體會(huì)之前,獵豹、觸寶和芒果TV這三家相關(guān)企業(yè)對(duì)于上海市消保委的多方聯(lián)系,始終沒(méi)有回應(yīng),也沒(méi)有出席相關(guān)的技術(shù)溝通會(huì)。

  上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書(shū)長(zhǎng) 唐健盛:發(fā)布會(huì)的兩天以前,我們就通過(guò)各種方法和三家企業(yè)能夠進(jìn)一步,希望能夠跟他們聯(lián)系上,比方說(shuō)我們?cè)谟|寶的微信后臺(tái)進(jìn)行了留言,并且我們也上傳了PDF版的合照我們的會(huì)議通知,那么其它的你比方說(shuō)獵豹瀏覽器和芒果TV我們也采用了類似的方法,我們希望多種渠道能夠使他們知道這個(gè)事,并且也非常希望他們能夠來(lái)開(kāi)我們的發(fā)布會(huì),給到消費(fèi)者一個(gè)明明白白的說(shuō)法。那么非常遺憾,我們通過(guò)消費(fèi)者溝通的這種渠道沒(méi)有獲得企業(yè)應(yīng)有的響應(yīng),我們也認(rèn)為其實(shí)在這一塊企業(yè)也是需要進(jìn)一步加強(qiáng)的。

  媒體會(huì)后,上海市消保委收到了這三家相關(guān)企業(yè)的書(shū)面說(shuō)明,一致表示,目前相關(guān)App均已升級(jí)為新版本,新版本中已經(jīng)去除了定位權(quán)限、短信權(quán)限和監(jiān)控電話外撥權(quán)限等并沒(méi)有相應(yīng)功能的敏感權(quán)限。

  上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書(shū)長(zhǎng) 唐健盛:消費(fèi)者并非專業(yè)的,你必須在拿這些數(shù)據(jù)的時(shí)候,一定要幫消費(fèi)者把它的安全性全都考慮清楚,而我們認(rèn)為這個(gè)事恐怕不是哪一家企業(yè)憑著自己的善心就會(huì)去做的,這可能需要整個(gè)一個(gè)市場(chǎng)整個(gè)一些頭部的企業(yè)。我們要通過(guò)一定的機(jī)制,在保障市場(chǎng)的競(jìng)爭(zhēng)和效率的前提下,我們?cè)趺礃幽軌虬岩?guī)則更加好的迭代。我想這可能是我們解決個(gè)人信息保護(hù)方面的一條非常有價(jià)值的探索。

  專家告訴我們,許多消費(fèi)者都安裝了手機(jī)應(yīng)用軟件并且給予了軟件開(kāi)發(fā)商想要的大部分授權(quán),這主要有三個(gè)原因:一是方便,二是沒(méi)得選擇,不同意授權(quán)就無(wú)法安裝,三是不完全清楚這些授權(quán)背后的利害到底是什么。如果沒(méi)有嚴(yán)厲的規(guī)則,商家對(duì)利益的追逐是永無(wú)止境的,就如專家所說(shuō),如果幻想依靠手機(jī)應(yīng)用軟件開(kāi)發(fā)商的善心而自發(fā)停止對(duì)消費(fèi)者信息的過(guò)度搜集是不可能的。所以我們期盼,監(jiān)管的紅線早日變成一條高壓線,讓過(guò)度搜集信息的開(kāi)發(fā)商不敢出手,也不想出手,還消費(fèi)者一個(gè)安全放心的消費(fèi)環(huán)境。

+1
【糾錯(cuò)】 責(zé)任編輯: 邱麗芳
新聞評(píng)論
加載更多
頤和園十七孔橋現(xiàn)“金光穿洞”美景
頤和園十七孔橋現(xiàn)“金光穿洞”美景
牡丹江“雪堡”開(kāi)園迎客
牡丹江“雪堡”開(kāi)園迎客
第二十屆哈爾濱冰雪大世界開(kāi)園迎客
第二十屆哈爾濱冰雪大世界開(kāi)園迎客
趕制宮燈迎新年
趕制宮燈迎新年

?
010020020110000000000000011113261123892624