原标题:"偷偷"获取敏感权限 您手机里的APP"越界"了吗
市面上的不少热门APP都调用了多项手机权限。
如今的智能手机,无论是安卓系统还是苹果的iOS系统,用户在下载安装一款新APP时,系统都会相应弹出一些获取权限的提示。为了便于APP施展功能,用户可以有选择性地在一些方面“放权”。然而,看似掌握了决定权的用户,真的能对自己的手机做主吗?
安装一个WiFi管理应用,竟要访问摄像头,安装一个阅读器应用居然要访问手机相册……海量的手机APP在方便用户的同时,也在竭尽所能地攫取手机的各样权限,其中涉及隐私的通讯录、短信、地理位置等信息更是APP们的首选目标。
半岛记者用苹果及安卓手机分别测试了各自市面上使用量较多的20款APP,发现仅4款APP不需要位置、通讯录等敏感权限,多款APP存在获取明显超出其功能权限的现象。而即便是系统管理更为封闭严格的苹果手机,也存在多款APP默认勾选同意企业制定的用户协议及隐私政策的情况。
尽管各大APP公司均声明不会搜集更不会滥用用户的隐私信息,但手机安全专家表示,获得权限就意味着已将这些隐私暴露在软件开发者面前,仅靠开发者的自觉显然难以确保信息安全。
“偷偷”获取的权限
近日,工信部信息通信管理局约谈了百度、支付宝等企业,指出对照《网络安全法》《电信和互联网用户个人信息保护规定》等规定,相关企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况,并要求相关企业进行整改。半岛记者调查发现,除了上述公司,市面上还有大量APP存在权限获取程序不明确、过度获取权限、默认同意条款等现象,用户稍不留神就着了道。
2月6日至8日,半岛记者使用华为手机自带的华为应用市场下载安装了最热门的20款APP。结果发现,20款APP在安装时都需要用户授权放开权限,而多达16款APP在安装时需要用到一些涉及用户个人隐私的权限,其中获取手机位置权限的APP最多,有百度、火山小视频、UC浏览器等11款;其次是访问SD卡,有微信、微博等9款;还有使用通话功能、访问通讯录、访问相册等权限。
然而,记者查看系统后台权限管理发现,除了上述征求了用户意见的权限,20款APP均默认开通了读取本机识别码,同时对于调取用户摄像头、拨打电话、启用录音等更加隐私的功能也均采取了选择性打开,即APP在使用过程中可以调取这些功能,但需要用户同意。
知名通讯专家项立刚向半岛记者介绍,手机系统对APP授权本身就比较复杂,尤其是更为开放的安卓系统。有些手机制造商会给一些合作APP或者口碑一直较好的APP开放系统白名单,如果用该手机安装相应的APP,手机可能会自动默认授权一些权限。
不过手机安全专家朱翼鹏认为,目前安卓平台上广泛存在权限被滥用的现象,很多应用经常申请不必要的敏感权限,使用户隐私面临被泄露的风险。
半岛记者通过安卓手机安装的20大热门APP中,每款都至少调动了7项权限,最多的调动了19项权限。而其中很多APP调动的权限都跟自身的功能不符。比如,WiFi万能钥匙这款APP如果用户在后台选择信任此应用,其不仅可以发短信、打电话,还能调用摄像头和麦克风进行拍摄和录音。
“悄悄”打上的对勾
除了在获取权限方面存在提示不明、过度获取等情况,各大APP在安装时还存在默认同意用户协议及隐私协议的情况。
根据我国《信息安全技术个人信息安全规范》要求,收集个人敏感信息时,应取得个人信息主体的明示同意,确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示,并且允许个人信息主体选择是否提供或同意自动采集。
为了解决权限安全问题,谷歌公司曾建议开发者在上传应用时发布隐私条例,即开发者需要声明用户相关的隐私信息如何被使用、收集或分享,其目的是使用户了解隐私信息如何被使用,从而更好地保护用户隐私。
但目前,很多APP并没有做到明示隐私协议以及给予用户选择是否同意的权利。半岛记者用安卓手机测试的20款APP中,有14款在安装时没有任何条款及隐私协议提示,而另外的Wifi万能钥匙、百度、QQ浏览器、腾讯新闻4款APP,尽管会弹出提醒用户隐私协议的对话框,但相关条款都放在最下方,字体很小,且对话框都是“默认勾选”的。也就是说,用户只要点击下一步就意味着同意了APP的各种条款。只有腾讯视频和京东在首次安装时就将其隐私协议进行了弹窗提示,用户可以选择是否同意。即便是拥有相对封闭系统的苹果手机,半岛记者在测试时也发现,热门的20款APP中,百度、WiFi万能钥匙两款在安装时存在默认勾选同意用户协议和隐私政策的情况。
此前,国内一家个人信息保护研究中心发布的《关于收集个人信息“明示同意”的测评报告与建议》显示,在100款常用APP中,在用户注册前,“默认勾选”同意企业用户协议和隐私政策的情况并不少见,有的甚至存在用户不可自主选择同意与否的问题。仅有11%的APP做到了合乎法规及规范的“明示同意”。在前不久的支付宝“年度账单”事件中,也出现了默认勾选隐私协议的事件。
半岛记者测试发现,多数APP的隐私协议藏在“设置”选项中,相关隐私条款中,多数均有“使用APP就视为同意条款”等类似表述。
对此,华东政法大学教授、大数据政策法律研究中心主任高富平曾公开发表文章认为有效同意的要件需要明确。
高富平认为,我国现行法律将同意视为个人信息收集和使用的一般规则,但在实践中,“同意”被大量地使用,很难起到保护个人权利的作用。这主要是因为,在实践中的同意大多数是与服务捆绑的,用户协议的同意是接受服务的前提,因而要接受服务就必须同意,否则无法享受服务。而用户协议又是涵盖经营者可能列举的各种情形,包括向所有关联方、业务合作方等提供信息。这也就是大家通常讲到的“概括式同意”。在这种概括式的协议中不乏各种不合理条款。
“默默”收集的信息
随着用户对个人隐私的注重,有关APP获取权限的问题也早已不局限在技术探讨层面。
近日,江苏省消保委就以手机应用侵犯消费者个人信息,两次约谈无整改为由,向百度公司提起民事诉讼。
根据江苏省消保委的说法,在百度公司最终提交的整改方案中,对手机百度、百度浏览器两款APP中“监听电话”、“读取短彩信”、“读取联系人”等涉及消费者个人信息安全的相关权限,并未进行整改,也未明确提示消费者软件申请获取权限的目的、方式和范围并供消费者选择。
百度方面则表示,会继续与江苏省消保委积极沟通,与消保委一起让个人信息安全得到更广泛的重视、在互联网及其他行业得到更充分的保护。
腾讯社会研究中心和DCCI互联网数据中心近日发布《2017年度网络隐私安全及欺诈行为研究分析报告》(《报告》),《报告》显示,98.5%安卓手机APP存在获取用户隐私权限问题,iOS应用获取用户隐私权限也达到81.9%。
值得注意的是,与2017年一季度测评结果相比,安卓手机APP对核心隐私权限的获取情况有所降低。特别是读取手机号码、读取彩信两个权限大幅度下降,下半年测评中所占比例分别为10.9%和0.8%。此外,Android应用在下半年越界获取用户隐私权限的比例也有明显下降,从25.3%降至9%。
《报告》显示,对隐私权限管理相对完善的iOS系统,同样也存在隐私泄露问题。2017下半年iOS应用获取的用户手机隐私权限比例相较于第一季度有所上升,达到81.9%,提高了12.6%个百分点。其中,通讯社区、影音娱乐类APP为100%获取手机隐私权限,此外,常用工具、图像美化、投资理财类的软件获取比例也有所上升,均达到90%以上。
采访中,很多业内人士表示,APP获取权限并不意味着就要收集甚至利用隐私信息,而是软件开发应用的必要手段。对于软件开发商来说,收集海量数据既无必要更不划算。中国互联网协会信用评价中心法律顾问赵占领向半岛记者介绍,收集个人信息有无必要,取决于产品的功能和定位,比如一些新闻客户端收集用户访问记录,分析用户兴趣、偏好,以便实现精准推荐,这并不违反必要原则。赵占领表示,根据相关法律法规,网络服务提供者收集个人信息需要遵循正当、合法、必要原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
手机系统专家朱翼鹏建议,除了安装专业的手机安全防护软件外,相关部门在手机应用软件开发和推广方面应该出台更严格更细化的标准,给手机应用,尤其是安卓手机平台应用分级,比如一般级、隐私级等,软件安装所要求的权限必须在该级别的范围内,用户按级放权。
文/图 半岛全媒体记者 景毅 实习生 范心瑜 罗心仪
