APP許可權越界:多款APP開啟與主業無關的敏感許可權
- 更新時間:2018-01-19 12:08來源:網絡作者:@nanncy人氣:2061017
部分APP的權限訪問記錄。
優酷開啟位置、運動數據等權限。
拼多多未明示的情況下開啟了多項涉隱權限。
趕集網索取的手機權限。
愛奇藝優酷開啟與主業無關隱私權限,新京報記者測試20款APP,趕集網等4款未明示提醒涉及隱私權限,美團外賣等未明示隱私協議。
1月11日,工信部信息通信管理局約談了百度、支付寶和今日頭條,指出對照《網絡安全法》、《電信和互聯網用戶個人信息保護規定》等有關規定,三家企業均存在用戶個人信息收集使用規則、使用目的告知不充分的情況,並要求三家企業進行整改。
1月12日至17日,新京報記者使用安卓系統手機測試了市面上使用較多的20款APP,發現其中16個APP要求讀取位置、通訊錄等較敏感權限;多個APP開啟的權限與其主營業務無關;4個APP未經明示提醒就開啟了包括相機、錄音在內的多個敏感權限。
根據《網絡安全法》第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
“APP收集個人信息應遵循我國《信息安全技術-個人信息安全規範》,個人信息收集、使用其一是要保證收集信息的合法性要求,其二是滿足收集個人信息的‘最小化要求’,例如原本APP給用戶的提示是開啟位置權限,結果APP同時把錄音、讀取通訊錄,或其他獲取個人信息或資源的權限隱含地開啟了,這就不符合個人信息安全的最小化要求。”北京郵電大學移動互聯網與大數據安全聯合實驗室主任馬兆豐博士表示,個人信息的使用、保存、委托處理、共享、轉讓或公開披露等必須滿足個人信息安全基本原則和規範,個人信息的不當獲取、使用、加工處理涉嫌違法犯罪要負法律責任。
5款APP涉及隱私權限提示不全
今日頭條餓了麽明示“儲存”暗開“定位”
當用戶在安裝一款APP時,手機界面往往會彈窗提示要求用戶開啟某項權限,用戶可以選擇開啟或關閉。
“APP軟件,包括PC程序在內,在用戶行使知情權時彈出的提示屬於‘明示同意’,如果APP軟件采取非明示同意的隱含同意,或者以超越法律法規事實上強迫用戶不得不同意的方式獲取用戶個人信息屬於個人信息的不當使用。”馬兆豐博士稱。
新京報記者從華為應用商店安裝20款主流APP發現,其中14款APP在首次安裝使用時對可能涉及的敏感權限進行彈窗提示,但有5款APP對涉及隱私權限的提示有“疏漏”。
在這5款APP中,“儲存”權限是被要求最多的權限,但“位置”權限是最多被默認開啟的權限。
比如,今日頭條、喜馬拉雅FM和餓了麽在首次使用時均彈窗提示用戶開啟電話以及儲存權限,攜程旅行則在首次使用時只提示用戶開啟儲存權限,但當記者點擊同意後,卻在後臺發現上述應用實際也開啟了位置權限。
百度瀏覽器則在首次安裝時提示要求用戶開啟“儲存”、“位置”、“電話狀態”三項權限,但實際除上述三項權限外還開啟了麥克風錄音權限。
對於這一現象,手機百度高級經理田彪曾表示,有的系統會授予它認為安全的APP一些權限,安卓系統的權限授予非常復雜,權限授予完全取決於手機系統本身,而並非由APP自身判斷和決定的。
在梆梆安全研發中心副總裁方寧看來,這一說法確有其道理。“通過原生安卓系統安裝時,谷歌規定安裝APP時是一定要提示所有權限的。但用戶在品牌手機自帶的應用商店裡安裝APP時,如果該APP處於手機廠商的白名單列表裡,有時應用商店本身會替妳忽略掉這一過程。”
但在專家看來,“白名單”不能作為APP對涉敏權限不進行明示提醒的理由。
馬兆豐表示,一些APP產品廠商和軟件商店有合作,以白名單模式放行本該提示用戶知情的選擇權,從而沒有進行“明示同意”的提示,這也不符合個人信息安全使用規範和要求。
新京報記者在測試20款APP時發現,蘑菇街未經提示就在後臺開啟了“讀取本機識別碼”權限。“許多APP需要從手機中讀取標識符來標識用戶,相當於在用戶未登錄的情況下讓服務器知道用戶身份,屬於較為普遍的權限要求,相對之下較為‘無害’。由於手機廠商可以二次定制開發安卓系統擁有廠商權限,所以如果手機廠商認為某些權限是安全的,有可能會不提示給用戶。”方寧稱。
“而定位功能屬於較為敏感的權限。”西安郵電大學副教授任方表示,“一般系統不會直接無條件給APP打開,不過由於一些APP開發者在軟件設計時就設置了這樣的條件,妳不開放它就不讓安裝,用戶也沒有什麽辦法。”
在互聯網安全專家劉海(化名)看來,不管APP是否進入了廠商的“白名單”,能開啟哪些權限還是APP開發者自身決定的。
“目前安卓平臺上廣泛存在權限被濫用的現象,很多應用經常申請不必要的敏感權限,使用戶隱私面臨被泄露的風險。造成權限‘濫用’現象的除安卓系統自身的開放性之外,APP沒有做到約束自己的行為也是原因之一。”劉海說。
多款APP開啟與主業無關的敏感權限
優酷開啟位置權限,愛奇藝讀取運動數據
在1月15日的測試中,記者發現除了上述明示不全的外,趕集網、滴滴出行、拼多多、優酷、愛奇藝和蘑菇街6款APP在首次安裝使用時沒有對用戶權限進行任何明示。
其中,滴滴出行、趕集網、拼多多、優酷四款APP在後臺直接開啟了包括錄音等多個敏感權限。
在用戶李艷看來,一些APP開啟敏感權限情有可原,另一些則不合情理。“比如微信要發語音開啟錄音權限,以及滴滴需要定位開啟位置權限我可以理解,但一些購物和視頻網站也要位置就有些說不通了。”
在實際測評中,記者發現不少APP開啟的權限和自身核心業務交集不大,如主業為視頻播放的騰訊視頻在首次使用時向用戶明示了使用協議,並只開啟了“讀取本機識別碼”,同類APP愛奇藝則沒有在軟件打開時做到彈窗提示,還開啟了使用呼叫轉移以及讀取運動數據權限,並在記者安裝後立刻嘗試讀取位置信息。
優酷則開啟了位置、運動數據、獲取瀏覽器上網記錄等多個與視頻觀看交集不深的敏感權限。記者打開優酷和愛奇藝APP後,並未發現有哪些選項與讀取位置或者撥打電話有關。
也有不少APP有明確的理由開通與主業無關的功能。例如資訊類APP今日頭條在上線“發佈小視頻”功能後,就有理由開啟相機和麥克風錄音權限。對此,有用戶曾經質疑今日頭條“通過麥克風竊取用戶隱私”,今日頭條則回應稱“今日頭條旗下所有產品,都不存在未經用戶許可、擅自獲取用戶隱私的行為。”
在方寧看來,雖然目前相關法規有“不得收集服務所必需以外的用戶個人信息,不得將信息用於提供服務之外的目的”之類的表述,但其實這個說法空子還是很大的。“什麽叫‘服務必需以外’?比如優酷,我們認為它只提供視頻播放服務,但是它也可以說我獲取用戶信息是為了做大數據分析,比如根據用戶喜好推薦想看的視頻,根據用戶行為習慣做用戶畫像分析等。事實上,APP可以把它的服務裝飾成很多維度,然後就可以通過這種方式獲取主業之外的權限,即找一個合適的理由來采集妳的信息。”
1月18日,記者在後臺的“權限訪問記錄”中發現,一些敏感權限的讀取記錄來自和主業完全不符的APP,如搜狗輸入法、愛奇藝、蜻蜓FM在安裝後不久就嘗試讀取位置信息。而被訪問最多的權限之一是“讀取已安裝應用列表”。方寧介紹,這是APP做運營分析或者用戶畫像時很常見的方式。
開啟權限是否泄露隱私?
技術上可以讀取隱私,但難判斷是否泄露
在劉海看來,隨著市場上APP的功能越來越豐富,申請的權限也越來越多,這也同樣說明以竊取泄露用戶信息為目的的惡意APP和僅是提供服務的非惡意APP申請的權限交集更大了。“例如目前許多APP都有‘語音搜索’功能,即便這並非其核心功能,開啟與否區別不大,但一旦開啟,就意味著APP有了窺探用戶隱私的能力。”
他認為,只要開啟了錄音權限,技術上APP確實可以獲取用戶的錄音;而開啟了通訊錄權限,技術上APP也可以得到妳的聯系人名單。換言之,只要拿到相關權限,APP完全可以在正常提供相關服務的同時,“順手”獲取用戶的隱私數據,不管這些數據是否屬於“服務必需之外”。
比如,為了方便用戶導入聯系人名字,一些輸入法要求讀取用戶通訊錄,但這也意味著它得到了通訊錄個人信息(包括姓名、號碼、甚至家庭住址等)。對此,馬兆豐分析稱,如果輸入法獲取了通訊錄信息後只是為了本地使用方便,不做數據上傳或進一步用於其他目的,獲取權限的理由也成立,那麽,在很大程度上就不一定能涉及隱私泄露。
“事實上,如果一些應用程序涉嫌非法收集、使用加工用戶隱私信息,通過深度數據解析、網絡通訊行為分析、相關操作訪問等技術手段是可以監測到的,即使在網絡傳輸層面是加密的,但在本地數據解析、數據構造層面也是可以分析監測到是否涉嫌用戶隱私侵犯。因此,個人信息的使用無論是軟件開發者、公司或機構都要遵循相關法律法規,否則,一旦涉嫌用戶信息不當使用都要承擔相應後果。”馬兆豐指出。
方寧表示,通過做逆向分析、滲透測試等方式可以檢測出一個應用是否上傳了用戶隱私數據,但這需要具備專業的技術能力,普通老百姓不可能做到。“目前主要依靠企業行為自律或尋找專業的安全企業進行合作,以達到為用戶提供安全的使用環境。”
而在任方看來,由於很難取證,目前並沒有有效的懲處制度來約束APP的這種隱私竊取行為,用戶也無法證明APP是否真的竊取了隱私。
20款APP僅京東、蘇寧易購、騰訊視頻、支付寶彈窗提示隱私協議
百度趕集網等未明示隱私協議
根據我國《信息安全技術-個人信息安全規範》要求,收集個人敏感信息時,應取得個人信息主體的明示同意,確保其在完全知情的基礎上自願給出具體、清晰、明確的願望表示,並且允許個人信息主體選擇是否提供或同意自動采集。
為了解決權限安全問題,谷歌公司曾建議開發者在上傳應用時發佈隱私條例,即開發者需要聲明用戶相關的隱私信息如何被使用、收集或分享,其目的是使用戶了解隱私信息如何被使用,從而更好地保護用戶隱私。
但目前,很多APP並沒有做到明示隱私協議以及給予用戶選擇是否同意的權利。
1月17日,在新京報記者測試的20款APP中,京東、蘇寧易購和騰訊視頻在首次安裝時就將其隱私協議進行了彈窗提示,用戶可以選擇是否同意,支付寶在安裝後不會立即提示隱私協議,而是在用戶登錄時彈窗進行相關提示。
相比之下,滴滴出行、百度瀏覽器、趕集網、1號店、攜程旅行、美團外賣、西瓜視頻等多數APP都沒有向用戶明示提醒其隱私協議。
此前,南都個人信息保護研究中心發佈的《關於收集個人信息“明示同意”的測評報告與建議》顯示,在100款常用APP中,在用戶註冊前,“默認勾選”同意企業用戶協議和隱私政策的情況並不少見,有的甚至存在用戶不可自主選擇
同意與否的問題。僅有11%的APP做到了合乎法規及規範的“明示同意”。
新京報記者測試發現,多數APP的隱私協議藏在“設置”選項中,如今日頭條在“設置”的最下方有一行小字才能看到“今日頭條用戶協議”,而百度瀏覽器的相關隱私協議則在“設置”-“關於瀏覽器”中才能找到。
相關隱私條款中,今日頭條和百度瀏覽器均有“使用APP就視為同意條款”的表述。百度瀏覽器還特別列出了一個免責聲明,表示“您可以選擇不使用百度,但如果您使用百度,您的使用行為將被視為對本聲明全部內容的認可。”這意味著,用戶在安裝並使用該APP時,就已經默認同意了上述條款。
在前不久的支付寶“年度賬單”事件中,也出現了默認勾選隱私協議的事件。
對此,華東政法大學教授、大數據政策法律研究中心主任高富平曾發表文章認為,有效同意的要件需要明確。
在他看來,我國現行法律將同意視為個人信息收集和使用的一般規則,但在實踐中,“同意”被大量地使用,很難起到保護個人權利的目的。這主要是因為,在實踐中的同意大多數是與服務捆綁的,用戶協議的同意是接受服務的前提,因而要接受服務就必須同意,否則無法享受服務。而用戶協議又是涵蓋經營者可能列舉的各種情形,包括向所有關聯方、業務合作方等提供信息。這也就是大家通常講到的“概括式同意”。在這種概括式的協議中不乏各種不合理條款。
高富平認為,法律尚沒有明確否定概括式同意,實踐中的做法並不違反法律。但涉及具體的個案糾紛,法院有權對不合理條款進行實質審查,否定其效力。“何為有效的同意,需要今後法律予以明確。”
“通過APP或者網站提供的相關協議屬於格式合同,APP方在格式合同中肯定會弱化用戶的權利。”盈科律師事務所律師方超強告訴新京報記者,“這一個格式條款算不算用戶承諾值得商榷。事實上,如果該格式條款過於限制用戶權益,可以認定無效。例如目前很多APP都在隱私協議中表示會把用戶資料提供給合作方或第三方,但卻沒有提及第三方的身份,在這種情況下默許用戶‘同意’的格式條款就涉嫌侵害了用戶的權益。”
【華發網根據新京報採編】
上一篇:“阿爾法狗” 真的懂圍棋嗎?
下一篇:蘋果“降速門”引發全球訴訟潮
- 凡本網註明"来源:華發網繁體版的所有作品,版權均屬於華發網繁體版,轉載請必須註明來自華發網繁體版,https://china168.org。違反者本網將追究相關法律責任。
- 本網轉載並註明自其它來源的作品,目的在於傳遞更多信息,並不代表本網贊同其觀點或證實其內容的真實性,不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網站或個人從本網轉載時,必須保留本網註明的作品來源,並自負版權等法律責任。
- 如涉及作品內容、版權等問題,請在作品發表之日起一周內與本網聯系,否則視為放棄相關權利。
- 1小米8人臉解鎖撼蘋果 下月登港
隨著小米即將在下月香港上市,昨日小米在港舉行新品發佈會,推出新手機小米8及紅米6,兩機分別已於6月5日及6月16日在內地正式推出。香港方面則將會於下月6日正式出售,香港營運總監羅燕表示,由於小米要在港出售前需要做本地標準測試,包裝亦要更本地化,故引[詳細]
- 2漫威漫畫:懲罰者最後是怎麽殺死死侍的?
按道理說死侍的確是死不了的,但是在別人的主場裏死侍卻沒那麽強了,屠殺別人的死侍也被人“屠殺”了壹次!但是漫威自己都不知道怎麽殺掉死侍,所以處理的方法很模糊。這必須要介紹《懲罰者屠殺漫威宇宙》。 真[詳細]
- 3專訪華為何剛:手機市場已進入華為節奏
今年華為手機發布Mate 20系列新品,可以說是熱度爆棚,同行的幾個媒體老師都反饋說自己的服務器遭到了巨大的流量沖擊,甚至有的還崩潰掉了。這種情況在蘋果手機發布的時候都沒有出現過,可以說這次發布會華為確實萬眾矚目,在蘋果新品創新依舊乏力的情況下,手[詳細]
- 4新iPhone「雙卡雙待」 今可預訂
■平價版iPhone XR提供黑、白、黃、藍、紅和珊瑚6種顏色。 法新社XS Max屏幕6.5吋 12499港元歷來最貴蘋果公司前日正式公佈3款新iPhone,包括iPhone X升級版iPhone XS、6.5吋大屏幕版本iPhone XS Max,還有平價版的iP[詳細]
- 5雷軍的上市魔咒
小米歷經百般周折,今天終於在港交所敲鐘上市,開盤即破發,收盤時下跌1.18%,報16.8港幣。 我們都知道,小米集團IPO發行價為17港幣,估值543億美元,和過去1000億美元估值相較而言,幾乎是減去了一半。之前在6月23日的新聞發佈會上,深諳營銷套路的雷軍說了[詳細]
- 6直播答題經歷"夢幻+魔幻"兩個月 整體上已顯疲態
3天引爆啟動,60天持續升空,在即將到達頂點時戛然而止,直播答題經歷了夢幻且魔幻的兩個月。 2月14日,國家新聞出版廣電總局發出通知,要求對網絡視聽直播答題活動加強管理,提出視聽節目直播資質欠缺、內容審核機制不健全、內容低俗媚俗等行業亂象。本想在[詳細]
- 7谷歌首推微信小程序 人人都成「靈魂畫手」
大家知道最近最流行的小遊戲是什麼嗎?是谷歌AI版「你畫我猜」。一夜之間,人人都成了「靈魂畫手」。 [詳細]
- 8想笑傲春節的江湖,你可能還需要這一件秘密武器!
早年間,只要懷揣一只傻瓜相機,兜里塞倆膠卷,便可獨步天下,留下一段江湖傳說。但如今,江湖亂了。德毒門老當益壯,日產派年富力強,手機族更是五海之內皆我族人,他們輕掃屏幕,帶走世界上每個黃昏的云彩(掃走全世界的橘子皮)…… 而春節,正是攝影各門[詳細]
- 9防止朋友圈“殺熟”要建三道防火墻
近日,淘寶等多家網購平臺被媒體曝光存在私照交易,用戶花5元到10元不等就能買到一套來自朋友圈等社交平臺的高清照片或者視頻,引發網友關註。截至記者發稿,大部分平臺已經整頓,在多家網購平臺檢索,結果顯[詳細]
- 10二手手機隱私信息刪除須規範
近日,記者調查多家手機維修商戶發現,多數二手手機在信息刪除甚至恢復出廠設置後,也能實現電話簿、照片等隱私數據的恢復。網上也存在著不少網絡軟件銷售商兜售數據恢復軟件。“恢復數據不是難事,不到1小時就能搞定。”多年從事手機維修的林飛(化名)稱,“不排除[詳細]
- 11春節怎麽快速搶紅包?這裡有份詳細攻略!
妳用手機最緊張的時刻是什麽時候?看恐怖片?手機沒電了? 我想這些都敵不過“搶紅包”——在微信裡聊著聊著天,突然看到群裡發紅包,心馬上就提到嗓子眼了——點開紅包一看“手慢了,紅包派完了”,心又立刻跌入谷底。[詳細]
- 12蘋果「開劇」 荷里活大牌打頭陣
■珍妮花安妮絲頓(右)及莉絲韋特絲潘出席發佈會,將在Apple TV+主持晨早節目。 法新社串流影視平台Apple TV+今秋在港等百國家地區推出蘋果公司前日舉行春季發佈會,與往年不同,蘋果這次沒帶來新產品,而是宣佈推出一[詳細]
- 和氣生財6/李家超:推廣禮貌服務 提升香港魅力
- 行政長官李家超將赴北京述職
- 吸引力足/寧德時代來港落戶 設國際總部及研發中心
- 免簽生效 到中國經商旅遊更方便
- 特區政府斥美打「法案牌」干預港事務
- 高鐵載客量超越疫前 短途增幅大
- 民進黨處心積慮搞「台獨教育」
- 市區「輕微僭建」 研申報後暫緩執法
- 情牽兩岸/創業台青深耕國漫IP 傳播中華文化
- 施政報告前瞻/設中醫藥專員 建數碼化中藥平台
- 兩岸京劇一脈傳 好戲連「台」見情深
- 投資信心提振 恒指連升六日共千點