APP“偷看”短信還上傳 “老板給我漲工資了”明文可見

不給說“不”的權利，App強制索權遭詬病

在測評中，南都記者還發(fā)現，部分移動金融App通過捆綁甚至強制獲取的方式，要求用戶一次性同意多項敏感權限。

以“融360”和“錢站”為例，當使用華為手機(安卓版本8.0)在華為應用商店下載安裝這兩款App時，頁面彈窗需要獲取用戶的以下權限：存儲、電話、位置信息、相機、麥克風、通訊錄、信息、通話記錄、其他等九大類敏感權限，并要求用戶一攬子選擇“允許”或“取消”。

通過華為應用商店安裝融360和錢站時出現的提示。

另一款名為“金信寶”的App捆綁索取的權限也較多，當初次打開應用時，要求獲得“存儲”權限并提示有版本更新，更新安裝后申請獲取用戶GPS信息、讀取通訊錄、拍攝照片和視頻等12項權限。

金信寶要求安裝新版本。

一旦點擊“取消”，用戶即無法正常安裝這款App。南都記者在測評中發(fā)現，類似的問題至少出現在16款App內，其中近一半為移動金融類App。

另有部分App存在不同意授權個別權限，無法正常使用的情況。比如“LOHAS樂活”，如果用戶不同意授權攝像頭、錄音權限便會出現頻繁彈出，無法使用的情況，“新浪有借”在用戶初次打開App時要求獲得存儲、電話權限，拒絕后也出現無法打開的問題。

“不同意就退出”，不授予權限連打開App的可能都沒有，這實際上是一種變相的強迫同意。

上海市信息安全行業(yè)息會副主任張威告訴南都記者，Android 5.0應用系統基本采用一攬子授權的方式，但隨著Android版本的升高，開始對權限的管理進行區(qū)分，獲取用戶敏感權限需經過同意，但現階段仍有部分App存在這種打擦邊球的行為，模糊授權的界限。

根據《網絡安全法》第四十一條規(guī)定，網絡運營者收集、使用個人信息，應當遵循必要的原則，不得收集與其提供的服務無關的個人信息。南都記者關注到，今年2月，《個人信息安全規(guī)范》修訂草案中特別新增了“不得強迫收集個人信息的要求”。

App行為測試：用戶短信“老板該給我漲工資了”明文可見

在現實情況中，一款App在應用商店或首次開啟后顯示申請的權限并不意味著實際只調取這些權限。對用戶而言，也很難知曉相關代碼是否被執(zhí)行，或者有無足夠必要性。

為此，除了考察被測App隱私政策透明度，用戶端實際操作行為合規(guī)外，在此次測評中，南都個人信息保護研究中心分別通過兩個途徑，利用技術手段對部分App的iOS客戶端和Android客戶端個人信息收集情況進行分析。這兩種渠道分別是利用“直節(jié)隱私合規(guī)助手”進行測評分析，以及聯合第三方測評機構中國金融認證中心(CFCA)技術檢測手段進行分析。

根據中國金融認證中心(CFCA)的測試結果，Android版本號為3.4.6的“融360”存在如下問題：如果用第三方賬號登錄，App會將用戶第三方平臺上的社保與公積金查詢賬號密碼發(fā)送至己方的業(yè)務服務器，由后臺代為查詢，并且使用的是明文傳輸。

中國金融認證中心認為，如果明文傳輸，黑客很容易就能通過網絡嗅探和劫持的方法獲得這些信息，存在安全風險。

測試結果顯示融360在后臺明文傳輸社保賬號。

另一款名為“榕樹貸款”的Android 3.3.3版本App，除了存在上述行為，還被檢測捕捉到應用調用系統接口獲取通話記錄、聯系人信息、短信記錄等行為，并在數據流量中發(fā)現上送信息。在對“榕樹貸款”的短信記錄權限進行檢測時，類似“老板該給我漲工資了”的短信內容明文可見。

測試結果顯示榕樹貸款獲取了用戶短信。

值得一提的是，檢測顯示，鐵友火車票在運行過程中會不斷獲取系統的剪切板內容。

測試結果顯示鐵友火車票不斷獲取手機剪切板內容。

此外，這款App還存在向第三方服務器明文傳輸用戶個人信息的行為。比如傳輸能夠標記到個人的用戶與設備之間的綁定信息，在運行中不斷獲取的地理位置信息不僅上傳到自身服務器，還向數個第三方服務器發(fā)送，過程中包含其他隱私信息。

鐵友火車票存在向第三方服務器明文傳輸用戶的個人信息行為。

直節(jié)隱私合規(guī)助手的測試結果顯示，鐵友火車票App向系統申請了17個敏感權限，但安裝包里存在敏感權限相關的API調用(有使用可能)則有19個，其中，讀取短信、接收短信等敏感權限是App中未申請但調用API的相關權限。這意味著，這款App自身或者集成的第三方工具包代碼中存在冗余代碼。冗余代碼具備在App版本更新時，在用戶不知情的情況下調用敏感權限的可能。

鐵友火車票獲取多項敏感權限。

此外，直節(jié)隱私合規(guī)助手測評結果顯示，一些App會使用大量的SDK(軟件開發(fā)工具包，可以理解為一種植入App的第三方工具包)，這些SDK也會獲取使用權限，例如鐵友火車票App嵌入了56款SDK，融360也嵌入了49款SDK。不少SDK需要獲取用戶的網絡連接、精確地理位置、手機狀態(tài)與身份等用戶信息。

鐵友火車票A嵌入56款SDK。

融360嵌入49款SDK。

專家指出，獲取權限首先應該符合必要性原則，即與一定的場景與功能相關，沒有該項權限這一功能無法實現;其次應該獲取用戶的知情同意。但第三方SDK獲取的權限往往不會在一款App的隱私政策中提及，更不用說告知用戶具體使用的場景和功能，因此很難說已經獲取了用戶的同意。

如何破解一攬子授權？專家意見不一

不難理解，在經濟利益的驅使下，網絡運營者有著天然的沖動最大限度地收集個人信息。

“對廠商來講，能拿到的用戶信息越多越好，這有利于分析用戶的使用習慣。而知道了用戶習慣就能更好地推送產品。”中國網絡空間安全人才教育聯盟秘書長，廣州大學魯輝副研究員告訴南都記者，“但是絕對不能以犧牲用戶的隱私為前提。”

“從根本上說，這些為了占有更多數據的不合理的權限申請是對消費者基本權益的嚴重侵害，也是壟斷和不正當競爭無限孵化的溫床。”南京信息工程大學法政學院教授蔣潔直言。

如何打破一攬子授權，解決App過度收集個人信息的問題?有觀點認為，應對App調用的權限進行動態(tài)的單獨授權，以達到用戶信息最小化授權的效果。

南都記者注意到，這也是此次《個人信息安全規(guī)范》修訂草案提出的新方案，即當產品或服務提供多項需收集個人信息的業(yè)務功能時，平臺不得違背用戶的自主意愿，強迫用戶接受信息收集請求，不得通過捆綁各項業(yè)務功能的方式，要求個人信息主體一次性接受并授權同意各項業(yè)務功能收集個人信息的請求。

如何理解?魯輝對南都記者解釋，以某些需要身份識別的App為例，用戶在App上辦理業(yè)務時，需要用戶的人臉信息或者語音信息，這時就需要獲得手機的拍照和錄音權限。這個聽起來是合理的，使用的時候可能也是必須的。“但是問題在于，用戶是否有必要一直給予這種權限，還是說只需要在用到拍照或錄音功能的那幾分鐘臨時授權就行。”

在魯輝看來，從保護用戶隱私角度，應該是臨時授權，并且這在技術上實現起來并不難，但是很多App并未做到。

魯輝還表示，用戶在安裝App時需要有保護隱私的意識，不要隨意輸入自己的姓名、證件號、住址等信息，而諸如定位、通訊錄、通話記錄、攝像頭和錄音等敏感權限，在授予平臺時，需要格外謹慎。“當用戶的安全意識提高了，App開發(fā)者自然不敢隨便索權了。”魯輝說。

“如果一概要求重新授權，可能會降低用戶體驗。但一攬子的授權方式又會給個人信息安全帶來較大風險。”蔣潔對南都記者表示，目前獲得較多贊同的說法是區(qū)分功能性質，對于App的基本功能或主體功能及其更新，可以進行一攬子授權，而對于拓展功能或輔助功能，則需要再次授權。

值得一提的是，App的信息安全已經引起官方重視。今年1月底，中央網信辦聯合工信部、公安部、市場監(jiān)管總局等四部門表態(tài)，今年將在全國范圍內發(fā)起專項治理活動。嚴重違法違規(guī)收集個人信息的App運營者，將被依法暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。

在蔣潔看來，除了大幅提升違法違規(guī)企業(yè)的懲罰力度，還需制定App過度索權的評估標準和有力的監(jiān)管體系，并健全救濟機制。

魯輝則表示，用戶在安裝App時需要有保護隱私的意識，不要隨意輸入自己的姓名、證件號信息，諸如定位、通訊錄、通話記錄、攝像頭和錄音等敏感權限在授予平臺時，需格外謹慎。

“當用戶的安全意識提高了，App開發(fā)者自然不敢隨便索權了。”魯輝說。

(文中小媛為化名)

統籌：南都記者 娜迪婭

采寫：南都記者 李玲 蔣琳 馮群星 尤一煒 錢柳君

作者：娜迪婭

上一頁 1 2 下一頁