實測37款App:原來我們每天被讀取幾千次
微信獲取位置信息69次、讀寫儲存空間549次���,高德地圖獲取位置信息34次��、抖音獲取位置信息23次、支付寶獲取位置信息13次�、微博獲取位置信息12次���,這是某用戶手機App一天的權限使用記錄���。
十幾款手機App竟然在用戶毫無感知的情況下,幾乎看光了手機里的全部內(nèi)容�。為何有些App沒有主動告知就偷偷自啟動讀寫儲存空間、照片和文件���?為何一些和自身服務定位毫不相干的權限�����,App都想要���?這些App在調(diào)取手機權限時,早已在不知不覺間經(jīng)過了用戶允許�。
半個月前,國家互聯(lián)網(wǎng)信息辦公室��、工業(yè)和信息化部等四部門聯(lián)合發(fā)布了《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》(簡稱《規(guī)定》)����,明確對39類App劃定了必要個人信息范圍��,5月1日起正式實施��。這意味著�����,App�����、小程序運營者過度索權的行為將會得到規(guī)范�����,公民在網(wǎng)絡空間的合法權益將會得到保護����。
距離此項《規(guī)定》正式落地已不足一個月�,記者對市面上包含社交、購物�����、出行、娛樂在內(nèi)的37款主流App使用權限進行測試后發(fā)現(xiàn)����,仍然有不少App涉嫌過度索權,其中不乏百度地圖���、快手、UC等知名App�����。
每部手機每天被定位3691次
今年1月�����,小米MIUI隱私保護能力建設研發(fā)團隊公布了這樣一組數(shù)據(jù):“平均每部手機每天會被App定位3691次�����,相冊和個人文件每天被App訪問2432次��,App在后臺每天嘗試悄悄地啟動783次���,有超過40萬個App可以直接讀取用戶的剪切板��。”
簡單計算��,一部手機平均每小時會被App定位154次����,平均1分鐘被定位2.56次。你根本無法察覺App暗中在做什么��。
App對用戶信息的渴望����,遠超用戶想象。
4月7日�����,記者使用一部安卓國產(chǎn)手機下載了較為常用的37款App��,涵蓋社交�����、娛樂���、電商�����、出行等領域����。
從手機權限管理界面中看到,37款App都涉嫌索要定位權限�、拍照、錄像權限以及手機識別碼(IMEI碼)權限��。
不僅如此�,33款App索要通訊錄權限����,大多要求“讀取聯(lián)系人”,微信��、QQ�、脈脈、淘寶��、微博5款App獲取的通訊錄權限還包括“新建/修改/刪除聯(lián)系人”�����;QQ、鐵路12306和微博3款App還索取“讀取彩信”“讀取短信記錄”的權限���;番茄免費小說則需要讀取用戶撥打電話的權限�����。
一些App在其“個人信息保護政策”中對此做了解釋�。
美圖秀秀稱�,收集用戶位置、設備信息是為了幫助用戶獲得更感興趣的社區(qū)內(nèi)容�,或在工具素材和廣告內(nèi)容推薦上呈現(xiàn)更符合需求的內(nèi)容,減少對海量內(nèi)容篩選的時間���;bilibili表示����,索取設備信息權限是為了給用戶提供視頻展示和播放服務�����,索取定位是為了定向推薦�、維護和改進產(chǎn)品之必須;番茄免費小說申請電話權限,是為了用戶看到廣告頁需要撥號和顯示對方電話所設置����。
除上述授權要求外,有不少App還需要讀取用戶的剪切板�、日歷、存儲等權限����。如果一款導航類App索取定位是為了給用戶提供服務,為何愛奇藝�����、bilibili�、脈脈��、QQ音樂等App也要獲取用戶的定位信息��?
為何讀書軟件也要讀取用戶撥打電話的權限�?
社交類App啟用麥克風是為了便于交流,為何餐飲訂單平臺要啟用麥克風及錄音功能�����?
事實上����,手機里的不同權限對應不同風險��。民間非企運營互聯(lián)網(wǎng)安全組織網(wǎng)絡尖刀創(chuàng)始人曲子龍告訴《IT時報》記者�。
獲取通訊錄權限�����,大多用于做大數(shù)據(jù)畫像���,同時獲得用戶的“社交關系”�,容易被不法分子盜取后用于詐騙�;短信權限的風險更大,如果被濫用�����,輕則被利用“薅羊毛”�,重則被用于攔截短信驗證碼,控制所有的數(shù)字資產(chǎn)�����;麥克風權限,則可以用于監(jiān)聽���;至于位置����、相冊權限���,多用于建立行動軌跡和獲取相冊里的隱私����。
至于App自動讀取手機的應用列表����,是通過應用列表分析用戶使用什么應用、使用多少次�����,大多用于廣告大數(shù)據(jù)分析���,也有一些手機助手是為了判別用戶是否安裝某程序,是否需要推薦以及程序是否需要升級����。
多款App不授權不可用
《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》開篇便明確����,網(wǎng)絡運營者不得收集與其提供服務無關的個人信息���,移動互聯(lián)網(wǎng)應用程序(App)運營者不得因用戶不同意收集非必要個人信息��,而拒絕用戶使用App基本功能服務�����。
但當記者對一些常用App進行測試后發(fā)現(xiàn)���,不授權便不可用的現(xiàn)象,較為普遍���。比如����,《規(guī)定》對運動健身類App的要求均是無須個人信息����,即可使用基本功能服務����。記者測試了部分健身類App發(fā)現(xiàn)����,如果不登陸用戶賬號將無法正常使用keep、Hi運動��、每日瑜伽App�。在安卓手機應用市場里下載“美腿瘦腿”App時,會跳出授權選項�����,需要用戶授權App讀取存儲�、電話、位置信息��、麥克風�、通訊錄及其他權限,如果不同意�����,將無法下載該App��。比如�����,《規(guī)定》對于女性健康類App的要求是無須個人信息����,即可使用基本功能服務。但當記者打開媽媽網(wǎng)備孕App時���,必須要注冊信息��,否則不能正常使用����。
此外�,記者還發(fā)現(xiàn),很多權限用戶無法手動進行關閉�����,而一旦在開始點擊了同意隱私協(xié)議����,或者打開了某項權限��,該權限下方所包含的更多細節(jié)也都一并處于默認打開狀態(tài)����。
長期專注于移動安全領域的廠商安天移動安全����,近年來持續(xù)大力投入,形成了一套針對移動風險應用治理的有益體系�����,其中也包含了對App隱私權限問題的針對性檢測����,能夠較好檢出App違法違規(guī)收集個人信息的各類問題。
“根據(jù)目前我們檢出的數(shù)據(jù)統(tǒng)計結(jié)果����,Top3隱私權限問題為‘無隱私彈窗、彈窗前收集個人信息����、強制索權’。其實目前市面上的很多應用均或多或少存在一定隱私權限方面的問題��,這是普遍現(xiàn)象。”安天移動安全方面人士說道���。
不同手機App授權管理不同
更令人驚訝的是,有些App的權限被用戶拒絕后�����,卻又悄悄被打開了��。
記者在一臺魅族手機自帶的應用商店里下載了一款百度地圖App�,首頁默認勾選開啟定位、存儲�����、麥克風��、設備信息四項授權���,并在屏幕最下方有“同意”和“不同意并退出”的按鈕���。
記者將四項授權全部取消后,點擊“同意”按鈕�����,便進入百度地圖搜索頁面。然而��,當記者查詢某條路線時���,百度地圖依然自動定位了“我的位置”����,并提供了導航路線�。
這是怎么回事?記者進入手機里百度地圖“應用訪問授權”設置后發(fā)現(xiàn)�,在已經(jīng)拒絕的前提下,位置信息�、存儲空間、日歷�����、電話�����、相機、通訊錄和麥克風均為開啟狀態(tài)��。
根據(jù)《規(guī)定》���,地圖導航類App的基本功能服務為“定位和導航”���,必要個人信息為位置信息��、出發(fā)地���、到達地���。但如果根據(jù)記者的測試結(jié)果,這款百度地圖App不僅涉嫌過度索權���,而且還有欺騙用戶的嫌疑�。
然而���,記者在自己的華為手機上做了同樣測試���,無論是從華為應用市場還是魅族應用市場中下載的百度地圖,只要在初始狀態(tài)拒絕授權,其權限內(nèi)默認是關閉狀態(tài)����。
百度地圖客服人員用兩款手機測試后,得到了和記者同樣的結(jié)論����,但她也坦承,目前暫時無法確定記者測試結(jié)果不同的原因��,可能是與手機型號有關��。
記者分別用魅族和華為手機測試了其他App����,測試發(fā)現(xiàn),首次打開App的狀態(tài)下��,沒有點擊任何授權���,以下App分別啟動了部分權限����。
記者在“應用權限管理”中看到:快手��、西瓜視頻、抖音�、騰訊視頻、keep�、UC瀏覽器、搜狗瀏覽器均在自動讀取應用列表����。在此基礎上,西瓜視頻和抖音�����、keep���、UC瀏覽器還在讀取手機識別碼;騰訊視頻和搜狗瀏覽器均可以修改系統(tǒng)設置����。
盡管以上App 提供的基本服務不同,但根據(jù)《規(guī)定》�,短視頻類、新聞資訊類�����、在線影音類、瀏覽器類����、運動健身類App均無須個人信息,即可使用基本功能服務���。根據(jù)記者的測試結(jié)果意味著���,上述App涉嫌過度索權。
但是����,記者使用華為手機用同樣的方式對上述App進行測試發(fā)現(xiàn),以上App的權限均為禁止狀態(tài)�����。
為何不同手機在獲取權限方面有不同的表現(xiàn)��?記者致電抖音和西瓜視頻的客服���,對方表示暫未接到上述問題的反饋�;Keep客服并未對此進行解釋���,但表示如果不想App獲取權限��,用戶找到相應權限將其關閉即可��。其余App的客服則無人接聽���。
業(yè)內(nèi)人士猜測�,這或許與不同手機廠商對App索權的限制有關��,或者是某些應用市場里的特制安裝包���,有后門存在�����。
“同款App針對不同的分發(fā)渠道,即使是同一個版本也會有針對性不同的策略����,可能從正規(guī)應用市場下載的App符合監(jiān)管要求,用戶授權前不會收集任何個人信息���,但我從其他第三方分發(fā)平臺下載的同名稱應用就會存在問題���。”安天移動安全大白鵝團隊說�����。
碁震安全研究團隊高級研究員宋宇昊認為�,安卓系統(tǒng)原生提供了針對一部分權限的訪問控制(比如通話�、相機、麥克風)����,對于這部分訪問權限的提示,在所有安卓手機上都是相同的�����。
但是在這部分權限以外����,例如手機識別碼的權限控制,并不是安卓原生提供��,而是由各家手機廠商自己定制的��。在這種情況下�����,需要控制哪些權限、默認允許禁止都是根據(jù)廠商自己對于敏感信息的理解來設計的�。
在獲取用戶權限方面,蘋果就規(guī)范許多�。用戶可以在設置中輕易找到App所需的定位、麥克風���、相機����、藍牙�、Siri權限,并將其手動關閉����。iOS系統(tǒng)從7.0開始就停止了IMEI相關接口開放,開發(fā)者無法直接獲得相關權限��。4月7日�����,蘋果宣布����,未來幾個星期內(nèi)將實施全新的隱私采集用戶披露和許可政策。
IMEI碼也是個人信息
37款App的“個人隱私權限政策”中�����,基本都有類似條款:“當您使用本款應用時����,我們會搜集你的設備信息,包括設備型號��、唯一設備標識符����、設備MAC地址、操作系統(tǒng)類型����、屏幕分辨率、電信運營商�����、登錄IP地址��、軟件版本型號、接入網(wǎng)絡的方式�����、網(wǎng)絡質(zhì)量數(shù)據(jù)�。”
從《規(guī)定》對39類App詳細要求來看,并沒有對IMEI碼����、IP地址等信息有明確要求,那么�����,設備信息是否屬于本次《規(guī)定》的監(jiān)管范圍�?
《民法典》中規(guī)定,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息��,包括自然人的姓名���、出生日期����、身份證件號碼����、生物識別信息、住址���、電話號碼�、電子郵箱�����、健康信息�、行蹤信息等。
另外�,《中華人民共和國個人信息保護法(草案)》規(guī)定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息����。個人信息的處理包括個人信息的收集、存儲�����、使用����、加工����、傳輸����、提供、公開等活動�。
IMEI碼是國際移動設備識別碼的簡稱,即通常所說的手機序列號��,因其唯一不可變被稱為手機的“身份證”�����。
上海大邦律師事務所合伙人游云庭認為�����,手機IMEI碼是手機硬件的編號��,通過識別此編號����,可以識別出使用手機的個人���,屬于個人信息。
在互聯(lián)網(wǎng)廣告聯(lián)盟生態(tài)鏈中�,IMEI碼是一個核心要素�����。一個IMEI碼就可以在廣告聯(lián)盟間追蹤用戶的標簽����,互聯(lián)網(wǎng)巨頭利用龐大的生態(tài)圈收集各種類型的原始數(shù)據(jù),為用戶打上標簽�,最終形成一張全面精準的用戶畫像,幫助廣告主精準匹配目標用戶����。
如果IMEI碼也被定義為個人信息,根據(jù)《規(guī)定》�����,5月1日后���,39類App都不得采集該信息�����。
“《規(guī)定》實施后�,App在此前已經(jīng)收集到的信息理應刪除,但實踐中不會有廠商這么做�,他們還有可能拿著已經(jīng)收集到的信息去匹配其他信息給用戶畫像。不過�����,一旦這種行為被發(fā)現(xiàn)��,將會受到相應的懲罰���。”游云庭說��。
“實際上��,在《通知》出臺前�,手機里的App早已獲取到了IMEI碼����,存量市場的用戶畫像早已被利用?���!锻ㄖ烦雠_后����,對00后�����、10后的用戶畫像會得到克制�。但《通知》并未提及此前被App收集到的用戶信息應當如何處理����,用戶主動搜索行為產(chǎn)生的畫像還是無法約束。”曲子龍說�。
目前國家正在加緊制定出臺《數(shù)據(jù)安全法》《個人信息保護法》,《個人信息保護法》草案已提請全國人大常委會審議����,對于個人信息的定義有望更加準確界定。
小程序也在約束范圍之內(nèi)
另外�,《通知》特別提到,“App包括移動智能終端預置�、下載安裝的應用軟件,基于應用軟件開放平臺接口開發(fā)的���、用戶無需安裝即可使用的小程序”�����,這意味著小程序也被納入監(jiān)管�����。5月1日起�,任何組織和個人發(fā)現(xiàn)違反本規(guī)定行為的,可以向相關部門舉報以維護自身權益�����。
不久前���,《IT時報》曾報道����,滬上不少餐廳要求用戶掃碼點餐之前��,必須授權微信頭像���、手機號碼���,有的甚至要求成為會員才能點餐����,根據(jù)最小必要性原則���,也屬于過度索權����。
根據(jù)騰訊微信團隊公號信息�����,2021年4月13日后發(fā)布的小程序新版本�,將無法獲取用戶個人信息(頭像��、昵稱�、性別與地區(qū)),而是直接獲取匿名數(shù)據(jù)�����,以此解決以往有些小程序總是要用戶授權信息才能使用的問題��。
4月6日,工業(yè)和信息化部信息通信管理局發(fā)布了《關于下架侵害用戶權益APP名單的通報》���,針對3月11日通報的136家存在侵害用戶權益行為App企業(yè)的名單�,經(jīng)核查復驗��,發(fā)現(xiàn)共有60款App未按照要求完成整改�,并對上述60款App進行下架處理。
記者在手機應用商場隨機選擇了幾款App搜索發(fā)現(xiàn)�����,降溫寶�����、美圖證件照等App已經(jīng)下線�����,天天果園��、萌龍大亂斗����、8684實時公交等App已經(jīng)恢復上線���。
4月8日,記者分別聯(lián)系了淘寶�����、微信�����、京東�、抖音等平臺咨詢5月1日后是否會調(diào)整版本,淘寶客服表示��,目前尚未收到相關技術方面的公告����,截至發(fā)稿前��,其余平臺暫未回應����。
來源:IT時報
