都市快报
因为检测到两款App疑似存在窃取用户隐私行为,刚刚上市的vivo NEX被网友封为反流氓软件“神器”。
新上市手机意外发现App“偷窥”
vivo NEX是vivo在世界杯开幕前夕发布的最新旗舰机型,其最大特色是将前置摄像头设计成升降式,当用户自拍时,隐藏在机身的前置摄像头会自动弹出。
让vivo和用户都没想到的是,这本意是实现全面屏的设计,无意中暴露了某些App的小秘密。
vivo NEX上市后不久就有用户称,通过手机QQ浏览器打开某些网页时,手机摄像头会自动升降。网上的一段视频显示,vivo NEX确实存在自动探出摄像头的现象,不过只弹出到一半就缩了回去。
不少用户认为这是QQ浏览器在偷拍用户。QQ浏览器官方不得不出来澄清,声称原因是调用接口所导致的,摄像头并没有做任何拍摄或采集行为,手机QQ浏览器也不会采集用户任何隐私。
安全专家怎么说?
他说,摄像头弹出,可以确定是调用了摄像头的权限,但根据网络视频显示的状态,摄像头只弹出一半就缩了回去,这种状态下是无法完成拍摄的。
唐威认为,在这个事情中,人们更应该关心App获取手机权限的行为,因为它既是App实现“偷窥”的开关,更是关系到用户隐私安全的关键。
但在实际操作中,不少App越界获取了权限,而用户为了能够正常使用App,也只能接受“不平等条约”。
比如,明明装的是看视频的App,却要监听你的电话;下个导航App,却要掌控你的联系人;一些和拍照毫无关系的App,也会要求获取相机权限。而麦克风、通讯录、短信等权限,基本上是每个App的标配。
腾讯社会研究中心发布的2017年度《网络隐私安全及网络欺诈行为研究分析报告》显示,2017年下半年,超过80%的手机App会获取用户隐私权限。其中,安卓应用的这一数字高达98.5%,苹果应用的这一数字为81.9%。
其中影音娱乐、资讯阅读、网络游戏和常用工具等种类的App成为越界获取用户隐私的重灾区。
不仅如此,同一款App在不同平台获取的权限也不同。
唐威说,目前国内手机App审核上线是企业行为,平台负责审核,App开发者在申请权限时,并不需要提供任何资质备案,上线后还可随时开通,因此获取涉及用户隐私的权限几乎没有障碍,这种情况在开源的安卓应用市场尤为严重。苹果iOS系统由于其封闭特性及更加严格的审核机制,App越界获取权限的情况相对少一些。
用户能做的对策有哪些?
事实上,2017年7月1日实施的《移动智能终端应用软件预置和分发管理暂行规定》规定,App不得调用与所提供服务无关的终端功能。但由于没有细则落地,不少App“浑水摸鱼”有恃无恐。
唐威说,大数据时代,用户信息就是财富。这也是为什么App要获取隐私权限的原因。你在手机上的每一次操作,都可能给人可乘之机,比如他们会据此掌握你的兴趣爱好、购物习惯、家庭收入、经常出入的场所等,轻则投放广告骚扰,重则进行精确诈骗或盗窃财物。
他提醒,虽然表面看起来是App在巴结讨好用户,但关于权限的主动权并不掌握在用户手中,用户能做的,就是提高警惕,在应用安装或者运行时,谨慎授予与短信、通讯录、通话记录、摄像头、麦克风、位置、相册等有关的敏感权限。
鉴于权限问题主要集中在安卓平台,在下载App时,尽量选择正规渠道,如应用宝、安卓市场等,或者从手机官方市场下载。不要下载来源不明的App,特别是不能从论坛下载。瑞星不止一次发现,不少App在官方市场没有要求的权限,被人篡改以后放到了论坛供人下载。
此外,安卓手机不要root,苹果手机则不要越狱,因为这样会将手机的底层权限开放给App,彻底失去安全屏障。
閱讀更多 都市快報 的文章
