下載安裝一個手電筒APP,竟然要求獲得用戶通訊錄、位置、錄音、短信等數十項與之主要功能無關的手機權限?
業內人士指出,當前不少APP,你一旦裝上,就幾乎成了透明人,沒有任何隱私可言。部分手機APP“越權”獲取的用戶信息,已成為公民個人信息洩露的主要渠道之一,並由此衍生出規模龐大的“黑灰”產業鏈。
程序任性“越權”,用戶無奈接受
在山東濟南工作的張敏下載了一款手電筒軟件。在下載頁,這款軟件被標註為“官方、安全、MTC認證”,已被下載過1856萬次。
安裝時張敏發現,該軟件要求獲得通訊錄、拍攝照片和視頻、錄音、位置、讀取/修改/刪除SD卡中的內容、完全的網絡訪問等10多項權限。“只有手電筒照明功能,只使用攝像頭即可,要通訊錄這些無關的權限幹嘛呢?”張敏對此表示質疑。
記者從多個手機應用市場中搜索安裝了多款手電筒軟件後發現,張敏遇到的情況比較普遍。如一款下載量為1998萬的手電筒軟件,要求獲得的權限多達30項:有發送短信、創建賬戶並設置密碼等隱私相關權限,有訪問藍牙、設置壁紙、刪除所有應用緩存數據等設備相關權限。
類似要求獲取各項權限的應用十分常見。騰訊社會研究中心和DCCI互聯網數據中心今年1月發佈的《2017年度網絡隱私安全及網絡欺詐行為研究分析報告》顯示,2017年上半年和下半年,獲取用戶隱私權限的安卓應用分別為96.6%、98.5%,IOS應用為69.3%、81.9%。
騰訊手機管家安全專家楊啟波說,手機應用程序獲取對應權限,與手機應用程序本身的規劃相關。“如一個備份聯繫人的軟件,就需要讀取用戶聯繫人的權限;一個地圖導航軟件,就需要獲取地理位置信息;但一個手電筒APP,要獲取聯繫人和地理位置信息就顯得不合理。”
“雖然知道這樣做會洩露隱私,但為正常使用軟件,不得不‘被同意’ ‘被授權’。”一位用戶道出了普遍的心聲。
專家表示,在用戶對軟件的權限請求默許的情況下,用戶的通話記錄、短信、通訊錄、位置信息、設備信息等都可以被軟件後臺記錄,併發送到服務器上。
江蘇省消費者權益保護委員會調查發現,對於手機APP安裝後獲取的消費者個人信息以及非註冊用戶的個人信息,只有少量企業有相應保護措施。對於註冊用戶放棄使用相關手機APP的個人信息刪除與銷燬,大部分企業未有明確的措施和完善的保護制度。
龐大“黑灰”產業,鉅額經濟損失
“當前,手機軟件‘越權’獲取用戶隱私權限已成個人信息洩露的重要渠道之一。”國浩律師事務所律師劉國敏說。楊啟波認為,用戶信息洩露可能導致垃圾短信與騷擾電話層出不窮、手機資費被消耗,甚至可能被不法分子用來進行詐騙、定向攻擊。
吉林省臨江市人民法院2月28日公佈的一份刑事判決書顯示,某團伙在網上購買個人航班信息,向被害人發送詐騙短信,虛構“航班因故障取消請及時聯繫改簽或者退票”的事實,並冒充航空公司的工作人員接聽被害人的電話,通過ATM機誤導被害人操作,詐騙被害人錢款共計8.2萬元。
記者瞭解到,這起案件中部分“個人航班信息”就是通過手機APP洩露出去的。被害人張某用一款手機APP購買了從瀋陽到南京的機票後,接到了詐騙短信,撥打電話後才一步步中了騙子的圈套。
福建省龍巖市中級人民法院2017年底公佈的一份刑事裁定書顯示,被害人普某通過某款手機APP買了一件衣服,隨後接到兩個電話以退款為由,要求普某從手機點開一個網站,輸入姓名、手機號碼、身份證號碼和銀行卡號辦理退款,否則銀行卡會被凍結。本案共造成包含普某在內的被害人經濟損失12373元。
更有甚者,一些不法分子通過從市場上購買的用戶個人信息,開發、推送手機病毒,“精準”實施詐騙勒索等違法犯罪活動。
2017年2月,孟女士報警稱,其農業銀行卡內50餘萬元人民幣被盜。經警方調查,犯罪嫌疑人事先在網上購買大量身份證、銀行卡等信息,通過群發短信的方式將木馬病毒植入受害人銀行卡綁定的手機。該木馬病毒可以攔截手機短信、提取手機通訊錄、獲取網上銀行的手機驗證碼。騙子由此盜刷受害人銀行卡內資金。
以公民個人信息洩露為源頭的龐大“黑灰”產業鏈已經形成,給各方造成重大損失。中國互聯網協會發布的《中國網民權益保護調查報告2016》顯示,僅在2015年下半年至2016年上半年,我國網民因為垃圾信息、詐騙信息、個人信息洩露等遭受的經濟損失達915億元。
寶貴大數據,豈能淪為“大輸具”?
“數據就是資源,一個手機應用佔用數據後,就有支配資源的可能。在大數據時代,誰不想搶佔這些寶貴資源呢?”長期從事物聯網與信息安全相關研究的江蘇第二師範學院教師趙潔說。
多位受訪專家認為,要避免手機APP任性“越權”,首先必須要推動個人信息保護專門立法。
劉國敏說,目前我國涉及個人信息保護的條款散見於多部不同的法律中,這些規定對個人信息的內涵和外延都沒有形成統一的標準,應該儘快推動個人信息保護專項立法。
有受訪者指出,當前對侵犯公民個人信息行為的處罰力度偏弱。半月談記者在一份由重慶市萬州區人民法院公佈的刑事判決書中看到,被告人在獲取公民個人信息後,與他人交換11495條公民個人信息,被判罰金“人民幣五千元”。
劉國敏建議,可將獎勵額度和處罰額度與洩露、倒賣的信息總量掛鉤,對舉報者實行力度較大的獎勵,對犯罪分子進行更高程度的經濟處罰,以打擊不法分子侵犯個人信息行為的囂張氣焰。
專家指出,網絡平臺在獲取正常信息的過程中,需要給用戶發出清晰的授權提醒,對個人敏感信息的儲存需要進一步加密處理,保證系統的安全性,避免因為被惡意攻擊而洩露。
趙潔認為,手機用戶自身也應具有一定的隱私保護常識。如下載軟件選擇正規渠道;謹慎填寫個人隱私信息,防止信息被無謂採集;管理手機軟件中的隱私權限,瞭解軟件權限行為,關閉不必要的授權;防範公共WiFi,轉賬與支付時改用數據流量;通過“恢復出廠設置-格式化-反覆拷入大文件並刪除”三步驟,徹底清理舊手機信息等。
閱讀更多 勤奮的沂蒙新人 的文章
