許多人的手機上都會有或多或少的應用軟件,也就是俗稱的App,但是有多少人知道,在享用這些應用軟件便利的同時,你付出的代價有多大呢?答案可能令您震驚。
大部分熱門手機應用軟件過度收集信息
日前,上海市消費者權益保護委員會對瀏覽器、輸入法和綜合視頻這三大類手機APP涉及個人信息權限,進行了評測。結果發現,當前下載最熱門的18款應用軟件中,有14款申請的25項敏感權限找不到對應功能,包括手機用戶的撥打電話,收發短信,位置信息等敏感權限,佔比達到77.8%;除此之外,本次評測結果還顯示,一些手機應用軟件App的目標版本過低,從而導致手機用戶沒有選擇權,只要安裝這些手機應用軟件,就自動同意App申請的所有敏感權限。
上海市消費者權益保護委員會、副秘書長 唐健盛:從測試情況來看,可以說情況非常不理想,很多的頭部App實際上在權限的申請和調用方面,其實是違反了一些必要性、正當性等等原則的。
我國《網絡安全法》第四十一條規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
手機中涉及大量的用戶隱私信息,一款手機App獲得用戶授予的敏感數據“訪問和使用”權限時,一方面有能力獲取用戶的隱私;另一方面,這些權限又是App實現功能所需要的,因此,手機應用軟件App在申請和使用敏感權限時,應該遵循“合法、正當、必要”原則,合理申請、合理使用。
上海市消費者權益保護委員會 副秘書長 唐健盛:我們覺得權限就類似於鑰匙,你拿了消費者家的鑰匙當然您可以說,我是來你們家拖個地,可能要來燒個菜,但是你給消費者帶來方便的同時,你也應該充分考慮到消費者的安全性。你拿了鑰匙以後,你把這些活幹完了以後,是不是鑰匙你能把它給還回去。當然消費者也希望能夠知道整個過程中,你確實除了掃地、拖地、燒菜沒有幹別的事。
上海市消保委這次評測的重點在於:手機應用軟件App是否存在“權限的過度申請和濫用”,是否遵循了相關法規的“合法、正當、必要”原則,評測首先從消費者日常使用頻率很高的一些App開始。
上海市消費者權益保護委員會 副秘書長 唐健盛: 第一款(類)輸入法可能是跟安全性,我們覺得是非常緊密的;第二款(類)可能瀏覽器是現在消費者反響相對比較強烈的;視頻網站我們認為可能是消費者使用時長比較長的。
據介紹,上海市消保委此次針對熱門手機應用軟件App的評測,主要圍繞輸入法、瀏覽器和視頻App進行,總共包括18款,其中5款是輸入法,包括搜狗、百度、訊飛、QQ和觸寶;5款是綜合視頻,包括優酷、騰訊、愛奇藝,芒果TV和嗶哩嗶哩;8款是瀏覽器,包括UC、QQ、360、搜狗、獵豹、百度和華為手機自帶的兩款瀏覽器。評測工程師告訴告訴記者,這18款App的樣本,都是測試階段在這些應用軟件的官方網站上,下載當前的最新版本。
評測工程師 盛大江:我們這次測試權限的主要方向,涉及了兩個方面。第一個是權限的授權方式,決定了用戶是否知情並且有選擇權。第二個是這些權限是否有對應的功能。 我們發現在18款應用中,有14款應用有25個敏感權限,沒有找到對應的功能。這25個權限主要分佈在電話權限、短信權限定位權限,日曆、附件之類的權限上。
14款手機應用軟件申請敏感權限目的不明
14款手機應用軟件向用戶申請了25項敏感權限,但是沒有找到對應的功能。這25項敏感權限,包括15項短信權限、5項電話權限、2項定位權限、2項日曆權限和1項讀取附件權限,評測工程師認為,這些都和手機用戶的個人信息密切相關。
評測工程師 盛大江:(這款)瀏覽器那我們可以看一下,它總共申請了14項這種敏感權限,其中有4個,分別是撥打電話、外撥路徑,還有發送短信和讀取日曆這4個權限我們是沒有找到具體對應功能的。
這也就是說,這款瀏覽器向用戶申請了14項敏感權限,其中申請的撥打電話,監控外撥電話、重新設置外撥電話路徑,發送短信和讀取日曆活動和詳情,這4項涉及用戶個人隱私信息的敏感權限,該瀏覽器並沒有相應的功能。
本次測試的8款瀏覽器中,有5款App向用戶申請了電話和短信兩大類敏感權限,同樣找不到對應功能,其中4款瀏覽器申請的電話權限包括:撥打電話、監控外撥電話、重新設置外撥電話路徑;4款瀏覽器申請的短信權限包括:接收短信、發送短信和讀取短信。
工程師告訴記者,瀏覽器作為手機用戶上網的瀏覽軟件,如果App沒有相應的功能,而向用戶申請電話和短信的多項敏感權限,那麼,可能對用戶造成安全隱患。
評測工程師 陽雄:它可以處理外撥電話的路由,就是轉撥到其它的電話,這個會給這個應用一個什麼樣的權力呢?就是如果用戶在撥打電話給張三的時候,這個應用它是有能力去把他撥打的電話號碼改成是李四的,實際上這個電話就會撥打給李四了,但是用戶是不知情的,這個是這個權限賦予這個應用的一個能力;另外一個權限是發送短信的一個權限,這個權限就是,允許這個應用在後臺,可以給任意的號碼,發送任意的內容,這個隱患就會比較大。因為它可能會在用戶不知情的一些情況下,替你發送一些確認的短信,發送一些付費的短信等等。
除了瀏覽器以外,本次評測的5款輸入法,有3款申請的短信和位置等敏感權限,找不到對應的功能。
評測工程師 盛大江:(這款)輸入法同樣它申請了11款敏感權限,其中位置權限的兩個詳細的小權限,和短信權限的兩個,一個是讀取一個是接收權限,我們並沒有在應用中找到對應的功能。
此外,本次評測的5款綜合視頻,有4款申請的電話、短信和日曆權限,找不到對應的功能。
工程師在評測中發現,一些App對用戶的敏感權限過度申請和濫用,沒有遵循了相關法規的“合法、正當、必要”原則。
評測工程師 陽雄:比如說有的應用為了在應用使用過程當中,用戶如果有來電不影響應用,或者不影響用戶接收來電,他們可能就申請了呼叫電話,或者是監控外撥這樣一個權限,但實際上這是完全沒有必要的。因為要做到這一點,這個應用只需要申請讀取手機狀態這個權限就可以了。因為我們知道一個手機它的通話狀態其實只有三種,空閒狀態、響鈴狀態和接通的一個狀態。對於它來講它要獲取這三個狀態,它只需要讀取手機狀態這一個權限就夠了,不需要有外撥電話或者是監控外撥路徑這樣的一些權限。
少部分應用軟件擅自開啟敏感權限
在進一步的評測中還發現,有4款App的目標版本過低。工程師告訴記者,應用軟件的目標版本過低,首先可能在權限管理方面存在用戶可知而不可控的問題,其次可能存在可規避系統安全機制的漏洞,容易造成用戶個人信息洩露,引發終端安全和個人信息保護風險。
評測工程師 盛大江:目標版本過低會造成什麼現象呢?它會造成這些應用在安裝的時候,就會直接把敏感權限獲取到,可以不經由用戶的主動授權,我們可以看一下獵豹瀏覽器的安裝過程。因為獵豹瀏覽器的目標版本偏低,當安裝完成的時候,這些敏感權限已經直接是一種開啟狀態了。那等於應用在安裝的過程中,就獲取了這些權限。它涉及到位置權限,電話權限,短信權限,錄音權限和攝像頭權限,這些都是跟我們用戶密切相關的一些隱私權限。你只要接受安裝,那就等於接受這些權限,要麼你不安裝,要麼你接受所有授權。
在手機的應用軟件“權限管理”中,記者看到,獵豹瀏覽器所申請的權限中,包括設置電話外撥路徑權限和發送短信權限兩大類,對這兩大類的權限,獵豹瀏覽器有自己的官方解釋。
評測工程師 盛大江:它的官方解釋是說,允許該應用處理呼出以及更改撥打的號碼,此權限可以監視重新定向和阻止呼出,所以這個權限還是比較敏感的。
工程師分析認為,目前普遍存在申請權限與功能不匹配的情況,一個主要的原因是App在開發設計App的時候,程序員缺乏對功能和權限的對應考量。
評測工程師 陽雄:因為應用在開發初期,程序員為了省事,可能將未來可能用到的權限還沒有用到的也都申請了,就是為了方便。
另一方面原因,可能和App的升級迭代有關。
評測工程師 陽雄:有可能是應用曾經有功能用到了這個權限,但是在應用版本升級之後,這個功能沒有了,但是相應的權限忘了把它去掉。
此外,評測工程師還認為,除了這兩方面原因以外,也有一些App存在申請敏感權限過度的可能。
評測工程師一方面以最大的善意解讀了手機應用軟件過度搜集用戶信息的原因,另一方面也指出,就好像把家門鑰匙給了外人,外人可以隨意進出你的家門之時,看著你滿屋子的財產,這個外人究竟會不會動點別的心思呢?這個答案可就不好說了。
相關調查數據顯示,此次評測的8款瀏覽器,月活躍用戶超過5億人次,最熱門的月活躍用戶超過2億8000萬;此次評測的5款輸入法,月活躍用戶超過7億人次,最熱門的月活躍用戶近4億;此次評測的5款綜合視頻月活躍用戶超過14億人次,最熱門的月活躍用戶近5億。
上海市消費者權益保護委員會副秘書長 唐健盛:這些開發者,必須知道紅線在哪裡。我們可能在第一步可能所做的是你要這個權限你就必須要有功能相對應,而我覺得可能再往下面走,可能就涉及到這個功能你設置的是否必要,可能到了第三步我們可能就會在想著你拿了這個權限以後,你能不能用好了以後就還給消費者。畢竟來說我們覺得權限就類似於鑰匙,你考慮的是消費者的痛點,你考慮的是我們App的功能。但是我們覺得這些都是要給消費者帶來足夠的安全性,以此為前提。
綜合上海市消保委本次的評測結果,將近80%的熱門手機App不具備相應的功能,卻向用戶申請了敏感權限,這可能意味著過度收集用戶個人信息。
上海市消費者權益保護委員會副秘書長 唐健盛:我經常聽很多人在擔心自己是不是一個透明人。而我們的日常生活當中可能會受到很多的一些騷擾電話、騷擾短信,更加讓消費者覺得恐慌的是,可能在某個不經意見他發現自己很多信息,其實是被很多的企業是提前獲取的。
經過工程師100多次測試之後,上海市消保委利用這些手機應用軟件App和消費者溝通的各種渠道,包括郵件、官方微信留言等,通知這18款App的相關企業就評測結果,進行技術溝通。
上海市消費者權益保護委員會副秘書長 唐健盛:我們都用了消費者跟企業溝通的一些渠道,也就是說它在App或者它的官網上面明示的一些郵箱傳真等等。但是我們非常遺憾地看到,這些通知很多企業都沒有得到足夠的重視,或者說我們這次也瞭解到,有些企業它根本和消費者溝通的郵箱可能是幾個月甚至於大半年都沒有去看過的。在隨後的媒體會上,上海市消保委正式通報了對18款手機應用軟件App的評測結果,最終公佈了“獵豹瀏覽器,觸寶輸入法和芒果TV視頻”這三款App申請權限存在找不到對應功能等問題。據介紹, 直到這場媒體會之前,獵豹、觸寶和芒果TV這三家相關企業對於上海市消保委的多方聯繫,始終沒有回應,也沒有出席相關的技術溝通會。
上海市消費者權益保護委員會副秘書長 唐健盛:發佈會的兩天以前,我們就通過各種方法和三家企業能夠進一步,希望能夠跟他們聯繫上,比方說我們在觸寶的微信後臺進行了留言,並且我們也上傳了PDF版的合照我們的會議通知,那麼其它的你比方說獵豹瀏覽器和芒果TV我們也採用了類似的方法,我們希望多種渠道能夠使他們知道這個事,並且也非常希望他們能夠來開我們的發佈會,給到消費者一個明明白白的說法。那麼非常遺憾,我們通過消費者溝通的這種渠道沒有獲得企業應有的響應,我們也認為其實在這一塊企業也是需要進一步加強的。
媒體會後,上海市消保委收到了這三家相關企業的書面說明,一致表示,目前相關APP均已升級為新版本,新版本中已經去除了定位權限、短信權限和監控電話外撥權限等並沒有相應功能的敏感權限。
上海市消費者權益保護委員會副秘書長 唐健盛:消費者並非專業的,你必須在拿這些數據的時候,一定要幫消費者把它的安全性全都考慮清楚,而我們認為這個事恐怕不是哪一家企業憑著自己的善心就會去做的,這可能需要整個一個市場整個一些頭部的一些企業我們要通過一定的機制,在保障市場的競爭和效率的前提下,我們怎麼樣能夠把規則更加好的迭代。我想這可能是我們解決個人信息保護方面的一條非常有價值的探索。
專家告訴我們,許多消費者都安裝了手機應用軟件並且給與了軟件開發商想要的大部分授權,這主要有三個原因:一是方便,二是沒得選擇,不同意授權就無法安裝,三是不完全清楚這些授權背後的利害到底是什麼。如果沒有嚴厲的規則,商家對利益的追逐是永無止境的,就如專家所說,如果幻想依靠手機應用軟件開發商的善心而自發停止對消費者信息的過度搜集是不可能的。所以我們期盼,監管的紅線早日變成一條高壓線,讓過度搜集信息的開發商不敢出手,也不想出手,還消費者一個安全放心的消費環境。
閱讀更多 人民日報 的文章
