核心提示: 你的手機,是否會成為你個人隱私的“洩漏器”?從不離身的手機,為何會莫名其妙地被扣費或訂閱一些扣費功能?在視頻APP上看了幾集電視劇,為何打開瀏覽器會收到大量與該劇相關的推送?……
你的手機,是否會成為你個人隱私的“洩漏器”?從不離身的手機,為何會莫名其妙地被扣費或訂閱一些扣費功能?在視頻APP上看了幾集電視劇,為何打開瀏覽器會收到大量與該劇相關的推送?……今天,上海市消保委通報了針對輸入法、瀏覽器、綜合視頻等三大類、18款應用的評測,發現個人信息洩露、合法權益被侵犯等問題突出,而手機應用權限過度申請更是引發了各種爭議。
25項敏感權限並無對應功能
今年8-10月,上海市消保委聯合《中國消費者報》上海記者站,委託北京捷興信源信息技術有限公司對消費者反映集中及使用頻度較高的“輸入法、瀏覽器、綜合視頻”等18款應用進行了規範。
這18款應用包括:輸入法(搜狗輸入法、百度輸入法、訊飛輸入法、QQ輸入法、觸寶輸入法);瀏覽器(UC瀏覽器、QQ瀏覽器、360瀏覽器、搜狗瀏覽器、獵豹瀏覽器、百度瀏覽器、華為瀏覽器(2個版本));綜合視頻(優酷視頻、騰訊視頻、愛奇藝視頻、芒果TV、嗶哩嗶哩)。評測內容涉及“應用敏感權限的授權請求方式”及“申請的敏感權限是否存在與之對應的服務功能”兩方面。
評測發現,部分應用所申請的敏感權限,並不存在實際對應的功能。其中,167項與用戶個人信息密切相關的“敏感權限”中,25項並沒有實際功能對照的權限申請。比如,電話權限(5個)、短信權限(15個)、定位權限(2個)、日曆權限(2個)、讀取附件(1個),這些權限都與用戶個人信息密切相關。
此外,有4款應用的Android 目標 API版本設定過低,在權限管理方面存在用戶可知而不可控問題,也存在可規避系統安全機制的漏洞,易造成用戶個人信息洩漏,引發大量終端安全和個人信息保護風險。
3款應用的新版本仍未規範
為此,市消保委經過三個多月、300多次多維度測試,與企業進行五十幾次溝通,就企業提供的數十份報告進行了審評。10月,上海消保委與手機APP企業進行技術溝通,相關企業也在排查後對存在的問題作出解釋和優化意見。在一個月內,各相關應用廠商剔除無用權限達23個,3款APP提升了API目標版本,目前全新修正版本已向社會發布。
11月,市消保委對這18款應用最新版本進行驗證,15款應用在敏感權限的申請、使用方面做到了合理申請、自主授權,充分保證了用戶的知情權、選擇權。
然而,仍有獵豹瀏覽器、觸寶輸入法和芒果TV三款應用的新版本中,存在部分用途不明的敏感權限申請行為,獵豹甚至還可以監聽外撥電話。市消保委希望敦促這些企業儘快改進和規範。
市消保委:消費者須有選擇權
為何對於權限管理的規範如此重要?發佈會現場,專家解釋稱,若APP獲取了短信權限,理論上講就可通過用戶手機來發送、讀取短信,訂閱扣費業務等。“我們也曾接到消費者反映稱,莫名其妙訂購了某種收費服務,但自己沒發過這些短信,查詢運營商卻會有發送短信的記錄,在用戶手機裡卻沒有記錄。這可能就是手機中某個應用接收到後臺指令後發送的,很不安全。”上海市消保委副秘書長唐健盛說。
在現場,部分應用也對為何需要這些權限進行了解釋。比如,部分應用需要讀取手機識別碼,以獲得手機狀態和身份,對此百度瀏覽器解釋稱可以為用戶推薦個性化資訊;而QQ瀏覽器則稱,他們需要判別用戶是否為聯通用戶、是否符合免流量的政策,“目前已下線該電話權限,改由聯通來提供身份判斷”。
再如,為何應用需要定位權限?百度輸入法解釋稱,如果一位用戶要從北京到上海的話,知道定位可以即時推送地理詞庫。而照相機的權限,則被商家解釋為可以製作AR表情包,或提供掃描識別的功能。
不過消費者質疑稱,這些“精準推送信息”,在日常生活中是否真的需要?用戶是否可以有選擇權,在需要的時候再打開這些權限,而不是在安裝時就默認打開?
唐健盛表示,手機APP在開發時,必須讓消費者擁有選擇權。而敏感權限一旦獲取之後,一定要有功能相匹配且妥善使用。我國對個人信息的保護和立法尚不完善,很多保護僅用“必要、正當、合理”這些模糊性詞語來解釋,因此各家APP開發全憑覺悟在做。“我們希望能儘快對個人信息進行規範,並將其制度化。此外,希望各應用廠商能出臺團體標準,將權限問題自我約束和規範,讓消費者放心。”他說。
閱讀更多 五月F雪 的文章
