隨著移動互聯網的快速發展,“手機”已經成為我們生活中必不可少的一部分,但手機應用軟件涉及個人信息洩露,合法權益被侵犯”等問題突出,尤其因“手機應用權限過度申請”引發各種爭議。
近日,上海市消保委舉行,網購平臺、旅遊出行、生活服務等手機APP涉及個人信息權限評測結果通報會,據通報,截止到3月23日,仍有聚美、神州租車、百度糯米、格瓦拉生活等9款APP未能就其權限和功能無法對應的問題進行改進。
神州租車、百度糯米等9款APP涉嫌過度獲取權限
網購類、社交類、旅遊類、生活類手機APP,涉及用戶日常生活的各個方面,需獲取用戶較多個人信息完成相應功能。此次通報則是上海市消保委於今年1月對上述類型APP共39款開展的涉及個人信息權限評測。
評測主要從四個維度進行:
一是APP所使用的目標API級別。當目標API級別低於23時,安卓對於權限會採用一攬子授權的模式,存在可規避系統安全機制的漏洞。
二是APP敏感權限的數量。重點關注安卓系統中與個人信息密切相關的有29權限的申請和使用。
三是注敏感權限的授權方式。是否存在一攬子授權的模式,如何向用戶提出授權請求。
四是查看是否存在無實際功能對應用的權限申請。
本次評測發現,手機淘寶、京東、唯品會、拼多多、網易考拉等有14款應用敏感權限與實際功能均能對應。為推動相關問題的解決,上海消保委與手機APP企業進行技術溝通,相關企業也在排查後對存在的問題作出解釋和優化意見。
截止到3月23日,30款應用全部實現在敏感權限的申請、使用方面做到了合理申請、自主授權。不過,截止到3月23日,仍有9款應用未能就其權限和功能無法對應的問題進行改進。涉及APP 包括:
聚美(v7.951)、貝貝(v8.2.01)、
窮遊(v9.2.0)、TripAdvisor貓途鷹(v29.4.1)、
神州租車(v6.4.4)、一嗨租車(v6.2.1)、
餓了麼(v8.13.1)、百度糯米(v8.4.7)、
格瓦拉生活(v9.5.0)
問題涉及發送短信、錄音、撥打電話、讀取聯繫人、“監控外撥電話,重新設置外撥電話的路徑”、接收訊息(短信)、讀取通話記錄等敏感權限未找到對應功能及目標API級別低等。比如:
神州租車(v6.4.4)版本APP,存在撥打電話,監控外撥電話、重新設置外撥電話的路徑以及攝取錄音等過度獲取權限的行為。
百度糯米(v8.4.7)版本則安裝即可獲取包括髮送讀取短信、撥打電話等功能,但評測技術人員並未發現其所要獲取權限所對應的功能。
而格瓦拉生活(v9.5.0)版本則存在過度獲取了用戶發送短信、聯繫人、以及錄音等權限的行為。
涉及個人信息、商業機密
“日曆權限”不容忽視
此外,本次評測還發現,不少網購類APP獲取了日曆權限。而調查也表明,超過半數的消費者在使用日曆功能記錄工作和個人日常安排等信息。這些信息涉及個人信息、商業機密等,而消費者對日曆權限的重視度非常低。
上海市消保委通過上海市消保委、上海新消費微信公眾號、騰訊大申網開展了網絡調查顯示,69.9%的消費者關注手機APP獲取個人權限問題。其中,通訊錄權限最為關注,佔43.5%;26%的消費者關注電話、短信權限。值得關注的是,僅有0.4%的消費者關注日曆權限。
用手機日曆功能記錄行程使用頻度高。手機日曆具有時間提醒、行程記錄等功能。其中,52.5%的消費者用手機日曆功能記錄個人行程。其中,24.7%的消費者選擇記錄日常生活行程;18.5%的消費者記錄日常生活及工作等行程。
APP為何要申請日曆權限?有些平臺表示,如果平臺上有搶購,消費者點擊“關注”,就會將信息放在日曆中,搶購前可以提醒。但技術專家表示,這個功能完全可以通過後臺的信息推送等其它途徑來實現。
上海市消保委認為,日曆權限與個人隱私的密切度比通訊錄等權限還要高,將日曆權限授權給APP,帶來的風險遠大於便利。
上海市消保委副秘書長唐健盛建議:
如果消費者經常使用日曆記錄敏感事項,對APP的日曆權限應謹慎授權。
APP開發者如無十分必要,儘可能不使用手機日曆權限。
閱讀更多 網信山西 的文章
