APP“偷看”短信還上傳 “老板給我漲工資了”明文可見(jiàn)

不給說(shuō)“不”的權(quán)利，App強(qiáng)制索權(quán)遭詬病

在測(cè)評(píng)中，南都記者還發(fā)現(xiàn)，部分移動(dòng)金融App通過(guò)捆綁甚至強(qiáng)制獲取的方式，要求用戶一次性同意多項(xiàng)敏感權(quán)限。

以“融360”和“錢(qián)站”為例，當(dāng)使用華為手機(jī)(安卓版本8.0)在華為應(yīng)用商店下載安裝這兩款A(yù)pp時(shí)，頁(yè)面彈窗需要獲取用戶的以下權(quán)限：存儲(chǔ)、電話、位置信息、相機(jī)、麥克風(fēng)、通訊錄、信息、通話記錄、其他等九大類(lèi)敏感權(quán)限，并要求用戶一攬子選擇“允許”或“取消”。

通過(guò)華為應(yīng)用商店安裝融360和錢(qián)站時(shí)出現(xiàn)的提示。

另一款名為“金信寶”的App捆綁索取的權(quán)限也較多，當(dāng)初次打開(kāi)應(yīng)用時(shí)，要求獲得“存儲(chǔ)”權(quán)限并提示有版本更新，更新安裝后申請(qǐng)獲取用戶GPS信息、讀取通訊錄、拍攝照片和視頻等12項(xiàng)權(quán)限。

金信寶要求安裝新版本。

一旦點(diǎn)擊“取消”，用戶即無(wú)法正常安裝這款A(yù)pp。南都記者在測(cè)評(píng)中發(fā)現(xiàn)，類(lèi)似的問(wèn)題至少出現(xiàn)在16款A(yù)pp內(nèi)，其中近一半為移動(dòng)金融類(lèi)App。

另有部分App存在不同意授權(quán)個(gè)別權(quán)限，無(wú)法正常使用的情況。比如“LOHAS樂(lè)活”，如果用戶不同意授權(quán)攝像頭、錄音權(quán)限便會(huì)出現(xiàn)頻繁彈出，無(wú)法使用的情況，“新浪有借”在用戶初次打開(kāi)App時(shí)要求獲得存儲(chǔ)、電話權(quán)限，拒絕后也出現(xiàn)無(wú)法打開(kāi)的問(wèn)題。

“不同意就退出”，不授予權(quán)限連打開(kāi)App的可能都沒(méi)有，這實(shí)際上是一種變相的強(qiáng)迫同意。

上海市信息安全行業(yè)息會(huì)副主任張威告訴南都記者，Android 5.0應(yīng)用系統(tǒng)基本采用一攬子授權(quán)的方式，但隨著Android版本的升高，開(kāi)始對(duì)權(quán)限的管理進(jìn)行區(qū)分，獲取用戶敏感權(quán)限需經(jīng)過(guò)同意，但現(xiàn)階段仍有部分App存在這種打擦邊球的行為，模糊授權(quán)的界限。

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循必要的原則，不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息。南都記者關(guān)注到，今年2月，《個(gè)人信息安全規(guī)范》修訂草案中特別新增了“不得強(qiáng)迫收集個(gè)人信息的要求”。

App行為測(cè)試：用戶短信“老板該給我漲工資了”明文可見(jiàn)

在現(xiàn)實(shí)情況中，一款A(yù)pp在應(yīng)用商店或首次開(kāi)啟后顯示申請(qǐng)的權(quán)限并不意味著實(shí)際只調(diào)取這些權(quán)限。對(duì)用戶而言，也很難知曉相關(guān)代碼是否被執(zhí)行，或者有無(wú)足夠必要性。

為此，除了考察被測(cè)App隱私政策透明度，用戶端實(shí)際操作行為合規(guī)外，在此次測(cè)評(píng)中，南都個(gè)人信息保護(hù)研究中心分別通過(guò)兩個(gè)途徑，利用技術(shù)手段對(duì)部分App的iOS客戶端和Android客戶端個(gè)人信息收集情況進(jìn)行分析。這兩種渠道分別是利用“直節(jié)隱私合規(guī)助手”進(jìn)行測(cè)評(píng)分析，以及聯(lián)合第三方測(cè)評(píng)機(jī)構(gòu)中國(guó)金融認(rèn)證中心(CFCA)技術(shù)檢測(cè)手段進(jìn)行分析。

根據(jù)中國(guó)金融認(rèn)證中心(CFCA)的測(cè)試結(jié)果，Android版本號(hào)為3.4.6的“融360”存在如下問(wèn)題：如果用第三方賬號(hào)登錄，App會(huì)將用戶第三方平臺(tái)上的社保與公積金查詢賬號(hào)密碼發(fā)送至己方的業(yè)務(wù)服務(wù)器，由后臺(tái)代為查詢，并且使用的是明文傳輸。

中國(guó)金融認(rèn)證中心認(rèn)為，如果明文傳輸，黑客很容易就能通過(guò)網(wǎng)絡(luò)嗅探和劫持的方法獲得這些信息，存在安全風(fēng)險(xiǎn)。

測(cè)試結(jié)果顯示融360在后臺(tái)明文傳輸社保賬號(hào)。

另一款名為“榕樹(shù)貸款”的Android 3.3.3版本App，除了存在上述行為，還被檢測(cè)捕捉到應(yīng)用調(diào)用系統(tǒng)接口獲取通話記錄、聯(lián)系人信息、短信記錄等行為，并在數(shù)據(jù)流量中發(fā)現(xiàn)上送信息。在對(duì)“榕樹(shù)貸款”的短信記錄權(quán)限進(jìn)行檢測(cè)時(shí)，類(lèi)似“老板該給我漲工資了”的短信內(nèi)容明文可見(jiàn)。

測(cè)試結(jié)果顯示榕樹(shù)貸款獲取了用戶短信。

值得一提的是，檢測(cè)顯示，鐵友火車(chē)票在運(yùn)行過(guò)程中會(huì)不斷獲取系統(tǒng)的剪切板內(nèi)容。

測(cè)試結(jié)果顯示鐵友火車(chē)票不斷獲取手機(jī)剪切板內(nèi)容。

此外，這款A(yù)pp還存在向第三方服務(wù)器明文傳輸用戶個(gè)人信息的行為。比如傳輸能夠標(biāo)記到個(gè)人的用戶與設(shè)備之間的綁定信息，在運(yùn)行中不斷獲取的地理位置信息不僅上傳到自身服務(wù)器，還向數(shù)個(gè)第三方服務(wù)器發(fā)送，過(guò)程中包含其他隱私信息。

鐵友火車(chē)票存在向第三方服務(wù)器明文傳輸用戶的個(gè)人信息行為。

直節(jié)隱私合規(guī)助手的測(cè)試結(jié)果顯示，鐵友火車(chē)票App向系統(tǒng)申請(qǐng)了17個(gè)敏感權(quán)限，但安裝包里存在敏感權(quán)限相關(guān)的API調(diào)用(有使用可能)則有19個(gè)，其中，讀取短信、接收短信等敏感權(quán)限是App中未申請(qǐng)但調(diào)用API的相關(guān)權(quán)限。這意味著，這款A(yù)pp自身或者集成的第三方工具包代碼中存在冗余代碼。冗余代碼具備在App版本更新時(shí)，在用戶不知情的情況下調(diào)用敏感權(quán)限的可能。

鐵友火車(chē)票獲取多項(xiàng)敏感權(quán)限。

此外，直節(jié)隱私合規(guī)助手測(cè)評(píng)結(jié)果顯示，一些App會(huì)使用大量的SDK(軟件開(kāi)發(fā)工具包，可以理解為一種植入App的第三方工具包)，這些SDK也會(huì)獲取使用權(quán)限，例如鐵友火車(chē)票App嵌入了56款SDK，融360也嵌入了49款SDK。不少SDK需要獲取用戶的網(wǎng)絡(luò)連接、精確地理位置、手機(jī)狀態(tài)與身份等用戶信息。

鐵友火車(chē)票A嵌入56款SDK。

融360嵌入49款SDK。

專家指出，獲取權(quán)限首先應(yīng)該符合必要性原則，即與一定的場(chǎng)景與功能相關(guān)，沒(méi)有該項(xiàng)權(quán)限這一功能無(wú)法實(shí)現(xiàn);其次應(yīng)該獲取用戶的知情同意。但第三方SDK獲取的權(quán)限往往不會(huì)在一款A(yù)pp的隱私政策中提及，更不用說(shuō)告知用戶具體使用的場(chǎng)景和功能，因此很難說(shuō)已經(jīng)獲取了用戶的同意。

如何破解一攬子授權(quán)？專家意見(jiàn)不一

不難理解，在經(jīng)濟(jì)利益的驅(qū)使下，網(wǎng)絡(luò)運(yùn)營(yíng)者有著天然的沖動(dòng)最大限度地收集個(gè)人信息。

“對(duì)廠商來(lái)講，能拿到的用戶信息越多越好，這有利于分析用戶的使用習(xí)慣。而知道了用戶習(xí)慣就能更好地推送產(chǎn)品。”中國(guó)網(wǎng)絡(luò)空間安全人才教育聯(lián)盟秘書(shū)長(zhǎng)，廣州大學(xué)魯輝副研究員告訴南都記者，“但是絕對(duì)不能以犧牲用戶的隱私為前提。”

“從根本上說(shuō)，這些為了占有更多數(shù)據(jù)的不合理的權(quán)限申請(qǐng)是對(duì)消費(fèi)者基本權(quán)益的嚴(yán)重侵害，也是壟斷和不正當(dāng)競(jìng)爭(zhēng)無(wú)限孵化的溫床。”南京信息工程大學(xué)法政學(xué)院教授蔣潔直言。

如何打破一攬子授權(quán)，解決App過(guò)度收集個(gè)人信息的問(wèn)題?有觀點(diǎn)認(rèn)為，應(yīng)對(duì)App調(diào)用的權(quán)限進(jìn)行動(dòng)態(tài)的單獨(dú)授權(quán)，以達(dá)到用戶信息最小化授權(quán)的效果。

南都記者注意到，這也是此次《個(gè)人信息安全規(guī)范》修訂草案提出的新方案，即當(dāng)產(chǎn)品或服務(wù)提供多項(xiàng)需收集個(gè)人信息的業(yè)務(wù)功能時(shí)，平臺(tái)不得違背用戶的自主意愿，強(qiáng)迫用戶接受信息收集請(qǐng)求，不得通過(guò)捆綁各項(xiàng)業(yè)務(wù)功能的方式，要求個(gè)人信息主體一次性接受并授權(quán)同意各項(xiàng)業(yè)務(wù)功能收集個(gè)人信息的請(qǐng)求。

如何理解?魯輝對(duì)南都記者解釋，以某些需要身份識(shí)別的App為例，用戶在App上辦理業(yè)務(wù)時(shí)，需要用戶的人臉信息或者語(yǔ)音信息，這時(shí)就需要獲得手機(jī)的拍照和錄音權(quán)限。這個(gè)聽(tīng)起來(lái)是合理的，使用的時(shí)候可能也是必須的。“但是問(wèn)題在于，用戶是否有必要一直給予這種權(quán)限，還是說(shuō)只需要在用到拍照或錄音功能的那幾分鐘臨時(shí)授權(quán)就行。”

在魯輝看來(lái)，從保護(hù)用戶隱私角度，應(yīng)該是臨時(shí)授權(quán)，并且這在技術(shù)上實(shí)現(xiàn)起來(lái)并不難，但是很多App并未做到。

魯輝還表示，用戶在安裝App時(shí)需要有保護(hù)隱私的意識(shí)，不要隨意輸入自己的姓名、證件號(hào)、住址等信息，而諸如定位、通訊錄、通話記錄、攝像頭和錄音等敏感權(quán)限，在授予平臺(tái)時(shí)，需要格外謹(jǐn)慎。“當(dāng)用戶的安全意識(shí)提高了，App開(kāi)發(fā)者自然不敢隨便索權(quán)了。”魯輝說(shuō)。

“如果一概要求重新授權(quán)，可能會(huì)降低用戶體驗(yàn)。但一攬子的授權(quán)方式又會(huì)給個(gè)人信息安全帶來(lái)較大風(fēng)險(xiǎn)。”蔣潔對(duì)南都記者表示，目前獲得較多贊同的說(shuō)法是區(qū)分功能性質(zhì)，對(duì)于App的基本功能或主體功能及其更新，可以進(jìn)行一攬子授權(quán)，而對(duì)于拓展功能或輔助功能，則需要再次授權(quán)。

值得一提的是，App的信息安全已經(jīng)引起官方重視。今年1月底，中央網(wǎng)信辦聯(lián)合工信部、公安部、市場(chǎng)監(jiān)管總局等四部門(mén)表態(tài)，今年將在全國(guó)范圍內(nèi)發(fā)起專項(xiàng)治理活動(dòng)。嚴(yán)重違法違規(guī)收集個(gè)人信息的App運(yùn)營(yíng)者，將被依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。

在蔣潔看來(lái)，除了大幅提升違法違規(guī)企業(yè)的懲罰力度，還需制定App過(guò)度索權(quán)的評(píng)估標(biāo)準(zhǔn)和有力的監(jiān)管體系，并健全救濟(jì)機(jī)制。

魯輝則表示，用戶在安裝App時(shí)需要有保護(hù)隱私的意識(shí)，不要隨意輸入自己的姓名、證件號(hào)信息，諸如定位、通訊錄、通話記錄、攝像頭和錄音等敏感權(quán)限在授予平臺(tái)時(shí)，需格外謹(jǐn)慎。

“當(dāng)用戶的安全意識(shí)提高了，App開(kāi)發(fā)者自然不敢隨便索權(quán)了。”魯輝說(shuō)。

(文中小媛為化名)

統(tǒng)籌：南都記者 娜迪婭

采寫(xiě)：南都記者 李玲 蔣琳 馮群星 尤一煒 錢(qián)柳君

作者：娜迪婭

上一頁(yè) 1 2 下一頁(yè)