【科技315之数据安全篇】 实测44款常见安卓端App 谁动了你的隐私

【科技315之数据安全篇】 实测44款常见安卓端App 谁动了你的隐私

  财经网对安卓端手机的App进行了地毯式的权限检查,发现参与测试的应用均存在不同程度的“过度获取信息”的行为。测试结果表明,要求访问用户地理位置的应用超过84%,要求授权通讯录为71%。过度要求授权超过四项以上的应用超过15%。而在此其中,51talk、猿辅导等代表的教育软件越权频繁,成为重灾区。

  如果问当下人们最离不开的科技产品有什么,智能手机无疑是必选之一。一台智能手机承揽人们了社交、工作、娱乐、金融等方方面面不可或缺的需求,而伴随手机功能迅速增长的另一面,还有用户数据乃至个人隐私泄露的风险。

  “检索近期运行的其他App状态,读取你的短信并可监控、删除短信”这些权限你能接受吗?现实情况是,无需你的接受,它们已经以各种形式潜伏在你的手机中。

  近日,财经网对安卓端手机的App进行了地毯式的权限检查,发现参与测试的应用均存在不同程度的“过度获取信息”的行为。测试结果表明,要求访问用户地理位置的应用超过84%,要求授权通讯录为71%,完全不需要访问上述权限的仅有2款产品。过度要求授权超过四项以上的应用超过15%。

  财经网测试人员随机抽取了员工在用的三款不同品牌的安卓手机,并在其内置应用商店分别下载了44款App应用,并针对主要核心隐私权限,逐一查看了各应用的访问需求并制成表格。

  (注:,我们参照App的核心业务,将非核心功能所需权限或疑似过度访问的部分用黄色进行标记。把符合核心功能、必要条件权限,使用绿色以标记。黑色字体为合理获权。空白为未索取权限。制图:王晓婧)

  图标中,电商平台请求访问录音,音乐平台要求授权地理位置和摄像头,搜索平台要求查看短信、允许拍照录音甚至读取通讯录,软件索要权限范围过广不在少数。

  以腾讯视频等软件为例,应用要求授权拍照功能,访问地理位置、录音等等权限。而在功能应用的体验中,它们均没有明显对应地理位置权限的功能,另外视频类软件要求访问通讯录功能,也成为值得关注的一点。相比之下YouTube仅有一项属于非核心功能。

  此次测试中,教育类、招聘类App因为频繁越权成为重灾区。以51talk青少儿英语为例,7项索权排名第一,而其中5项:获取位置、读取通讯录、修改短信等功能被标黄。另外猿辅导等应用遍历应用状态、开机自启动等功能,也超出教育软件必要功能需求。在招聘软件中,猎聘、BOSS等行业领头软件,均超过3个以上。

  根据实测结果,要求访问地理位置的应用超过84%,要求授权通讯录为71%,希望获取录音、拍照权限的App分别达到89%和91%,完全不需要访问上述权限的仅有2款应用,分别为Kindle阅读和FT中文网。过分要求授权同时超过四项的应用达到15%。

  根据腾讯社会研究中心联合DCCI互联网数据中心此前发布的《2018年度网络隐私及网络欺诈行为研究分析报告》显示,2018上半年,安卓端获取隐私权限的手机App占比达到99.9%,也就是说几乎所有的安卓端手机App都存在不同程度地获取用户隐私权限的情况。

  据业内人士介绍,通常App所收集来的信息都用于完善用户画像及数据分析。由于一些权限的授予是用于为非核心、必要功能,所以让人们对这些需要的权限产生困惑。但正因为这种情况的存在,会导致一些开发者滥用权限的授权。比如在产品设计时,把未来也可能用到的权限全部加上,但目前的版本可能根本用不上。

  被收集的信息是否安全?安卓App开发工程师李立向财经网表示,一般来说收集的用户信息除了画像和分析,不会用于其他用途。但在用户授权后,如果开发者需要访问被授权敏感内容,如通讯录、录音、相册,从技术角度来说这是可以实现的。

  在参与测试的手机品牌中,有一个“检索正在运行的应用”权限的频繁出现,引起我们的注意。根据手机内的注解:“该权限允许应用检索近期运行的和当前正在运行的任务和相关信息。此权限可让该应用了解设备商使用了哪些应用”。

  值得注意的是,在测试的44款App里仅有5款没有索要上述权限,小红书、奢侈品电商Farfetch、FT中文网、谷歌地图以及YouTube。而其余39款应用内均存在“检索正在运行的应用”权限,且没有提供关闭的选项。同时,部分App有“对正在进行的应用排序”、“关闭其他应用”的权限。前者不经用户授权,会自行将任务移动到前台和后台,后者则可以结束其他应用的后台进度,导致停止运行。

  为何“检索正在运行的应用”这个权限会隐藏在应用里呢?某科技企业的产品总监王海指出,该权限是手机底层权限,一般无法关掉。开发者可以利用这个权限做用户应用清单的画像,就是根据用户手机中装了哪些应用,判断这个用户是个什么类型的人。简而言之, 该权限有助于满足开发者的一些商业需求。

  而饿了么对此回应称,我们开启该权限是为了保护用户使用安全,并提供更优质的用户使用体验。相关权限的开启,是为了防止用户在App使用过程中遭受黑客攻击、被植入病毒或者外挂软件,导致用户饿了么账号或者金钱被盗取的作用。这是安卓系统所有主流APP都会带有的权限。我们既不会检索用户其他App的信息,也必须确保饿了么用户的账户等信息不被其他App看到。

  一位不愿意透露姓名的360安全工程师的回答似乎在印证这个说法称,这个权限主要是安全上的考虑,用于反作弊库检测用户环境,以及程序崩溃时上报当前运行环境需要使用。

  到底商用还是安全考虑至此产生分歧,而认为该功能是核心必要的解释也成为不少开发者说辞。

  百词斩回应称,该权限是为了判断用户是否正在使用百词斩,用户设置了背单词提醒, 当需要提醒背单词的时候, 如果百词斩在前台则不再提醒, 反之提醒。

  虾米音乐表示,依赖该权限仅用于检测自己的推送任务是否活动,以确保推送任务正常执行。

  部分视频App方面表示,后台植入了第三方的SDK,该权限为第三方所需要使用的权限,用于统计各类数据,与自己无关。

  喜马拉雅FM认为,“检索正在运行的应用”这个权限是安卓OS系统给所有App的默认权限,不需要App额外申请,开发者无法关闭。喜马拉雅FM称自己并未使用这个功能对用户进行检测。

  猎聘技术负责人回应称,这个可以权限用于判断当前App是否处于前台进程,获取当前用户后台正在运行的App数量,和App的唯一标识。但猎聘并未获取以上信息。据了解,通过查询该标识,是可以获悉其对应的应用名称。猎聘方面补充表示,目前,谷歌已在高版本的安卓系统中对这个权限做了限制,Android5.0之前可以获取自身App及第三方的进程信息,但在5.0版本之后的系统中,只能获取到自身进程信息。

  厂商间的回答出入如此之大令人始料不及,而在此之外,以腾讯、高德地图、爱奇艺等为代表的大多数厂商,更多的选择了“不存在”或者干脆选择“沉默”作为回应。陌陌公关回应称:“我们这边用的都是苹果,找个安卓手机看一下。”截至发稿前,陌陌并未对此做出进一步回应。

  一位网络安全资深专家指出,所有需要使用的权限都要开发在代码里申请,写入编码。开发者在配置添加申请这个权限后才能使用。安卓只分敏感权限和非敏感权限,而这个权限是非敏感权限,所以后续不会弹窗让用户确认。

  专家表示,应用使用这个权限是否合理很难定义。比如每一个App都有风控的需求,从风控角度看这个权限可以从一个角度去判断对方的手机是否合理正常。但是从另一个角度看他也可以帮助应用企业分析画像用户。此外,他还表示,虽然Android 5.0 之后已经被废弃这个接口,但应用依旧可以通过其他辅助功能,在需要用户点击授权的情况获取信息。

  北京志霖律师事务所副主任、中国政法大学知识产权研究中心研究员赵占领认为,对于大多数App而言,这种权限并非产品本身所必须的,除非是安全软件。这种功能在未经用户同意的情况下收集用户使用其他App的行为信息,涉嫌侵犯用户的隐私权。

  为获悉同一应用是否会在不同手机系统中出现授权变化,财经网分别在华为、vivo两个品牌手机上安装了数款App。经验证,同一应用在不同品牌手机应用市场下载时,授权内容和步骤也不相同。根据实测,在华为应用商店中下载应用时,有App会强制要求在下载时授权访问各类权限,用户只能选择“允许”或“取消”下载。

  有部分App在华为应用市场下载前,会提示应用的所需权限,在其提供的授权内容内,均有非核心功能的权限,如想下载则必须允许。下载后在不点击该应用的情况下,直接进入设置中的应用权限,财经网发现对于App要求的位置、日历、电话、通讯录、相机、麦克风等隐私权限全部处于开启状态;而在vivo应用市场下载后,权限处于关闭状态,用户使用时逐一进行开启即可。

  除授权方式不同外,在不同手机设置权限中,针对应用权限的开关选择也是不同的,在测试的App中,关于要求访问和修改日历权限,这个授权在华为手机中可以关闭,而在vivo手机中则无法关闭。

  值得注意的是,华为管理权限中将“启动录音”和“麦克风”区分开来,允许用户手动操作关闭单个权限。而在vivo手机的权限管理中,将两者权限整合在一起,统称为“录音”。这无疑给某些App搭建了一条窃取用户隐私的快速通道。

  同款App不同权限背后,是安卓系统定制下的应用市场的不统一。一位业内人士向财经网表示,由于没有官方唯一的标准,就会造成这种混乱现状的出现。

  北京志霖律师事务所副主任、中国政法大学知识产权研究中心研究员赵占领指出,不同应用商店基于自身的经营策略考虑,在法律规定的基础上制定不同的审核标准,这属于企业经营自主权的范围,但应用商店的经营者必须尽到法律规定的义务。

  事实上,安卓应用商店应用的授权过度问题,与安卓应用商店的审核宽松有着密切的关系,也是造成用户隐私泄露的重要原因。

  据了解,与审核严苛的iOS应用市场不同,目前国产手机的操作系统都是基于谷歌的安卓系统而定制的,各家厂商定制存有差异,App的上线审核也由各家手机厂商来自行完成,不同商店对审核的规则各有不同。

  App开发工程师李立说:“参照审核速度、所需材料来分析的话,审核最为严格的是iOS系统,其余国产手机审核相差不多。”

  针对当前国内应用市场的环境,王海表示,国内几家手机品牌自家的应用市场,为了提高审核速度,不会对每一款App所需要的权限细致的检查,权限范围并非他们审核的重点。

  据此前IT时报报道,有业内知情人士称,除了对涉及金融理财、支付类App有明确资质审核外,其余权限都非重点审核,同时由于类似地理位置、通讯录、通话记录等涉及用户隐私的权限申请,开发者不需要提供相关资质,因此在审核过程中很难做到有据可查。

  根据《中华人民共和国网络安全法》第四章第四十二条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

  事实上,当某一应用想要获取更多信息时如果用户不同意,那么该应用是无法拿到的。这也就是说,你被读取的隐私,皆是你在有意识或无意识的情况下授权过的。“获取用户更多信息不是越权,而是不择手段获取用户信息,而这一现象在业界相对普遍”王海说。

  据了解,去年,美国社交软件Facebook就遭遇了史上最大规模的用户数据泄露。Facebook被指从未重视用户信息泄露的隐患。据报道,Facebook还曾用性格测试获取广大用户的个人信息,并利用算法获取投放广告的用户信息,其中包括Facebook用户的身份、朋友关系网和“赞”过的内容,向这些用户进行“精准营销”。

  在Facebook接连被曝遭遇用户数据泄露后,有媒体分析认为,由于一些公司自身盈利模式的限制,类似的数据泄露事件是迟早会发生的。

  再回看当前我们面临的环境,规范应用软件商的权限、严控各手机应用市场的审核、保护用户的隐私信息已经刻不容缓。多些责任,少些权限。

  2019年3月15日消息,为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》,市场监管总局、中央网信办决定开展App安全认证工作。

  3月19日,高仙2019年度媒体沟通会在北京召开,来自媒体、政府、投资机构及合作方的嘉宾齐聚一堂,共同见证了高仙机器人的完整战略发布和B轮融资首发。

  从今日起,中国电信将再次大幅下调国际及港澳台地区漫游流量资费,同时开通覆盖绝大部分出访量的106个国家和地区的4G漫游服务。

  奇虎360认为用户在搜狗搜索中输入“360省电王”时,下载链接指向搜狗手机助手。

  今日头条今日宣布战略投资国内知名图片库东方IC,投资案完成后,东方IC仍将继续保持独立运作。今日头条方面并未对外公布具体交易细节,不过有消息称该投资为控股级投资。

阅读次数:
 
 

最新文章

相关文章