共计 5107 个字符,预计需要花费 13 分钟才能阅读完成。
2019 年 7 月 18 日,智能手机屏幕上显示的 FaceApp 应用程序。该软件近日在网上广泛传播,但一些程序开发人员对其隐私条款提出担忧,质疑该软件私自上传用户其他照片,并滥用照片数据。
8 月 13 日,《2019 年上半年我国互联网网络安全态势》发布,报告指出,每款 APP 应用平均收集 20 项个人信息,大量 APP 存在探测其他 APP 或读写用户设备文件等异常行为,这再度引发公众对移动 APP 违法违规收集使用个人信息问题的热议。
目前,用户判断 APP 收集了哪些信息主要以其索取的权限为依据。新京报记者近两年来持续关注 APP 索取权限发现,目前绝大多数 APP 均会明示提醒索取的权限,但 APP 究竟在什么时候上传了哪些用户信息,APP 在技术层面能否窥视用户隐私,对于普通用户来说依然成谜。
近日,新京报记者联合国家计算机病毒应急处理中心,对 109 款 APP 的安装包 APK 进行了引擎检测,检测结果发现,83.6% 的 APP 安装包中均含有超出其原本业务范围之外的权限代码。109 款 APP 中有超过半数的 APP 安装包里含有索取用户通讯录的代码。
据此新京报发布了个人隐私报告第一期,本次报告重点关注 APP 越界索取权限问题。109 款 APP 中嘀嗒出行、百合婚恋、和包支付、瑞钱包、e 代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐 10 个 APP 申请了全部 6 项敏感权限,申请的敏感权限最多。
83.6% 的 APP 含越界代码,中移动旗下的和包支付越界严重
6 月 18 日,新京报记者对比《网络安全实践指南 - 移动互联网应用基本业务功能必要信息规范》中划定的不同行业 APP 应该索取的权限范围,基于安装 APP 后开启的权限提示,测试了 50 款常用 APP,发现其中有 24 个 APP 索取的权限超出范围,占比 48%。
而 6 月 25 日至 27 日,新京报记者联合国家计算机病毒应急处理中心,对 109 款 APP 的安装包 APK 内含有的涉及隐私权限的代码进行了引擎检测,检测结果发现,除微信、虎牙直播等 18 款 APP 外,其余 83.6% 的 APP 安装包中均含有超出其原本业务范围之外的权限代码。
根据《网络安全法》第四十一条,网络运营者不得收集与其提供的服务无关的个人信息;而《网络安全实践指南 - 移动互联网应用基本业务功能必要信息规范》给出了哪一类 APP 收集信息的范围标准,超出标准即为越界。
具体来看,在读取联系人、录制音频、读取短信、发送短信、发起电话呼叫、拍摄照片和录制视频六个涉敏感权限中,上述 109 个 APP 中有 57 款 APP 越界含有读取联系人的代码,占比 51.8%;有 44 款 APP 越界含有录制音频的代码,占比 40%;有 30 款 APP 越界含有拍摄照片和录制视频的代码,占比 27.2%。而读取短信、发送短信、发起电话呼叫三项 APP 权限被越界含有的比例则在 20% 左右,相对较少。
其中,和包支付的安装包 APK 拥有全部上述 6 个涉隐私敏感权限,但依据《网络安全实践指南 - 移动互联网应用基本业务功能必要信息规范》,和包支付所属的金融借贷类 APP 基于其基本业务功能所能收集的必要信息包括手机号码、身份信息、征信信息等,上述 6 个涉敏感权限与其基本业务功能无关。
和包支付是中国移动面相个人和企业提供的一项综合性移动支付业务,开发者为中国移动旗下子公司中移电子商务公司。截至目前,其在华为应用市场中有 3340 万次安装。
而作为游戏类 APP 的开心消消乐的安装包 APK 同样拥有全部上述 6 个涉敏感权限,不过基于该 APP 的类型,录制音频属于其基本业务功能之内,但读取联系人、读取短信、拍摄照片和录制视频等其他 5 项权限不属于其基本业务功能之列。
实际上,绝大多数用户对 APP 的隐私协议是‘看都不看’的,对于权限的开启也往往不是很在意,因此看 APP 到底有能力获取哪些权限,在技术上直接看代码是最为方便的。8 月 16 日,在网安部门负责 APP 检测的程序员小武告诉记者,代码不会说谎。
几款 APP 申请了全部 6 项敏感权限,有的是越界索取权限。
嘀嗒出行、百合婚恋等 APP 安装包申请全部 6 项敏感权限
近日,新京报记者联合国家计算机病毒应急处理中心,对 109 款 APP 的安装包 APK 进行了引擎检测。
新京报记者查阅 109 个 APP 安装包所申请的 6 个涉敏感权限列表发现,大多数 APP 都申请了 3 至 4 个敏感权限,而嘀嗒出行、百合婚恋、和包支付、瑞钱包、e 代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐 10 个 APP 申请了全部 6 个敏感权限,申请的敏感权限最多。
国家计算机病毒应急处理中心在发给新京报记者的检测报告中注明,通过上传的 APP 应用,自动识别出移动应用所属的行业,并对应到《网络安全实践指南 - 移动互联网应用基本业务功能必要信息规范》中不同行业应有的权限集合,与被检测应用的 AndroidManifest.xml 文件进行比对,将多余部分的权限定义为权限滥用。
根据 APP 专项治理工作组发布的《APP 申请安卓系统权限机制分析与建议》,如果 APP 因业务功能需要申请系统权限,通常情况下,APP 开发者可通过在 AndroidManifest.xml 配置文件中明确声明的方式 (静态方式),以及在代码运行阶段请求的方式(动态方式) 申请系统权限。
AndroidManifest.xml 指的是 APP 安装包中的配置文件,其包含了 APP 安装所必要的各个组件,其中也有其申请的系统权限集合列表。国家计算机病毒应急处理中心工作人员告诉记者,例如,android.permission.READ_CONTACTS 代表读取通讯录权限,拥有该代码的 APP 在‘基因层面’就具备了读取用户通讯录的意图。
例如,嘀嗒出行具备音频与拍照功能,拥有录音与拍照权限较为合理,但其同时也拥有读取联系人权限,这与其基本业务功能不符。
对此,也有 APP 设计人士向记者抱怨称,其实有不少 APP 在制作时,源代码是复制其他 APP 的,有时不需要的权限也这样一股脑儿复制过去了,并非是 APP 自己想要多收集。
宜人贷、红包锁屏、瑞钱包等自动上传用户位置信息
需要注意的是,引擎检测只能检测 APP 安装包内的权限基因,无法判定 APP 行为。
7 月 9 日至 7 月 15 日,新京报记者联合国家计算机病毒应急处理中心,从 109 款 APP 中筛选出了在安装包层面申请了多个权限的 14 款 APP,采用抓包方式进行人工检测发现,14 款 APP 中有 7 款 APP 在首次打开授权但不进行操作后,自动上传了用户的 GPS 定位等隐私信息,一些 APP 的定位精确到具体的区县。
这 14 款 APP 包括 360 借条、和包支付、红包锁屏、看拍、球球大作战、瑞钱包、搜狗输入法、同花顺、微锁屏、悟空理财、宜人贷、中兴智能家居、作业帮等。
其中,球球大作战、作业帮、中兴智能家居、宜人贷、红包锁屏、瑞钱包等 7 款 APP 在首次打开并对弹出的提示框点击确定,并不做任何其他操作的情况下,向网站上传了用户的经度和维度定位信息。其中作业帮上传的内容精确到了检测机构所在的天津市滨海新区。
需要注意的是,记者并未在球球大作战、微锁屏等 APP 中直接找到需要使用地理位置的功能,但其仍然向用户申请了相关权限,并在安装完后立刻上传了用户的定位信息。
中国人民大学法学院教授刘俊海认为,自由和权利是有边界的,APP 若贪得无厌,索取权限超过法定范围就构成侵权,侵犯了消费者的隐私权与个人信息权,此时 APP 应该悬崖勒马。
《APP 申请安卓系统权限机制分析与建议》也显示,APP 应遵循最少够用原则,即 APP 应只申请实现业务功能所必需的系统权限。选择系统权限时应选取能满足业务功能所需的最少够用的权限,比如,使用粗略地理位置即可达到业务目的,完成业务功能的,避免使用精确地理位置。
不过,什么是最少够用,APP 显然有不同的理解。有网安部门的公安干警对新京报记者表示,其在执法时常常遇到 APP 对索取权限辩解的各种理由,比如我去问一家游戏 APP,你们要地理位置干什么?对方表示是为了‘观察哪个位置的玩家较多,此后可以在该位置架设服务器,更好地提升用户体验’。
对此,APP 专项治理工作组成员何延哲对记者表示,以提升服务体验为借口多索取权限也是不合理的,比如游戏类 APP 如果想要根据用户位置架设服务器,只要看用户 IP 就可以了,为什么要获取地理位置权限?
未发现 APP 窃听用户谈话
《2019 年上半年我国互联网网络安全态势》指出,在目前下载量较大的千余款移动 APP 中,每款应用平均申请 25 项权限,其中申请了与业务无关的拨打电话权限的 APP 数量占比超过 30%;每款应用平均收集 20 项个人信息和设备信息,包括社交、出行、招聘、办公、影音等;大量 APP 存在探测其他 APP 或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在威胁。
这引起了不少用户的共鸣,我觉得我说话都能被淘宝和小红书听见。8 月 16 日,有接受问卷调查的用户向新京报记者抱怨,其有时会出现上午和朋友闲聊某商品,下午 APP 就推送了该商品广告的情况,APP 一定偷听了我的谈话。
近期,苹果、脸书、亚马逊、微软四个国外互联网巨头也分别曝出窃听门,脸书官方承认其存在人工转录用户语音记录的行为。
不过,新京报记者 7 月 9 日至 7 月 15 日对 14 款 APP 进行抓包分析发现,APP 上传最多的用户数据是手机的设备型号、IMEI 号(国际移动设备识别码,相当于移动电话的身份证)、安卓版本、mac 地址等,其次就是地理位置信息。但在此期间并未有 APP 上传用户的语音与图片数据。
用户的错觉来自定向推送,实际上,语音窃听与定向推送完全不同。8 月 8 日,何延哲对新京报记者表示,通过语音窃听是一种成本最高、效率最低的方法,但当 APP 通过社会关系、喜好习惯、WiFi 场景等各种方式进行定推,就会给民众‘遭到窃听’的错觉。
■问题 1
为何 92% 的人认为 APP 会泄露个人隐私?
8 月 16 日至 19 日,新京报以你觉得 APP 会不会泄露你的个人隐私信息为题在微博、今日头条以及微信朋友圈进行了问卷调查,汇总调查结果显示,200 个回复的手机用户中,有 184 人认为会泄露,有 16 人认为不会泄露,认为 APP 会泄露隐私的用户占到了调查总数的 92%。
与之形成鲜明对比的是,在新京报记者测试的 109 个 APP 中,几乎所有 APP 均可找到隐私协议,且协议中有类似会遵循隐私政策收集使用信息的表述。此外,由于 APP 专项治理工作的推进,APP 对索取权限进行明示提醒几乎普及了所有主流 APP,有网信办相关工作人员对记者表示,对 APP 主要抓合规性,制定法律法规,标准规范,并督促 APP 落实。
是什么造成了用户认知与 APP 规范的割裂?安全专家刘海(化名)对记者表示,在技术上,APP 确实拥有探寻用户隐私的能力,且由于用户数据上传至企业后,对于公众而言就属于数据进入了黑箱状态,企业拿去做什么,只要不被曝光,用户是毫不知情的,再加上用户日常会接到针对其画像的定向推送,所以不信任感会大大增加。
■问题 2
你的通讯录是否已被你用的 APP 读取?
109 个 APP 中有 57 款 APP 越界含有读取联系人的代码,占比 51.8%。
国家计算机病毒应急处理中心工作人员称,android.permission.READ_CONTACTS 代表读取通讯录权限,拥有该代码的 APP 在‘基因层面’就具备了读取用户通讯录的意图。
国家计算机病毒应急处理中心工作人员将代码比喻为 APP 的武器库,检测出来了就说明 APP 有‘武器’,但 APP 是否拿出这个‘武器’并予以使用,还要看后续具体用户是否同意权限申请。
刘海对记者表示,一般来说 APP 只要在具体操作行为上弹窗提示征得了用户同意,即便权限越界也无不可,但安装包上搭载越界代码的行为也值得讨论,APP 的主要功能明明不需要这一权限,为什么还要搭载这个代码?这是否就属于对用户安全的‘潜在威胁’?
梆梆安全 CTO 方宁表示,要检测 APP 是否上传了用户隐私数据,需要通过做逆向分析、渗透测试等方式,但这需要具备专业的技术能力,普通老百姓不可能做到。
■问题 3
APP 会否窃听你的谈话?
业内人士称,窃听性价比不高。APP 专项治理工作组曾发文称,偷听的性价比确实不高。因为 APP 要克服识别环境噪音、是否是非本人购物意向等,相比用户平时的搜索、浏览、订单历史习惯,窃听录音的行为属于舍近求远,避简就繁,不符合商业逻辑。
此外,窃听行为违反《网络安全法》第四十一条网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度;网络运营者必须公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意的相关规定,企业如果存在使用技术手段偷听语音并上传的行为,对企业声誉的影响是致命的。
新京报记者 罗亦丹 实习生 翁睿敏 徐子林 编辑 岳彩周 校对 杨许丽
丸趣 TV 网 – 提供最优质的资源集合!
