不給權限就不讓用APP;競爭對手索取了權限,自己也“不甘人后”……已經成為消費之痛的過度索權問題背后,是企業(yè)漠視個人信息保護心態(tài)在全行業(yè)蔓延帶來的“軍備競賽”。3b6安康新聞網
三令五申,手機APP過度索權問題仍存3b6安康新聞網
即便你安裝的手機APP都來自行業(yè)領先的“大公司出品”,這些APP的安全性并不能令人完全放心3b6安康新聞網
讀取聯系人和通訊錄,偷偷監(jiān)控外撥電話,翻看手機通話記錄,甚至還開啟了錄音功能,你的手機也許并不“老實”,甚至即便你安裝的手機APP都來自行業(yè)領先的“大公司出品”,這些APP的安全性并不能令人完全放心����。3b6安康新聞網
上海市消保委近期對網購平臺���、旅游出行、生活服務等39款市場占有率領先的手機APP涉及個人信息權限評測顯示,截至3月23日,有9款手機APP存在索取的權限與功能無法對應的問題,涉及聚美����、窮游���、貓途鷹����、百度糯米等�。3b6安康新聞網
比如,窮游APP向用戶索取“讀取聯系人”的權限,但并沒有提供相應的功能;神州租車APP向用戶索取“錄音”“監(jiān)控外撥電話,重新設置外撥電話的路徑”等權限,但也并未能提供相應的功能�。3b6安康新聞網
此次發(fā)布的測評結果,已經是上海市消保委第三次針對手機APP進行的測評。此前,上海市消保委已經針對地圖類��、瀏覽器類、輸入法類以及綜合視頻類等進行了兩輪測評,發(fā)現存在數十項無實際功能對照的權限申請,包括讀取通訊錄�����、電話權限�、短信權限、定位權限等���。3b6安康新聞網
上海市消保委秘書長陶愛蓮說,在三令五申下,APP過度索權問題依然屢禁不止,即使是來自行業(yè)領先大公司的APP問題同樣突出,已經成為消費者的新痛點�。3b6安康新聞網
“你要我也要”——過度索權四大“怪”3b6安康新聞網
背后是企業(yè)利益驅動��、誠信缺乏���、對個人信息安全保護漠視心態(tài)在全行業(yè)蔓延帶來的“軍備競賽”3b6安康新聞網
手機APP“過度索權”為何難治?記者調查發(fā)現,手機APP過度索權存在四大值得警惕的新趨勢,背后是企業(yè)利益驅動����、誠信缺乏���、對個人信息安全保護漠視心態(tài)在全行業(yè)蔓延帶來的“軍備競賽”�。3b6安康新聞網
——“就是不升級”��。在多輪測評中發(fā)現,手機APP使用的目標API級別過低的問題比較明顯���。在本輪測評中,百度糯米APP的用戶在安裝時,由于目標API級別過低,即便并沒有相應的使用場景,也“一攬子授權”了包括“讀取聯系人”“錄音”“讀取信息”等敏感權限,否則就無法正常使用該APP�����。3b6安康新聞網
——“假裝不知道”����。一些企業(yè)稱,手機APP過度索權是程序員的“鍋”。一嗨租車相關負責人表示,企業(yè)程序員“開發(fā)失誤”,“不小心上線了沒有使用場景的敏感權限,并沒有實際使用該權限”����。而貓途鷹則表示企業(yè)存在失察的情況,沒有主動去檢查是否存在索取已經不存在應用場景的權限的問題。3b6安康新聞網
北京捷興信源信息技術有限公司技術支撐部總經理盛大江指出,當目標API級別低于23時,安卓對于權限會采用一攬子授權的模式,存在可規(guī)避系統(tǒng)安全機制的漏洞,安全風險比較大��。“是否提升API級別�、檢查索權是否與使用場景對應,是企業(yè)的自主選擇�����。盡管工信部在內的監(jiān)管部門都在提倡提升目標API級別到28,讓用戶的信息更加安全,但一些企業(yè)可能并沒有太多的動力主動去提升���。”3b6安康新聞網
——“千年用一次,也得索個權��。”記者梳理和采訪專家發(fā)現,以讀取短信權限為例,企業(yè)認為索取這一權限可以方便消費者讀取短信驗證碼,但除了高頻發(fā)送驗證碼的金融類等少量APP外,大量的APP需要讀取驗證碼的情形“百里挑一”,但卻因此獲得了如此敏感的權限,消費者的“隱私讓渡回報”明顯不足��。還有一些手機APP在使用過程中不停“騷擾”消費者獲取錄音權限,但提供的功能卻是少有人使用的“語音播報”����。3b6安康新聞網
——“用不上,創(chuàng)造條件也要上。”不少手機APP存在索取“非必要權限”的問題�。以日歷權限為例,測評顯示,有10多家手機APP尤其是網購類平臺存在獲取用戶日歷的問題。3b6安康新聞網
相關企業(yè)在回應消保委時表示,日歷權限的索取可以方便消費者了解大促信息,但專家指出,相應的功能完全可以通過后臺推送的方式實現,并不需要額外獲取和調用日歷權限,涉嫌濫用使用場景��。3b6安康新聞網
“萬一明天用上了呢?競爭對手有了我也要有�。一些企業(yè)覺得,就算現在用不上,無法即時對消費者的數據進行商業(yè)化的運用,也要先創(chuàng)造條件占上,‘以備后患’,甚至對標競爭對手‘他要我也要’。”3b6安康新聞網
自我加壓,索權“明明白白”3b6安康新聞網
互聯網企業(yè)應確保相關應用索取的權限與功能必須相匹配,并妥善使用這些權限,建議行業(yè)內的大型企業(yè)能盡早推出團體標準,凈化市場3b6安康新聞網
陶愛蓮指出,希望開發(fā)者增強誠信意識,主動作為,更好保護消費者個人信息安全,“上海市消保委將對手機APP過度索權問題密切關注�����、持續(xù)關注�。”3b6安康新聞網
上海市消保委副秘書長唐健盛說,互聯網企業(yè)應確保相關應用索取的權限與功能必須相匹配,并妥善使用這些權限,建議行業(yè)內的大型企業(yè)能盡早推出團體標準,凈化市場。同時,消費者也應加強對APP索權的重視程度,謹慎授權����。3b6安康新聞網
一些互聯網公司已經在“自我加壓”,主動把索取的權限和消費者“說個明白”。比如,最新更新的手機淘寶APP,不僅將向用戶索取的權限以及其使用場景一一說明,還明明白白地告訴消費者如果不愿意索取該項權限�、可能影響使用的功能,方便消費者做出選擇。3b6安康新聞網
近期谷歌發(fā)布的Android Q beta版中,在原有的拒絕和永久授權兩種權限選擇之外,還增加了僅在使用期間(運行時)的授權選項���;谶@一版本的手機APP將能更好保護消費者的信息安全���。3b6安康新聞網
上海消保委公布APP過度索權案例3b6安康新聞網
新華社記者周蕊3b6安康新聞網
上海市消保委27日在滬發(fā)布部分手機App涉及個人信息權限評測結果的通報顯示,窮游、百度糯米�、神州租車等App存在向消費者索取的權限與實際功能不對應的問題,存在一定的安全風險。3b6安康新聞網
根據網絡安全法,網絡運營者收集���、使用個人信息,應當遵循合法����、正當�、必要的原則,公開收集、使用規(guī)則,明示收集���、使用信息的目的�、方式和范圍,并經被收集者同意�����。3b6安康新聞網
上海市消保委近期對網購平臺����、旅游出行��、生活服務等39款市場占有率領先的手機App涉及個人信息權限評測顯示,截至3月23日,有9款手機App存在索取的權限與功能無法對應的問題,涉及聚美、窮游��、貓途鷹�����、神州租車�����、百度糯米等���。3b6安康新聞網
比如,窮游App向用戶索取“讀取聯系人”的權限,但并沒有提供相應的功能����;神州租車App向用戶索取“錄音”“監(jiān)控外撥電話,重新設置外撥電話的路徑”等權限,但也并未能提供相應的功能����。3b6安康新聞網
而百度糯米App則存在使用的目標API級別過低的問題,用戶在安裝時即“一攬子授權”包括“讀取聯系人”“錄音”“讀取信息”等敏感權限。專家指出,當目標API級別低于23時,安卓對于權限會采用一攬子授權的模式,存在可規(guī)避系統(tǒng)安全機制的漏洞�。在約談現場,百度糯米相關負責人回應稱,“尚未來得及處理這一問題,改版已經在進行中”。3b6安康新聞網
上海市消保委測評還顯示,有10多家手機App尤其是網購類平臺存在獲取用戶日歷的問題����。相關企業(yè)在回應消保委時表示,日歷權限的索取可以方便消費者了解大促信息,但專家指出,相應的功能完全可以通過后臺推送的方式實現,并不需要額外獲取和調用日歷權限�。3b6安康新聞網
上海市消保委副秘書長唐健盛指出,希望消費者和App開發(fā)者都能加強對日歷權限的重視,經常使用日歷記錄敏感事項的消費者應謹慎授權日歷權限,同時,建議App開發(fā)者如無十分必要,盡可能不使用手機日歷權限,更好保護消費者權益���。3b6安康新聞網
3b6安康新聞網
