想不到!“手电筒”应用调取短信记录 安卓系统审核环节缺失

新民网 2017/4/7 8:03:00

网络配图

【新民网讯】据《劳动报》报道,安装手机应用时也许你并不会想到,它可能会调用你的通讯录、地理位置信息,甚至将你的用户名和密码以明文形式传送,这些关键隐私很可能因非法读取而泄漏。记者发现,APP调用过多权限已成为一项重大隐患,而这一现象又在安卓系统中尤为凸显。

APP大多要求访问位置

安装APP时,都会被象征性地同意一则用户协议后,才能安装成功,但是这个协议中有多少“坑”,恐怕很多人就无暇顾及了。

记者查看市民邹先生的安卓手机发现,其内安装的60余款应用中,所有APP都有“读取已安装应用列表”的权限,由此可以了解用户的行为习惯及分析同行情况。其次,这60余款应用中,九成以上已获取了“读取位置信息”的权限,以此可搜集用户的活动范围。

通过安卓手机应用商店,记者以“手电筒”为关键词搜索相关APP,跳出结果近百个。依照先后顺序,记者逐一下载并安装了排名最靠前的20款手电筒APP,令人意外的是,仅以照明为主要功能的该类APP,竟无一例外全部要求访问用户的“位置信息”及“照相机”。更有甚者,还有要求访问用户短信及通讯录的。

以一款名为“随手电筒”的APP为例,下载后页面弹出要求允许访问的功能包括“WLAN修改”、“位置”、“修改设置”、“照相机”、“接收短信/彩信”、“在顶端绘制”等10项功能。且该款APP显示的使用人数达到9514万人。

而使用率颇高的新浪微博、手机淘宝等,在索取权限上也丝毫不客气。

记者在手机上下载新浪微博后,被要求允许访问的权限达20项。其中,包括“位置”、“写入/删除联系人”、“录音”、“拨打电话”、“照相机”、“读取短信/彩信”、“读取联系人”、“读取通话记录”等敏感信息。

在安装手机淘宝时记者也收到了:“为了保证您正常、安全地使用手机淘宝,当需要我获取您拨打和管理电话权限时,请点击允许。拒绝后手机淘宝将无法正常运行”的提示。

另外,以最近火热的共享单车为例,记者查看安卓手机应用权限发现,摩拜单车、优拜单车、永安行等APP也分别要求调取用户通讯录的权限。

禁止后使用体验变差

记者发现,在安卓手机上,一些APP不仅获取了和自身功能关系不大的权限,一旦禁止这些权限,还会让APP的使用体验变差。而拒绝APP的某些权限申请调用,在使用APP过程中就会弹出调用权限的申请,久而久之,大多数用户就会嫌麻烦,放松警惕,最后同意权限调用。

互联网第三方研究机构DC鄄CI互联网数据中心发布的《2016年中国Android手机隐私安全报告》显示,2016年安卓非游戏类APP中有91.7%需要读取位置信息,其中13%属于越界;需要访问联系人的占49%,其中9.1%属于越界。此外,越界读取短信、通话记录、手机号码等行为也非常严重。

上海某企业安卓系统开发技术人员茅正玮告诉记者,安卓系统本身较为开放,再加上没有第三方监管,成为APP过多调用权限的两大原因。

“相对于苹果使用的iOS系统,安卓是一个较为自由开放、易操作的手机作业系统,它的系统结构可以被开发公司自由地更改。”

茅正玮说,iOS在它的应用层做出了很多限制,许多接口和权限并不开放给第三方软件制造商使用;而安卓则恰相反,它开放了很多的权限与接口,自定义性很强,这对开发者来说好处显而易见,但对应用生态的健康则会带来隐患,“很多时候要靠开发厂商的自觉。”另外他提到,国外的APP上线,一般要经过GooglePlay(由Google为安卓设备开发的在线应用程序商店)的几重上线审核,如果应用审核环节没有通过,将会被打回。这就在一定程度上限制APP通过调用权限收集用户信息的行为。

相比之下,“大多国内用户使用的安卓系统,不少系统开发者可以根据自己的喜好、需求设计、开发一个APP。而APP上线后也没有一个类似GooglePlay这样的机构进行审核。”茅正玮举例,比如,微博在GooglePlay的版本要求的权限就比较少,安装包也比较小。

未经用户同意属不当获取

滥用权限的背后,涉及当前互联网企业的商业逻辑。

“搜集的数据多一点,营销价值就会提升很多,”前述人士续称,微博要读取通讯录,是希望接入用户的联系人,进行关注推荐,提高用户在微博上的黏性;手机淘宝调用通讯录,则是意图获取用户的联系人之后可以推广告。

“当然,不调用这些权限,这些APP也可以正常使用。”他说。

2013年,工信部联合其他部门推出的《信息安全技术公共及商用服务信息个人信息保护指南》确定了一些APP应当遵循的基本原则,包括目的明确、最少够用、公开告知、个人同意等。其中,最少够用原则是指只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。

显而易见,目前很多APP都违反了上述原则。

盛邦律师事务所律师陈亮对手机APP的调用行为存有疑虑,他表示,虽然目前保护公民个人信息仅散见于《民法》等法律法规中,但手机APP应当如实地根据业务需求进行请求,获取相应的权限。如果事先没有得到用户批准,通过默认或者植入病毒等方式获得公民隐私则属于不当获取。

他认为,如果APP以A目的获取到的公民信息,却用于从事B活动,则属于以虚假理由欺骗用户,非法获取信息,属于违法行为。而APP通过正当手段获取公民隐私信息后,也需要履行保护公民信息、防范被泄露的义务。与此同时,获取到的公民信息也只能用在为用户提供服务中,不能进行非法牟利。

原标题:“手电筒”应用为啥调取短信记录

免责声明: 本文仅代表作者个人观点,与重庆微发布无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

微信扫描二维码关注重庆微发布公众号

数据加载中... ...