實(shí)測(cè)37款A(yù)pp:原來我們每天被讀取幾千次
微信獲取位置信息69次、讀寫儲(chǔ)存空間549次,高德地圖獲取位置信息34次、抖音獲取位置信息23次、支付寶獲取位置信息13次、微博獲取位置信息12次,這是某用戶手機(jī)App一天的權(quán)限使用記錄。
十幾款手機(jī)App竟然在用戶毫無感知的情況下,幾乎看光了手機(jī)里的全部?jī)?nèi)容。為何有些App沒有主動(dòng)告知就偷偷自啟動(dòng)讀寫儲(chǔ)存空間、照片和文件?為何一些和自身服務(wù)定位毫不相干的權(quán)限,App都想要?這些App在調(diào)取手機(jī)權(quán)限時(shí),早已在不知不覺間經(jīng)過了用戶允許。
半個(gè)月前,國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部等四部門聯(lián)合發(fā)布了《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》(簡(jiǎn)稱《規(guī)定》),明確對(duì)39類App劃定了必要個(gè)人信息范圍,5月1日起正式實(shí)施。這意味著,App、小程序運(yùn)營(yíng)者過度索權(quán)的行為將會(huì)得到規(guī)范,公民在網(wǎng)絡(luò)空間的合法權(quán)益將會(huì)得到保護(hù)。
距離此項(xiàng)《規(guī)定》正式落地已不足一個(gè)月,記者對(duì)市面上包含社交、購(gòu)物、出行、娛樂在內(nèi)的37款主流App使用權(quán)限進(jìn)行測(cè)試后發(fā)現(xiàn),仍然有不少App涉嫌過度索權(quán),其中不乏百度地圖、快手、UC等知名App。
每部手機(jī)每天被定位3691次
今年1月,小米MIUI隱私保護(hù)能力建設(shè)研發(fā)團(tuán)隊(duì)公布了這樣一組數(shù)據(jù):“平均每部手機(jī)每天會(huì)被App定位3691次,相冊(cè)和個(gè)人文件每天被App訪問2432次,App在后臺(tái)每天嘗試悄悄地啟動(dòng)783次,有超過40萬個(gè)App可以直接讀取用戶的剪切板。”
簡(jiǎn)單計(jì)算,一部手機(jī)平均每小時(shí)會(huì)被App定位154次,平均1分鐘被定位2.56次。你根本無法察覺App暗中在做什么。
App對(duì)用戶信息的渴望,遠(yuǎn)超用戶想象。
4月7日,記者使用一部安卓國(guó)產(chǎn)手機(jī)下載了較為常用的37款A(yù)pp,涵蓋社交、娛樂、電商、出行等領(lǐng)域。
從手機(jī)權(quán)限管理界面中看到,37款A(yù)pp都涉嫌索要定位權(quán)限、拍照、錄像權(quán)限以及手機(jī)識(shí)別碼(IMEI碼)權(quán)限。
不僅如此,33款A(yù)pp索要通訊錄權(quán)限,大多要求“讀取聯(lián)系人”,微信、QQ、脈脈、淘寶、微博5款A(yù)pp獲取的通訊錄權(quán)限還包括“新建/修改/刪除聯(lián)系人”;QQ、鐵路12306和微博3款A(yù)pp還索取“讀取彩信”“讀取短信記錄”的權(quán)限;番茄免費(fèi)小說則需要讀取用戶撥打電話的權(quán)限。
一些App在其“個(gè)人信息保護(hù)政策”中對(duì)此做了解釋。
美圖秀秀稱,收集用戶位置、設(shè)備信息是為了幫助用戶獲得更感興趣的社區(qū)內(nèi)容,或在工具素材和廣告內(nèi)容推薦上呈現(xiàn)更符合需求的內(nèi)容,減少對(duì)海量?jī)?nèi)容篩選的時(shí)間;bilibili表示,索取設(shè)備信息權(quán)限是為了給用戶提供視頻展示和播放服務(wù),索取定位是為了定向推薦、維護(hù)和改進(jìn)產(chǎn)品之必須;番茄免費(fèi)小說申請(qǐng)電話權(quán)限,是為了用戶看到廣告頁需要撥號(hào)和顯示對(duì)方電話所設(shè)置。
除上述授權(quán)要求外,有不少App還需要讀取用戶的剪切板、日歷、存儲(chǔ)等權(quán)限。如果一款導(dǎo)航類App索取定位是為了給用戶提供服務(wù),為何愛奇藝、bilibili、脈脈、QQ音樂等App也要獲取用戶的定位信息?
為何讀書軟件也要讀取用戶撥打電話的權(quán)限?
社交類App啟用麥克風(fēng)是為了便于交流,為何餐飲訂單平臺(tái)要啟用麥克風(fēng)及錄音功能?
事實(shí)上,手機(jī)里的不同權(quán)限對(duì)應(yīng)不同風(fēng)險(xiǎn)。民間非企運(yùn)營(yíng)互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍告訴《IT時(shí)報(bào)》記者。
獲取通訊錄權(quán)限,大多用于做大數(shù)據(jù)畫像,同時(shí)獲得用戶的“社交關(guān)系”,容易被不法分子盜取后用于詐騙;短信權(quán)限的風(fēng)險(xiǎn)更大,如果被濫用,輕則被利用“薅羊毛”,重則被用于攔截短信驗(yàn)證碼,控制所有的數(shù)字資產(chǎn);麥克風(fēng)權(quán)限,則可以用于監(jiān)聽;至于位置、相冊(cè)權(quán)限,多用于建立行動(dòng)軌跡和獲取相冊(cè)里的隱私。
至于App自動(dòng)讀取手機(jī)的應(yīng)用列表,是通過應(yīng)用列表分析用戶使用什么應(yīng)用、使用多少次,大多用于廣告大數(shù)據(jù)分析,也有一些手機(jī)助手是為了判別用戶是否安裝某程序,是否需要推薦以及程序是否需要升級(jí)。
多款A(yù)pp不授權(quán)不可用
《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》開篇便明確,網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供服務(wù)無關(guān)的個(gè)人信息,移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)運(yùn)營(yíng)者不得因用戶不同意收集非必要個(gè)人信息,而拒絕用戶使用App基本功能服務(wù)。
但當(dāng)記者對(duì)一些常用App進(jìn)行測(cè)試后發(fā)現(xiàn),不授權(quán)便不可用的現(xiàn)象,較為普遍。比如,《規(guī)定》對(duì)運(yùn)動(dòng)健身類App的要求均是無須個(gè)人信息,即可使用基本功能服務(wù)。記者測(cè)試了部分健身類App發(fā)現(xiàn),如果不登陸用戶賬號(hào)將無法正常使用keep、Hi運(yùn)動(dòng)、每日瑜伽App。在安卓手機(jī)應(yīng)用市場(chǎng)里下載“美腿瘦腿”App時(shí),會(huì)跳出授權(quán)選項(xiàng),需要用戶授權(quán)App讀取存儲(chǔ)、電話、位置信息、麥克風(fēng)、通訊錄及其他權(quán)限,如果不同意,將無法下載該App。比如,《規(guī)定》對(duì)于女性健康類App的要求是無須個(gè)人信息,即可使用基本功能服務(wù)。但當(dāng)記者打開媽媽網(wǎng)備孕App時(shí),必須要注冊(cè)信息,否則不能正常使用。
此外,記者還發(fā)現(xiàn),很多權(quán)限用戶無法手動(dòng)進(jìn)行關(guān)閉,而一旦在開始點(diǎn)擊了同意隱私協(xié)議,或者打開了某項(xiàng)權(quán)限,該權(quán)限下方所包含的更多細(xì)節(jié)也都一并處于默認(rèn)打開狀態(tài)。
長(zhǎng)期專注于移動(dòng)安全領(lǐng)域的廠商安天移動(dòng)安全,近年來持續(xù)大力投入,形成了一套針對(duì)移動(dòng)風(fēng)險(xiǎn)應(yīng)用治理的有益體系,其中也包含了對(duì)App隱私權(quán)限問題的針對(duì)性檢測(cè),能夠較好檢出App違法違規(guī)收集個(gè)人信息的各類問題。
“根據(jù)目前我們檢出的數(shù)據(jù)統(tǒng)計(jì)結(jié)果,Top3隱私權(quán)限問題為‘無隱私彈窗、彈窗前收集個(gè)人信息、強(qiáng)制索權(quán)’。其實(shí)目前市面上的很多應(yīng)用均或多或少存在一定隱私權(quán)限方面的問題,這是普遍現(xiàn)象。”安天移動(dòng)安全方面人士說道。
不同手機(jī)App授權(quán)管理不同
更令人驚訝的是,有些App的權(quán)限被用戶拒絕后,卻又悄悄被打開了。
記者在一臺(tái)魅族手機(jī)自帶的應(yīng)用商店里下載了一款百度地圖App,首頁默認(rèn)勾選開啟定位、存儲(chǔ)、麥克風(fēng)、設(shè)備信息四項(xiàng)授權(quán),并在屏幕最下方有“同意”和“不同意并退出”的按鈕。
記者將四項(xiàng)授權(quán)全部取消后,點(diǎn)擊“同意”按鈕,便進(jìn)入百度地圖搜索頁面。然而,當(dāng)記者查詢某條路線時(shí),百度地圖依然自動(dòng)定位了“我的位置”,并提供了導(dǎo)航路線。
這是怎么回事?記者進(jìn)入手機(jī)里百度地圖“應(yīng)用訪問授權(quán)”設(shè)置后發(fā)現(xiàn),在已經(jīng)拒絕的前提下,位置信息、存儲(chǔ)空間、日歷、電話、相機(jī)、通訊錄和麥克風(fēng)均為開啟狀態(tài)。
根據(jù)《規(guī)定》,地圖導(dǎo)航類App的基本功能服務(wù)為“定位和導(dǎo)航”,必要個(gè)人信息為位置信息、出發(fā)地、到達(dá)地。但如果根據(jù)記者的測(cè)試結(jié)果,這款百度地圖App不僅涉嫌過度索權(quán),而且還有欺騙用戶的嫌疑。
然而,記者在自己的華為手機(jī)上做了同樣測(cè)試,無論是從華為應(yīng)用市場(chǎng)還是魅族應(yīng)用市場(chǎng)中下載的百度地圖,只要在初始狀態(tài)拒絕授權(quán),其權(quán)限內(nèi)默認(rèn)是關(guān)閉狀態(tài)。
百度地圖客服人員用兩款手機(jī)測(cè)試后,得到了和記者同樣的結(jié)論,但她也坦承,目前暫時(shí)無法確定記者測(cè)試結(jié)果不同的原因,可能是與手機(jī)型號(hào)有關(guān)。
記者分別用魅族和華為手機(jī)測(cè)試了其他App,測(cè)試發(fā)現(xiàn),首次打開App的狀態(tài)下,沒有點(diǎn)擊任何授權(quán),以下App分別啟動(dòng)了部分權(quán)限。
記者在“應(yīng)用權(quán)限管理”中看到:快手、西瓜視頻、抖音、騰訊視頻、keep、UC瀏覽器、搜狗瀏覽器均在自動(dòng)讀取應(yīng)用列表。在此基礎(chǔ)上,西瓜視頻和抖音、keep、UC瀏覽器還在讀取手機(jī)識(shí)別碼;騰訊視頻和搜狗瀏覽器均可以修改系統(tǒng)設(shè)置。
盡管以上App 提供的基本服務(wù)不同,但根據(jù)《規(guī)定》,短視頻類、新聞資訊類、在線影音類、瀏覽器類、運(yùn)動(dòng)健身類App均無須個(gè)人信息,即可使用基本功能服務(wù)。根據(jù)記者的測(cè)試結(jié)果意味著,上述App涉嫌過度索權(quán)。
但是,記者使用華為手機(jī)用同樣的方式對(duì)上述App進(jìn)行測(cè)試發(fā)現(xiàn),以上App的權(quán)限均為禁止?fàn)顟B(tài)。
為何不同手機(jī)在獲取權(quán)限方面有不同的表現(xiàn)?記者致電抖音和西瓜視頻的客服,對(duì)方表示暫未接到上述問題的反饋;Keep客服并未對(duì)此進(jìn)行解釋,但表示如果不想App獲取權(quán)限,用戶找到相應(yīng)權(quán)限將其關(guān)閉即可。其余App的客服則無人接聽。
業(yè)內(nèi)人士猜測(cè),這或許與不同手機(jī)廠商對(duì)App索權(quán)的限制有關(guān),或者是某些應(yīng)用市場(chǎng)里的特制安裝包,有后門存在。
“同款A(yù)pp針對(duì)不同的分發(fā)渠道,即使是同一個(gè)版本也會(huì)有針對(duì)性不同的策略,可能從正規(guī)應(yīng)用市場(chǎng)下載的App符合監(jiān)管要求,用戶授權(quán)前不會(huì)收集任何個(gè)人信息,但我從其他第三方分發(fā)平臺(tái)下載的同名稱應(yīng)用就會(huì)存在問題。”安天移動(dòng)安全大白鵝團(tuán)隊(duì)說。
碁震安全研究團(tuán)隊(duì)高級(jí)研究員宋宇昊認(rèn)為,安卓系統(tǒng)原生提供了針對(duì)一部分權(quán)限的訪問控制(比如通話、相機(jī)、麥克風(fēng)),對(duì)于這部分訪問權(quán)限的提示,在所有安卓手機(jī)上都是相同的。
但是在這部分權(quán)限以外,例如手機(jī)識(shí)別碼的權(quán)限控制,并不是安卓原生提供,而是由各家手機(jī)廠商自己定制的。在這種情況下,需要控制哪些權(quán)限、默認(rèn)允許禁止都是根據(jù)廠商自己對(duì)于敏感信息的理解來設(shè)計(jì)的。
在獲取用戶權(quán)限方面,蘋果就規(guī)范許多。用戶可以在設(shè)置中輕易找到App所需的定位、麥克風(fēng)、相機(jī)、藍(lán)牙、Siri權(quán)限,并將其手動(dòng)關(guān)閉。iOS系統(tǒng)從7.0開始就停止了IMEI相關(guān)接口開放,開發(fā)者無法直接獲得相關(guān)權(quán)限。4月7日,蘋果宣布,未來幾個(gè)星期內(nèi)將實(shí)施全新的隱私采集用戶披露和許可政策。
IMEI碼也是個(gè)人信息
37款A(yù)pp的“個(gè)人隱私權(quán)限政策”中,基本都有類似條款:“當(dāng)您使用本款應(yīng)用時(shí),我們會(huì)搜集你的設(shè)備信息,包括設(shè)備型號(hào)、唯一設(shè)備標(biāo)識(shí)符、設(shè)備MAC地址、操作系統(tǒng)類型、屏幕分辨率、電信運(yùn)營(yíng)商、登錄IP地址、軟件版本型號(hào)、接入網(wǎng)絡(luò)的方式、網(wǎng)絡(luò)質(zhì)量數(shù)據(jù)。”
從《規(guī)定》對(duì)39類App詳細(xì)要求來看,并沒有對(duì)IMEI碼、IP地址等信息有明確要求,那么,設(shè)備信息是否屬于本次《規(guī)定》的監(jiān)管范圍?
《民法典》中規(guī)定,個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。
另外,《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》規(guī)定,個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)。
IMEI碼是國(guó)際移動(dòng)設(shè)備識(shí)別碼的簡(jiǎn)稱,即通常所說的手機(jī)序列號(hào),因其唯一不可變被稱為手機(jī)的“身份證”。
上海大邦律師事務(wù)所合伙人游云庭認(rèn)為,手機(jī)IMEI碼是手機(jī)硬件的編號(hào),通過識(shí)別此編號(hào),可以識(shí)別出使用手機(jī)的個(gè)人,屬于個(gè)人信息。
在互聯(lián)網(wǎng)廣告聯(lián)盟生態(tài)鏈中,IMEI碼是一個(gè)核心要素。一個(gè)IMEI碼就可以在廣告聯(lián)盟間追蹤用戶的標(biāo)簽,互聯(lián)網(wǎng)巨頭利用龐大的生態(tài)圈收集各種類型的原始數(shù)據(jù),為用戶打上標(biāo)簽,最終形成一張全面精準(zhǔn)的用戶畫像,幫助廣告主精準(zhǔn)匹配目標(biāo)用戶。
如果IMEI碼也被定義為個(gè)人信息,根據(jù)《規(guī)定》,5月1日后,39類App都不得采集該信息。
“《規(guī)定》實(shí)施后,App在此前已經(jīng)收集到的信息理應(yīng)刪除,但實(shí)踐中不會(huì)有廠商這么做,他們還有可能拿著已經(jīng)收集到的信息去匹配其他信息給用戶畫像。不過,一旦這種行為被發(fā)現(xiàn),將會(huì)受到相應(yīng)的懲罰。”游云庭說。
“實(shí)際上,在《通知》出臺(tái)前,手機(jī)里的App早已獲取到了IMEI碼,存量市場(chǎng)的用戶畫像早已被利用?!锻ㄖ烦雠_(tái)后,對(duì)00后、10后的用戶畫像會(huì)得到克制。但《通知》并未提及此前被App收集到的用戶信息應(yīng)當(dāng)如何處理,用戶主動(dòng)搜索行為產(chǎn)生的畫像還是無法約束。”曲子龍說。
目前國(guó)家正在加緊制定出臺(tái)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》,《個(gè)人信息保護(hù)法》草案已提請(qǐng)全國(guó)人大常委會(huì)審議,對(duì)于個(gè)人信息的定義有望更加準(zhǔn)確界定。
小程序也在約束范圍之內(nèi)
另外,《通知》特別提到,“App包括移動(dòng)智能終端預(yù)置、下載安裝的應(yīng)用軟件,基于應(yīng)用軟件開放平臺(tái)接口開發(fā)的、用戶無需安裝即可使用的小程序”,這意味著小程序也被納入監(jiān)管。5月1日起,任何組織和個(gè)人發(fā)現(xiàn)違反本規(guī)定行為的,可以向相關(guān)部門舉報(bào)以維護(hù)自身權(quán)益。
不久前,《IT時(shí)報(bào)》曾報(bào)道,滬上不少餐廳要求用戶掃碼點(diǎn)餐之前,必須授權(quán)微信頭像、手機(jī)號(hào)碼,有的甚至要求成為會(huì)員才能點(diǎn)餐,根據(jù)最小必要性原則,也屬于過度索權(quán)。
根據(jù)騰訊微信團(tuán)隊(duì)公號(hào)信息,2021年4月13日后發(fā)布的小程序新版本,將無法獲取用戶個(gè)人信息(頭像、昵稱、性別與地區(qū)),而是直接獲取匿名數(shù)據(jù),以此解決以往有些小程序總是要用戶授權(quán)信息才能使用的問題。
4月6日,工業(yè)和信息化部信息通信管理局發(fā)布了《關(guān)于下架侵害用戶權(quán)益APP名單的通報(bào)》,針對(duì)3月11日通報(bào)的136家存在侵害用戶權(quán)益行為App企業(yè)的名單,經(jīng)核查復(fù)驗(yàn),發(fā)現(xiàn)共有60款A(yù)pp未按照要求完成整改,并對(duì)上述60款A(yù)pp進(jìn)行下架處理。
記者在手機(jī)應(yīng)用商場(chǎng)隨機(jī)選擇了幾款A(yù)pp搜索發(fā)現(xiàn),降溫寶、美圖證件照等App已經(jīng)下線,天天果園、萌龍大亂斗、8684實(shí)時(shí)公交等App已經(jīng)恢復(fù)上線。
4月8日,記者分別聯(lián)系了淘寶、微信、京東、抖音等平臺(tái)咨詢5月1日后是否會(huì)調(diào)整版本,淘寶客服表示,目前尚未收到相關(guān)技術(shù)方面的公告,截至發(fā)稿前,其余平臺(tái)暫未回應(yīng)。
來源:IT時(shí)報(bào)