【強制定位、偷聽、蒐集隱私資訊,APP們到底要做什麼?】
轉自:計算機與網路安全(ID:Computer-network)
你的手機瀏覽器可能在偷聽
有網友發現自己使用情趣用品時被錄音
南都記者 娜迪婭 馮群星 蔣琳 申鵬 李玲 實習生 尤一煒
安卓應用市場亂象調查
手機桌布能讀你的通訊錄
瀏覽器可能隨時給你錄音
“手機APP好像會在情趣用品開啟時一直錄音。”
今年11月初,網友“tydoctor”在美國著名的社交新聞網站Reddit上曝光了這一訊息。他說,自己在準備重置手機時發現了儲存在該應用資料夾內的一條音訊,“時間長達6分鐘,就是上一次我用這個應用遙控情趣用品的時候錄的。”
tydoctor還寫道,該應用獲取了使用麥克風和照相機的許可權,但他以為這些許可權僅用於應用內建的語音訊息傳送功能。“在任何時候,我都不希望應用錄下我使用情趣用品的全過程。”tydoctor流露出忿忿的情緒。
值得注意的是,tydoctor 所使用的是安卓手機系統,而這一事故,也使得安卓應用存在已久的過度授權、許可權濫用問題再次浮出水面。不少網友紛紛跟帖表示,曾有類似的遭遇。
“很多手機應用都會在未授權的情況下錄音。”
“另一家情趣用品廠商也出過類似的事情,把使用者的使用習慣等資料上傳到伺服器。”
如果你以為這隻發生在國外,或只在情趣用品APP中存在,那你可能太樂觀。
早在2014年,央視《每週質量報告》就曝光過大量安卓手機應用在安裝時需要開放通訊錄、地理位置等許可權,從而嚴重威脅使用者隱私安全的情況。彼時有業內人士分析,這一現象的背後是販賣隱私資訊的利益鏈已形成,不法手機應用廠商通過手機許可權獲得使用者的隱私資訊後再轉賣,從而獲得不菲的灰色收入。
日前,南都記者通過調查和技術測試發現,幾年過去,上述問題並沒有得到解決,反而由於網際網路對大資料的需求升級,變得更為混亂。
可用手機遙控的情趣用品 APP 竟然偷錄使用者的私房事
50款APP,僅2款只收集必要許可權
在各類安卓應用中,遊戲一直是安全問題高發區。360聯合DCCI釋出的《2016年中國手機安全生態報告》顯示,2015年,測試樣本中94.5%的遊戲應用都會獲取讀取位置資訊的許可權;89.1%能夠讀取使用者簡訊,93.6%能夠讀取通訊錄,雖然這些資料在2016年有所下降,但其中多項數值仍高於非遊戲類APP。
這份報告同時指出,獲取手機通訊錄、簡訊、通話記錄、位置資訊等都被視為讀取使用者核心與重要隱私的行為,它們較讀取WIFI、藍芽等裝置資訊更加危險,使用者應給予重點關注。事實上,絕大部分安卓使用者沒有注意到這一點,遭受經濟損失的案例時有發生。
2014年,寧波市警方曾破獲一起案件,3名犯罪嫌疑人用技術手段竊得遊戲使用者小顧在遊戲應用上註冊的名字、身份證號、手機號碼等資訊,隨後利用這些資訊辦理假身份證,並用假身份證去通訊營業廳掛失小顧的手機號並補辦新卡,最後再用這張新的手機卡重新設定小顧在網路遊戲中的密碼,將價值20多萬的遊戲幣竊走。
小顧的案例並非孤例,為了調查安卓應用越界獲取隱私許可權的情況,南都記者以今年大熱的王者榮耀為例,選取了華為應用市場、應用寶、百度手機助手、360手機助手、豌豆莢、小米應用商店內6款常用安卓應用市場,按照搜尋“王者榮耀”關鍵詞排名前後的順序,選取了50款王者榮耀周邊應用作為考察物件。
需要注意的是,王者榮耀周邊並不是指王者榮耀官方遊戲本身,而是指王者榮耀遊戲風靡後,其他應用商就此主題開發的各種遊戲相關的輔助或擴充套件類應用,例如助手、桌布等等。它們通常會由於遊戲的熱門下載量巨大。
南都記者首先檢視了50款APP在應用商店簡介中的許可權列表。在安卓系統的應用商店中,通常要求應用開發者填寫“許可權列表”,使用者在下載前很易檢視。
應用下載頁面的許可權說明
令人擔憂的是,一些開發者在簡介中就堂而皇之地列出了大量不會使用到的“越界”許可權,包括使用錄音與攝像頭,讀取手機通訊錄、簡訊,甚至獲取你精確的地理位置。
在南都記者選取的50款APP中,應用簡介列出的許可權總集大致有28個,包括拍攝照片和視訊、讀取通訊錄、讀取/傳送簡訊、錄音、獲取精確位置、修改SD卡中的內容等。
依據APP的自身功能,南都記者把這些許可權標記為“核心”、“可選”和“越界”三種。
“核心”許可權是指不獲取就無法正常使用APP核心功能的許可權,例如視訊類APP需要調節音量大小;
“可選”許可權是指即使使用者拒絕授權,也不影響使用APP核心功能的許可權,但這些許可權可能在APP的非核心功能中會使用;
“越界”則指APP沒有必要獲取的許可權,例如主題桌布類APP要求讀取使用者通話記錄。
根據APP的型別不同,它們的“核心”許可權也有所差異。
助手類和論壇類APP主要為王者玩家提供攻略、視訊等資訊,實現核心功能基本無需獲取使用者隱私;主題類APP主要提供下載皮膚、桌布等功能,核心許可權可能包括將圖片儲存在 SD 卡中;視訊類APP則必須要有更改音訊設定的許可權; 瀏覽器類APP的核心功能是搜尋,無需獲取使用者隱私。
50個APP覆蓋了28個隱私相關許可權,但必不可少的“核心”許可權不多。
南都記者統計的結果顯示,50款APP中,僅有2款APP列出的許可權都是“核心”許可權,卻有5款APP所列出的所有許可權均 “越界”。 其他APP則或多或少都要求獲取“越界”或“可選”的許可權,其中23個APP的“越界”許可權佔比超過50%。
有瀏覽器可隨時隨地給使用者錄音
這些“越界”的許可權是哪些?
以“王者榮耀攻略”為例,該APP由呂元飛開發,提供遊戲相關圖片和視訊,基本只有展示功能,但它要求獲取修改系統設定、地理位置、檢視手機狀態和身份等明顯與核心業務不相關的功能。
圓圓是一名王者榮耀玩家,她告訴南都記者,自己下載“王者榮耀攻略”就是想看看攻略,學習怎麼把遊戲打得更好,並未留意會收集自己哪些資訊。“一般APP如果收集位置資訊不是會提示麼,我沒有收到提示哎。而且這個APP顯示通過安全檢測,就沒有看過其他的了”,圓圓說。
事實上,多數使用者都與圓圓一樣,對於應用普遍存在獲取 “越界”許可權的問題並不注意。
在記者檢視的50款APP中,最嚴重的當屬“獲取精確位置”許可權,有29個無相關功能的APP要求獲取,匪夷所思的是,其中還包含不少主題類和視訊類APP。
19個APP擁有“讀取通訊錄”的許可權,其中也不乏只有幾張圖片的主題桌布類應用。
這些許可權無一例外與APP的核心功能毫不相關,卻與使用者隱私有著密不可分的關係。
位置資訊可以用來勾勒出使用者的行動範圍和路線,從而精確定位到個人;通訊錄則包含了他人的電話號碼,一旦授權獲取並被用於商業目的,將對自己和他人都造成困擾。
南都記者此前就報導過,一些社交應用強制要求使用者在註冊時開放通訊錄許可權,並利用獲取到的聯絡人資訊傳送推廣簡訊,很多人不勝其擾。
一些應用強制獲取使用者的聯絡人資料並群發廣告簡訊
還有更“奇葩”的。豌豆莢裡的“王者榮耀瀏覽器”被安裝到手機之後,除了拍照、位置資訊的許可權,它還要求使用者開放錄音許可權。也就是說,一個瀏覽器也可以隨時對你錄音。
據安卓市場官方簡介,“王者榮耀瀏覽器”由“廣州掌闊資訊科技有限公司”開發,公司地址為廣州市天河區黃村大道自編98號。
南都記者根據地址找到這家公司。雖然正值工作時間,但僅數平米的辦公室內僅擺放了一張桌子,沒有一個辦公人員。類似這樣的“公司”,在同一樓層還有至少30間,都是門上貼著公司的名字,”辦公室”裡卻非常狹窄,大部分連一張桌子都沒有,更沒有一位員工,並不像有人辦公的正規公司地址。
此外,南都記者也試圖通過電話與公司聯絡,聽聞是記者,對方立即結束通話了電話並不再接聽。
工作日,廣州掌闊資訊科技有限公司門口
申請讀取的許可權 與通知你的可能不同
如果說應用商店簡介中列出的許可權已令人擔憂,APP真正獲取的許可權許可就可謂觸目驚心。
一款APP中,除了應用商店簡介,通常還能從另外三處檢視到獲取許可權列表:第一處,是安裝應用時(或首次開啟時)跳出的許可權列表,使用者直接可見。但南都記者隨機採訪了20名安卓手機使用者,其中19人都表示從來不會仔細看這個列表,“太長了,不會認真看。”
第二處是安裝包中的xml檔案。網路上的安全測試平臺多可測試出這一列表中的許可權,它相當於列明瞭一款應用“向安卓系統申請允許讀取使用者哪些許可權”
“這雖然不代表應用一定會讀取列表中許可權關聯的各項隱私,但通俗地說,這像是拿到了開啟你家門的鑰匙。”愛加密科技有限公司工作人員蕭何向南都記者介紹。
而第三處,則是程式中與敏感許可權相關的程式碼行,北京大學軟體安全小組組長張漢與蕭何均向南都記者介紹,程式碼行中出現的許可權相關命令可以認為只要條件合適就會開始讀取使用者相關許可權,與實際的行為幾乎等同。
據此,南都記者以感融網際網路金融服務有限公司的“王者榮耀視訊網”(百度手機助手下載)為例進行了更加詳細的測試。
在北京大學軟體安全小組、北京郵電大學軟體學院與愛加密科技有限公司技術幫助下,南都記者將這款應用上述四處的許可權一一列出對比:
王者榮耀視訊網明示與實際許可權的對比
在上圖中,王者榮耀視訊網在簡介中稱只會讀取使用者6項許可權,但安裝時彈出的提示中則列出了20項許可權,在安裝包中至少向安卓系統申請了21項許可權的許可。技術人員則從其程式碼中又發現了“獲取手機IMEI編號”與“網路下載”等10項敏感函式。
這意味著,一個APP程式碼中寫入的隱私獲取命令與申請讀取的許可權不同,申請讀取的許可權與通知使用者的不同,通知使用者的與簡介中的也不相同。
可以說,一個使用者想確切獲知一款應用究竟獲取了自己哪些許可權,十分困難。
越權背後,商業利益“不要白不要”
退一步說,即使獲得了完全的許可權列表,使用者就能做出有利於自己的選擇嗎?
答案是否定的。正如開篇的例子中,使用者同意APP開啟麥克風,以為只是用於傳送語音,誰知會卻被錄音。
一位從事安卓手機開發的技術人員告訴南都記者,實際上獲取大部分使用者隱私資訊並不用來完成應用某項功能,而是用於進行未來業務規劃。
“比如說拿到使用者的位置,就知道自己的使用者在哪個省份比較活躍,未來如果公司想開線下實體店,就會優先選擇某些省份;而拿到使用者的通訊錄,主要是為了社交聯絡,推薦你通訊錄裡的好友也來使用同一產品”。上述技術人員表示。
對於這一現象,360安全專家劉洋告訴南都記者,開發者獲取使用者隱私資訊大多是為了營銷和推廣。“推送精準的廣告需要對人群精準的鎖定:會用我產品的人是男是女?收入什麼水平?手機裡都有哪些應用?……這些人群的描摹工作都是通過大量的使用者資料完成的。”
值得注意的是,一些應用在開發過程中還會將其中一些功能模組交給第三方來實現,如接入一個雲服務的模組、插入一個流量統計的模組等等,這些第三方公司也同樣可以從應用中獲取使用者許可權。
“第三方的功能也不一定需要這些許可權,但既然開了這個埠給我,大家的想法就是不要白不要……”前文中的技術人員表示。
可見,大多數隱私資訊的獲取實際上並非為了方便使用者,而是有利於應用開發方的商業利益。
根據今年6月1日施行的《網路安全法》第41條規定,網路運營者不得收集與其提供的服務無關的個人資訊。實際上,上述行為已經違反了法律的相關規定。
如此輕巧地獲取與使用使用者的隱私許可權,對應的現實卻是安卓令人擔憂的安全現狀。據相關報告顯示,幾乎所有的安卓手機與應用都存在大大小小的漏洞,一旦被攻破,使用者的隱私便會“裸奔”。
以讀取簡訊的許可權為例,劉洋告訴南都記者,對使用者來說,它主要的作用是收到驗證碼時懶得手動複製,需要程式自動填入時會用到,此外,還可以方便儲存簡訊的內容到應用中。
大多數使用者並未意識到,簡訊內有收取驗證碼、銀行餘額資訊等個人隱私,安全意義重大。
如若不小心安裝了簡訊攔截木馬,就會讀取手機中的簡訊內容,後臺自動回傳到木馬製作者指定的郵箱或手機上,這不但會使更多的騷擾電話跟隨你,還可能有不法分子利用攔截到的簡訊驗證碼,登入支付平臺,電商網站進行盜刷。更有耐心的犯罪分子,會通過非法渠道購買到銀行卡賬號、交易密碼、身份證等資訊,進入網上銀行,進行直接轉賬,甚至幫受害者申請幾筆小額貸款。
據360公司2017年第一季度資料統計,今年新增的簡訊攔截馬惡意程式就有56762個,在隱私竊取類的惡意程式中佔了近1/3,共感染了675761部手機。
因此,使用者即使能夠看到許可權列表,但不能清晰地知曉這些許可權會帶來的影響,這種“知情”意義有限,付出的代價卻是巨大的。
安卓原生系統多被修改 “明示同意”難實現
“知情”尚且如此困難,“同意”似乎更無從談起。
2017年6月1日起正式實施的《網路安全法》第二十二條規定:
網路產品、服務具有收集使用者資訊功能的,其提供者應當向使用者明示並取得同意。
然而,南都記者發現,除了常見的開啟相機、定位、麥克風彈窗提示外,很少有APP會明示告知使用者將獲取其它許可權,並主動彈出視窗獲取使用者同意。
既然《網路安全法》規定,獲取使用者資訊需要“明示同意”後才能得到許可權,安卓應用市場為何不能規範應用對許可權的獲取行為並提供“明示同意”服務?
實際上,安卓系統早已注意到這一點。2015年5月,安卓推出6.0系統。在此之前,安裝應用時跳出的許可權只有一個列表,要麼通通同意,點選“安裝”,要麼拒絕全部,直接“取消”。這實際上是一種形式化的“明示同意”,使用者並沒有真正選擇權。
為了改變這一現狀,安卓6.0及以上的版本將許可權分為兩類:一類是普通許可權,不涉及使用者隱私,不需要進行授權,比如手機震動、訪問網路等;另一類是危險許可權,涉及到使用者隱私,在使用時需要用到此功能時進行彈窗提醒使用者授權。
這一更新無疑很好地規範了許可權獲取與“明示同意”的應用行為。
然而,南都記者試用發現,大陸常用的安卓手機大都不使用安卓原生系統,而是對安卓系統進行了改寫。例如,華為手機在下載華為應用市場中的應用時並不會跳出授權彈窗,小米手機也對從小米應用市場中下載的應用進行了“豁免”。
“手機廠商會根據自己的需要對系統進行改寫,他們會自己編寫想要的許可權明示方式”,劉洋對南都記者說。
由於手機原生應用市場會對上架應用進行安全檢查,因此豁免手機原生應用市場的應用並不是最令人擔心的。
更可怕的是,南都記者嘗試用系統已經更新的魅族手機下載了百度手機助手,並在助手中下載了“王者榮耀論壇”,在安裝時,系統彈出許可權列表,並允許使用者逐項選擇“開啟”、“關閉”或是“使用時詢問”,做到了明示同意。
在列表中,南都記者對攝像頭、音訊等功能點選了“使用時詢問”選項。隨後,南都記者開啟應用,試圖拍攝一張照片併發布,但卻發現系統沒有跳出詢問彈窗便直接使用了拍照功能。這意味著,安裝時使用者的授權形同虛設,應用繞過授權獲取了使用者的相機許可權。
事實證明,不同手機廠商,不同應用商店都會根據自己的需求對於許可權授予做出改變,使用者面對的依然是一個雜亂而無法掌握的安卓許可權獲取現狀。
關閉定位就不讓用微信
APP們你們要那麼多隱私資訊做什麼
南都記者 馮群星 實習生 尤一煒
“只是個手機輸入法,為什麼要知曉我的地理位置,還要讀取我的通訊錄?”使用國內某大廠安卓手機的小張(化名),覺得好像有哪裡不對,但最終還是選擇了安裝。“流行的輸入法就那麼幾個,也沒得選啊。”
很多人表示,跟小張有同樣的疑問:明明看上去沒有相應的功能,為啥要一股腦兒地獲取拍照、地理位置、手機聯絡人等大量涉及隱私的許可權?
允許應用訪問照相機嗎?
“同事欠錢人家打電話給我,我說不認識,對面的客服居然說我們半年前通過電話。個人隱私這玩意真心存在?”“我一直很納悶,為什麼我在使用某C瀏覽器的時候,一開啟首頁,全是我在淘寶瀏覽過的商品廣告”——在南都官方微訊號(nddaily)下,讀者們紛紛吐槽不爽經歷。
南都記者進一步調查發現,應用獲取這些許可權,除了用於自己的核心功能,還可以構建“使用者畫像”,再以此為基礎進行精準營銷。對使用者來說,不起眼的許可權之下,暗含個人隱私洩露的巨大風險。
國產APP常態:徵求同意變強制同意,不同意就閃退
依據“是否會對使用者隱私或裝置操作造成很大風險”,安卓系統許可權分為正常許可權和危險許可權。如果會危及使用者隱私,就屬於危險許可權。目前,安卓官網上列出了九組共26個危險許可權,包括訪問照相機、讀取聯絡人、獲取地理位置、錄音等。
為了保障使用者的資料安全,安卓6.0版本以上系統已強制規定,涉及到使用者隱私的危險許可權,應用必須通過系統給使用者明確提醒,並獲得使用者的明確授權。但是,大量應用通過一些“神奇”的操作,令這樣的規定形同虛設。
“前幾天第一次用華為V10安裝微信時說同意獲取地理位置或禁止,想當然地點了禁止,然後只能強制退出安裝??!!那這是徵求我的同意嗎?這是強制我同意好不!”南都微信熱心網友糖糖氣憤地對南都記者說。
閃退視訊
禁止部分許可權後,無法正常使用APP
記者使用華為(Mate9,安卓版本為7.0)、魅族(MX4,安卓版本為5.1)、 小米MI 6(安卓版本為7.0)、一加3T(安卓版本為7.1.1)、iPhone 7 Plus(iOS版本為11.1.2)四款不同的手機親測發現:
在華為、小米和一加手機上,關閉微信的地理位置授權,微信直接閃退,必須去系統中重新授權才能開啟微信。
在小米6上拒絕微信的地理位置授權後,開啟微信便看到這樣的提示
但是,在魅族中關閉微信地理位置授權的狀態下,南都記者釋出一條朋友圈,點選“所在位置”後,仍彈出一串位置列表,明確顯示為記者所在的位置及附近地址。
而在iPhone7 plus中進行同樣操作,位置列表則顯示為空白狀態。對此,技術人員提醒,不只是位置許可權能夠讀取位置資訊,通過Wi-Fi也能夠讀取位置資訊。
在魅族上的測試視訊
關閉定位許可權的操作約從0:30處開始
朋友圈依然正常定位約從4:20處開始
之所以選擇微信作為測試案例,是因為微信在隱私政策中有明確承諾:
使用者拒絕提供地理位置資訊或是通訊錄資訊,只會影響相關功能的使用,不影響使用者正常使用微信的其他功能。
可見,國內使用者究竟是否有選擇權,是由應用本身設定與手機廠商設定共同決定的。
當南都記者拒絕微信讀取位置時,被測蘋果上的微信不會繼續讀取且可以使用其他功能,被測華為、小米、一加出現了閃退、無法使用的狀況,被測的魅族仍然能夠對使用者定位。
微信APP並非孤例。南都記者發現,在申請授權時,大多數應用僅是簡單地羅列了事,根本沒有說明哪些功能與危險許可權有關。更有大量應用,霸道地“不同意就不給安裝”。無奈之下,許多人只能同意應用的預設設定。
安卓系統之所以建立授權機制,就是為了更好地保障使用者的使用安全。徵求同意變強制同意的現狀,其實與授權機制的初衷背道而馳。
獲取危險許可權有啥用?大量應用沒說明
“如果選擇拒絕,即使安裝成功也用不了,會不停地要求你開啟那些許可權”,網友“貓取”說,有的應用明明不需要通訊、定位功能卻不停提示授權,“很變態”。“每次看到許可權裡還有關於聯絡人、通訊錄的,就覺得很不安全,覺得有必要嗎?”網友“Snail” 說。
應用獲取危險許可權卻不說明相關功能,難免讓使用者生出“是否真的必要”的疑問。就此,多名安卓領域從業者表示,同一許可權在不同型別的應用上有不同的用途,具體要看應用的業務是什麼。
以九組危險許可權中的聯絡人相關許可權為例,社交類應用可藉此檢視使用者的哪些聯絡人在使用同一應用,以便為使用者推薦好友。
安卓原生系統規定的危險許可權
地理位置許可權:
地圖類、生活服務類應用需要獲取,以提供導航、定位服務。
錄音許可權:
常見於有語音聊天功能的社交類應用或是需要錄製視訊的相機類應用。
手機相關許可權是危險許可權中的一個大組,內含讀取手機狀態和身份、直接撥打電話、讀取通話記錄、檢視在撥出電話期間撥打的號碼等多個許可權。據瞭解,讀取手機狀態和身份主要指的是獲取手機的 IMEI 碼,這是一串全球唯一的識別碼,它就像手機的身份證,可用來統計某一應用的使用人數。基本上所有型別的應用都會獲取這一許可權。
直接撥打電話許可權:
在許多型別的應用中都會出現,它使得使用者可以在應用內撥打電話,不用特意轉入通訊錄介面。
簡訊許可權:
包括髮送、接收和讀取簡訊的許可權。據瞭解,讀取簡訊通常是為了幫助使用者填寫登入驗證碼。此外,一些防毒類應用具有攔截惡意簡訊的功能,也需要讀取簡訊。
訪問照相機許可權:
一般是因為應用本身就是攝影類軟體,或有掃描二維碼的功能。
然而,除非諮詢專業人士,普通人很難知曉以上資訊。南都記者在網上檢索了多款安卓應用,只發現一款應用對危險許可權做了詳細說明。以聯絡人資料許可權為例,該應用既在說明中寫了許可權的用途(“讓您可以更容易與您的朋友,家人或同事共享”),也交待了資料的訪問和儲存方式(“在一般情況下,我們並不會儲存您的聯絡人或他們的詳細資訊到我們的伺服器”)。
危險許可權相關資料 可用於構建使用者畫像
“即便應用要求獲得某項授權,也不意味著它在實際執行中使用了這一許可權。有些應用有‘偷資料’的嫌疑。但也不排除一小部分粗心的開發者忘記刪除。”安卓工程師嶽鵬飛說。
南都記者發現,現如今各種應用都會增加社交、定位、掃描二維碼等功能,看起來也確實需要獲取相關許可權。值得注意的是,地理位置許可權能讓應用基於地理位置推薦周邊營銷資訊,為企業帶來廣告收入。而許多現金貸類應用都會強制要求讀取使用者的聯絡人資料。
要求讀取聯絡人和精確位置的現金貸類應用
“企業獲取的資料越多,就越能夠形成使用者畫像,進行精準營銷。企業未必濫用這些資料,但有濫用的可能性。”獵豹移動高階產品經理徐暘認為,在大量授權已成常態的情況下,使用者的資料安全,主要得看企業自覺。
所謂使用者畫像,是根據使用者的生活習慣、消費行為等資訊抽象出的標籤化的使用者模型。使用者畫像建立在一系列真實資料的基礎上,通常包括姓名、年齡、家庭狀況、工作、收入、喜好等要素。手機作為人體的“新器官”時刻記錄著人們的生活,手機中的資料於是成為使用者畫像的最佳土壤。
你的資料正源源不斷地被收集
許多人並不清楚的是,自己在手機上看似簡單的幾個授權動作,已經將自己的隱私資料置於隨時隨地可被收集的狀態下。
以讀取手機狀態和身份為例,一位業內人士告訴南都記者,如今許多推廣企業都會在公共場所使用 “WiFi探針”技術,一旦有使用者經過,即便使用者沒有聯網,探針也能探測到使用者手機上所有獲得該授權的應用。這些資料都會進入企業的使用者畫像資料庫。
危險許可權可被惡意劫持 還曾導致使用者裸照洩露
據媒體報導,早在2012年,復旦大學計算機學院教授王曉陽就做過統計,330款熱門應用程式中,超過八成要求過度授權,近六成造成使用者隱私洩露。他特別指出,一些分開看似乎合理的許可權,合在一起用也可能產生問題。就拿輸入法來說,要讀通訊錄和簡訊,也要上網更新詞庫。但是它會不會把通訊錄讀下來以後,通過網上送出去?
近年來,危險許可權導致的惡性事件更是不時見諸報端。2015年出現過一款偽裝成色情播放器的應用,在使用者使用過程中悄悄使用裝置的前置攝像頭拍攝使用者的裸照並將裸照上傳到指定的遠端伺服器,以此向使用者索要500美元贖金。
該應用會鎖死手機,索要500美元贖金
事實上,危險許可權的開放不僅給使用者帶來了風險,也極有可能給應用開發者帶來惡劣影響。今年有一款叫做SpyDealer的惡意應用被曝光,該應用可劫持手機內有最高管理許可權的應用,從而獲得大量危險許可權。需要注意的是,技術人員稱,這已經不是惡意應用第一次藉助root 工具應用獲取root訪問許可權。
也就是說,一些有諸多危險許可權的應用自己本身是遵紀守法的“好人”,但它們手握的許可權有可能被“壞人”,即SpyDealer 這樣的惡意應用搶去幹壞事。SpyDealer不僅能夠對電話進行錄音,還能記錄裝置周邊的語音對話。包括微信、新浪微博、手機QQ和淘寶在內的超過40個應用程式的資料,都可以被它攔截。
SpyDealer 感染例項
國內特殊情況加劇授權複雜性 監管長期缺失
鑑於許可權開放的潛在風險,安卓系統在這方面的管理日益收緊。在安卓6.0以上版本的原生系統中,應用中的每一項危險許可權都必須單獨獲得使用者授權。但國內的手機廠商往往在原生系統基礎上結合自家手機特性開發出定製化的系統,由此衍生出不同的許可權分類與管理規則,原生系統的監管辦法很難完全貫徹。
至於應用商店方面,國內的商店一般都有稽核機制,要求開發者對某些看起來與功能不相關的危險許可權作出說明。然而,安卓應用數量巨大,實際操作中難免有漏網之魚。舉例來說,如果一款索要了過多危險許可權的應用同時在多個應用商店內釋出,A 應用商店可能會要求它下架整改,B 應用商店卻可能為它大開綠燈。
多名安卓開發者告訴南都記者,目前除了手機廠商和應用商店外,並沒有明確的監管機構對危險許可權進行管理和限制。
“如果政府或者大企業出面,建立類似的應用信用體系,應該是個不錯的選擇。但是就現在的情況看,嚴格授權對企業來說沒什麼好處,所以大家的精力都不在這個上面。”一位安卓工程師說。
推薦閱讀:
個人資料網上“裸奔”,使用者資訊被過度搜集,安裝app時慎點“我同意”
關於最近一篇 "別再盯著我們看了" 92年女生致周鴻禕公開信事件,我想說點什麼!
不接受隱私條款就不能用App?全國人大常委會迴應......
手機APP洩露隱私,你還親手點了“同意”?安裝APP時別忘了這一步
App共享“生日”,別弄成隱私洩露工具
http://newspaper.jcrb.com/2017/20171227/20171227_006/20171227_006_2.htm
侵犯你隱私的不只是周鴻禕和360 還有許多人工智慧產品
http://itech.ifeng.com/44801570/news.shtml?&back
“手機百度”“百度瀏覽器”APP涉嫌監聽使用者電話,百度被起訴,南京中院已立案
百度迴應“涉侵犯使用者權益被起訴”:無能力、從不會監聽使用者
今日頭條“偷聽”手機通話?它否認了,但另一家巨頭已經因此被告…
獲取地理位置,讀取通訊錄、攝像頭、麥克風、簡訊……手機APP越界收集使用者個人資訊,合法嗎?
一款電商App,怎麼窺探使用者聊天記錄呢?使用者早已習慣裸奔
多款APP“越界”涉及隱私許可權 輸入法讀取位置資訊,來看看你都裝了多少
新華社:眾多APP“瘋狂”索取使用者資訊目的何在?
http://m.thepaper.cn/newsDetail_forward_1940830?from=timeline&isappinstalled=0
“酒店異性拼房”——居於陌生人社交的LBS應用都這麼汙嗎……
廣東摧毀多個App新型網路詐騙團伙 抓獲嫌疑人600餘人凍結涉案資金1億餘元
http://epaper.legaldaily.com.cn/fzrb/content/20180109/Articel08002GN.htm
小心!它能鑽進手機偷資訊
http://rmfyb.chinacourt.org/paper/html/2018-01/11/content_134207.htm?div=-1
相關文章
- 你的隱私安全嗎:Cookie到底是什麼?Cookie
- 瓴羊隱私計算產品的定位是什麼?
- 隱私計算是什麼
- 是什麼能讓 APP 快速精準定位到我們的位置?APP
- 定位是什麼,元素怎麼顯示隱藏
- 我們工作到底為了什麼
- 到底cms企業建站系統是什麼?為什麼要做cms系統?
- APP隱私合規檢測:APP
- 蜂行動App隱私策略APP
- 天天說要做效能優化,到底在優化什麼?優化
- 快訊:蘋果iOS6將強制執行嚴格隱私保護蘋果iOS
- 兜底機制——leader到底做了什麼?
- 企業隱私策略脫節:無法有效保護隱私——資訊圖
- 為什麼他們還在用 iPod 聽歌?
- 央視:這122個APP趕緊刪除!偷資訊偷錢APP
- iOS 運動合肥APP隱私政策iOSAPP
- App Store 隱私政策網址(URL)APP
- iOS 普陀大學堂APP隱私政策iOSAPP
- 真氣APPiOS隱私策略APPiOS
- 為什麼我們要做三份 Webpack 配置檔案Web
- 什麼是垃圾蒐集(GC)?為什麼要有GC呢?GC
- App Store下架10.2w款App,8日起上架App需提交更多隱私資訊APP
- iOS 我要運動APP隱私政策iOSAPP
- [譯] 我經常聽到的 GraphQL 到底是什麼?
- 我們為什麼要做一名系統管理員?
- 我為什麼要做IT
- 網付資訊:為什麼要做收款碼代理?又要怎麼申請?
- 清除 GitHub 歷史記錄的隱私資訊Github
- AI時代,我們到底需要什麼樣的“大腦”AI
- 轉:我們到底為了什麼鑽研技術?
- 從[] == ![] 看隱式強制轉換機制
- VR對老牌遊戲廠商做了什麼 他們到底在恐慌什麼VR遊戲
- Tweet資訊蒐集工具tinfoleak
- 復旦大學:保險App使用者隱私與個人資訊保護的若干隱患研究報告APP
- 最新訊息:App Store已提供App隱私標籤APP
- 大資料面前無隱私 到底誰才是老大哥大資料
- 為什麼Windows的相容性這麼強大,到底用了什麼技術?Windows
- 雲應用程式如何加強隱私保護