不給說“不”的權(quán)利,App強制索權(quán)遭詬病
在測評中,南都記者還發(fā)現(xiàn),部分移動金融App通過捆綁甚至強制獲取的方式,要求用戶一次性同意多項敏感權(quán)限。
以“融360”和“錢站”為例,當(dāng)使用華為手機(安卓版本8.0)在華為應(yīng)用商店下載安裝這兩款A(yù)pp時,頁面彈窗需要獲取用戶的以下權(quán)限:存儲、電話、位置信息、相機、麥克風(fēng)、通訊錄、信息、通話記錄、其他等九大類敏感權(quán)限,并要求用戶一攬子選擇“允許”或“取消”。
通過華為應(yīng)用商店安裝融360和錢站時出現(xiàn)的提示。
另一款名為“金信寶”的App捆綁索取的權(quán)限也較多,當(dāng)初次打開應(yīng)用時,要求獲得“存儲”權(quán)限并提示有版本更新,更新安裝后申請獲取用戶GPS信息、讀取通訊錄、拍攝照片和視頻等12項權(quán)限。
金信寶要求安裝新版本。
一旦點擊“取消”,用戶即無法正常安裝這款A(yù)pp。南都記者在測評中發(fā)現(xiàn),類似的問題至少出現(xiàn)在16款A(yù)pp內(nèi),其中近一半為移動金融類App。
另有部分App存在不同意授權(quán)個別權(quán)限,無法正常使用的情況。比如“LOHAS樂活”,如果用戶不同意授權(quán)攝像頭、錄音權(quán)限便會出現(xiàn)頻繁彈出,無法使用的情況,“新浪有借”在用戶初次打開App時要求獲得存儲、電話權(quán)限,拒絕后也出現(xiàn)無法打開的問題。
“不同意就退出”,不授予權(quán)限連打開App的可能都沒有,這實際上是一種變相的強迫同意。
上海市信息安全行業(yè)息會副主任張威告訴南都記者,Android 5.0應(yīng)用系統(tǒng)基本采用一攬子授權(quán)的方式,但隨著Android版本的升高,開始對權(quán)限的管理進行區(qū)分,獲取用戶敏感權(quán)限需經(jīng)過同意,但現(xiàn)階段仍有部分App存在這種打擦邊球的行為,模糊授權(quán)的界限。
根據(jù)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定,網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)當(dāng)遵循必要的原則,不得收集與其提供的服務(wù)無關(guān)的個人信息。南都記者關(guān)注到,今年2月,《個人信息安全規(guī)范》修訂草案中特別新增了“不得強迫收集個人信息的要求”。
App行為測試:用戶短信“老板該給我漲工資了”明文可見
在現(xiàn)實情況中,一款A(yù)pp在應(yīng)用商店或首次開啟后顯示申請的權(quán)限并不意味著實際只調(diào)取這些權(quán)限。對用戶而言,也很難知曉相關(guān)代碼是否被執(zhí)行,或者有無足夠必要性。
為此,除了考察被測App隱私政策透明度,用戶端實際操作行為合規(guī)外,在此次測評中,南都個人信息保護研究中心分別通過兩個途徑,利用技術(shù)手段對部分App的iOS客戶端和Android客戶端個人信息收集情況進行分析。這兩種渠道分別是利用“直節(jié)隱私合規(guī)助手”進行測評分析,以及聯(lián)合第三方測評機構(gòu)中國金融認證中心(CFCA)技術(shù)檢測手段進行分析。
根據(jù)中國金融認證中心(CFCA)的測試結(jié)果,Android版本號為3.4.6的“融360”存在如下問題:如果用第三方賬號登錄,App會將用戶第三方平臺上的社保與公積金查詢賬號密碼發(fā)送至己方的業(yè)務(wù)服務(wù)器,由后臺代為查詢,并且使用的是明文傳輸。
中國金融認證中心認為,如果明文傳輸,黑客很容易就能通過網(wǎng)絡(luò)嗅探和劫持的方法獲得這些信息,存在安全風(fēng)險。
測試結(jié)果顯示融360在后臺明文傳輸社保賬號。
另一款名為“榕樹貸款”的Android 3.3.3版本App,除了存在上述行為,還被檢測捕捉到應(yīng)用調(diào)用系統(tǒng)接口獲取通話記錄、聯(lián)系人信息、短信記錄等行為,并在數(shù)據(jù)流量中發(fā)現(xiàn)上送信息。在對“榕樹貸款”的短信記錄權(quán)限進行檢測時,類似“老板該給我漲工資了”的短信內(nèi)容明文可見。
測試結(jié)果顯示榕樹貸款獲取了用戶短信。
值得一提的是,檢測顯示,鐵友火車票在運行過程中會不斷獲取系統(tǒng)的剪切板內(nèi)容。
測試結(jié)果顯示鐵友火車票不斷獲取手機剪切板內(nèi)容。
此外,這款A(yù)pp還存在向第三方服務(wù)器明文傳輸用戶個人信息的行為。比如傳輸能夠標(biāo)記到個人的用戶與設(shè)備之間的綁定信息,在運行中不斷獲取的地理位置信息不僅上傳到自身服務(wù)器,還向數(shù)個第三方服務(wù)器發(fā)送,過程中包含其他隱私信息。
鐵友火車票存在向第三方服務(wù)器明文傳輸用戶的個人信息行為。
直節(jié)隱私合規(guī)助手的測試結(jié)果顯示,鐵友火車票App向系統(tǒng)申請了17個敏感權(quán)限,但安裝包里存在敏感權(quán)限相關(guān)的API調(diào)用(有使用可能)則有19個,其中,讀取短信、接收短信等敏感權(quán)限是App中未申請但調(diào)用API的相關(guān)權(quán)限。這意味著,這款A(yù)pp自身或者集成的第三方工具包代碼中存在冗余代碼。冗余代碼具備在App版本更新時,在用戶不知情的情況下調(diào)用敏感權(quán)限的可能。
鐵友火車票獲取多項敏感權(quán)限。
此外,直節(jié)隱私合規(guī)助手測評結(jié)果顯示,一些App會使用大量的SDK(軟件開發(fā)工具包,可以理解為一種植入App的第三方工具包),這些SDK也會獲取使用權(quán)限,例如鐵友火車票App嵌入了56款SDK,融360也嵌入了49款SDK。不少SDK需要獲取用戶的網(wǎng)絡(luò)連接、精確地理位置、手機狀態(tài)與身份等用戶信息。
鐵友火車票A嵌入56款SDK。
融360嵌入49款SDK。
專家指出,獲取權(quán)限首先應(yīng)該符合必要性原則,即與一定的場景與功能相關(guān),沒有該項權(quán)限這一功能無法實現(xiàn);其次應(yīng)該獲取用戶的知情同意。但第三方SDK獲取的權(quán)限往往不會在一款A(yù)pp的隱私政策中提及,更不用說告知用戶具體使用的場景和功能,因此很難說已經(jīng)獲取了用戶的同意。
如何破解一攬子授權(quán)?專家意見不一
不難理解,在經(jīng)濟利益的驅(qū)使下,網(wǎng)絡(luò)運營者有著天然的沖動最大限度地收集個人信息。
“對廠商來講,能拿到的用戶信息越多越好,這有利于分析用戶的使用習(xí)慣。而知道了用戶習(xí)慣就能更好地推送產(chǎn)品。”中國網(wǎng)絡(luò)空間安全人才教育聯(lián)盟秘書長,廣州大學(xué)魯輝副研究員告訴南都記者,“但是絕對不能以犧牲用戶的隱私為前提。”
“從根本上說,這些為了占有更多數(shù)據(jù)的不合理的權(quán)限申請是對消費者基本權(quán)益的嚴重侵害,也是壟斷和不正當(dāng)競爭無限孵化的溫床。”南京信息工程大學(xué)法政學(xué)院教授蔣潔直言。
如何打破一攬子授權(quán),解決App過度收集個人信息的問題?有觀點認為,應(yīng)對App調(diào)用的權(quán)限進行動態(tài)的單獨授權(quán),以達到用戶信息最小化授權(quán)的效果。
南都記者注意到,這也是此次《個人信息安全規(guī)范》修訂草案提出的新方案,即當(dāng)產(chǎn)品或服務(wù)提供多項需收集個人信息的業(yè)務(wù)功能時,平臺不得違背用戶的自主意愿,強迫用戶接受信息收集請求,不得通過捆綁各項業(yè)務(wù)功能的方式,要求個人信息主體一次性接受并授權(quán)同意各項業(yè)務(wù)功能收集個人信息的請求。
如何理解?魯輝對南都記者解釋,以某些需要身份識別的App為例,用戶在App上辦理業(yè)務(wù)時,需要用戶的人臉信息或者語音信息,這時就需要獲得手機的拍照和錄音權(quán)限。這個聽起來是合理的,使用的時候可能也是必須的。“但是問題在于,用戶是否有必要一直給予這種權(quán)限,還是說只需要在用到拍照或錄音功能的那幾分鐘臨時授權(quán)就行。”
在魯輝看來,從保護用戶隱私角度,應(yīng)該是臨時授權(quán),并且這在技術(shù)上實現(xiàn)起來并不難,但是很多App并未做到。
魯輝還表示,用戶在安裝App時需要有保護隱私的意識,不要隨意輸入自己的姓名、證件號、住址等信息,而諸如定位、通訊錄、通話記錄、攝像頭和錄音等敏感權(quán)限,在授予平臺時,需要格外謹慎。“當(dāng)用戶的安全意識提高了,App開發(fā)者自然不敢隨便索權(quán)了。”魯輝說。
“如果一概要求重新授權(quán),可能會降低用戶體驗。但一攬子的授權(quán)方式又會給個人信息安全帶來較大風(fēng)險。”蔣潔對南都記者表示,目前獲得較多贊同的說法是區(qū)分功能性質(zhì),對于App的基本功能或主體功能及其更新,可以進行一攬子授權(quán),而對于拓展功能或輔助功能,則需要再次授權(quán)。
值得一提的是,App的信息安全已經(jīng)引起官方重視。今年1月底,中央網(wǎng)信辦聯(lián)合工信部、公安部、市場監(jiān)管總局等四部門表態(tài),今年將在全國范圍內(nèi)發(fā)起專項治理活動。嚴重違法違規(guī)收集個人信息的App運營者,將被依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
在蔣潔看來,除了大幅提升違法違規(guī)企業(yè)的懲罰力度,還需制定App過度索權(quán)的評估標(biāo)準和有力的監(jiān)管體系,并健全救濟機制。
魯輝則表示,用戶在安裝App時需要有保護隱私的意識,不要隨意輸入自己的姓名、證件號信息,諸如定位、通訊錄、通話記錄、攝像頭和錄音等敏感權(quán)限在授予平臺時,需格外謹慎。
“當(dāng)用戶的安全意識提高了,App開發(fā)者自然不敢隨便索權(quán)了。”魯輝說。
(文中小媛為化名)
統(tǒng)籌:南都記者 娜迪婭
采寫:南都記者 李玲 蔣琳 馮群星 尤一煒 錢柳君
作者:娜迪婭
上一頁 1 2 下一頁