上海市消保委评测:有些手机APP正“偷看” 你的日历功能记录
发布时间:2019-03-29 | 发布者: 东东工作室 | 浏览次数: 次原标题:有些手机APP正“偷看”你的日历功能记录
随着移动互联网的快速发展,“手机”已经成为我们生活中必不可少的一部分。不同的消费需求和习惯,催生了大量手机应用软件。然而,“个人信息泄露,合法权益被侵犯”等问题随之突出,尤其因“手机应用权限过度申请”引发各种争议。
对于网购类、社交类、旅游类、生活类手机APP,涉及用户日常生活的各个方面,需获取用户较多个人信息完成相应功能。为此,昨日上海市消保委发布了第三期手机APP涉及个人信息权限评测结果,涉及网购平台、旅游出行、生活服务等39款手机APP。
评测在测些什么?
本次评测主要从四个维度进行:一是APP所使用的目标API级别(API,应用程序编程接口)。当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式,存在可规避系统安全机制的漏洞。二是APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29个权限的申请和使用。三是敏感权限的授权方式。是否存在一揽子授权的模式,如何向用户提出授权请求。四是查看是否存在无实际功能对应用的权限申请。
评测发现,有14款应用敏感权限与实际功能均能对应,分别为:手机淘宝(v8.4.0)、京东(v7.34)、唯品会(v6.35.3)、拼多多(v4.39.0)、网易考拉(v4.5.0)、携程旅行(v8.1.0)、飞猪(9.1.3.103)、马蜂窝旅游(v9.2.2)、艺龙旅行(v9.48.2)、途牛旅游(v10.1.0)、滴滴出行(v5.2.36)、大众点评(v10.7.14)、淘票票(v8.6.1)、口碑网(v7.1.55.623)。
为推动相关问题的解决,上海消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。截至3月23日,30款应用全部实现在敏感权限的申请、使用方面做到了合理申请、自主授权。
在前期沟通确认中,有8款应用第一时间进行沟通,并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。申请敏感权限与实际功能相对应企业分别是,手机天猫(V 8.5.0)的3个权限;苏宁易购(v7.5.5)的1个权限;去哪儿旅游(v8.9.6)的1个权限;同程旅游(v9.1.2)的2个权限;驴妈妈旅游(v8.2.60)的1个权限;大麦网(v7.1.0)的1个权限;赶集网(v8.17.2)的2个权限;58同城(v8.17.2)的2个权限。
截至3月23日,上海市消保委再次进行了测试,又有8款应用完成了改进。分别是1号店(v6.2.2)修改通讯录;当当(9.3.0)API级别过低;网易严选(4.4.1)API级别过低;小米有品(v2.10.1)读取通话记录、读取短信、接收短信;i百联(v6.4.0)修改通讯录;蜜芽宝贝(v7.6.1)API级别过低;美团(v9.13.203)发送短信;返利(v7.4.1)目标API级别过低、读取通话记录、发送短信、读取联系人、录音。
9款应用屡催不改
截至3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进,分别为聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、Trip Advisor猫途鹰(v29.4.1)、神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)。问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
在昨天的发布会上,上海市消保委就评测中发现的问题对上述9款应用的公司人员现场提问,其中,饿了么等部分企业表示已在后续版本中对相关问题进行了修正,还有部分企业则难以回答,纷纷致电回公司询问,或表示公司正全力调查,或保证会马上修正。
你关注过日历权限吗?
本次评测发现,不少网购类APP获取了日历权限,而调查也表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
为此,上海市消保委通过上海市消保委、上海新消费微信公众号、腾讯大申网开展了网络调查。
手机APP获取个人权限问题得到关注。网络调查数据显示,69.9%的消费者关注手机APP获取个人权限问题。其中,通讯录权限最为关注,占43.5%;26%的消费者关注电话、短信权限。值得关注的是,仅有0.4%的消费者关注日历权限。
用手机日历功能记录行程使用频度高。手机日历具有时间提醒、行程记录等功能。网络调查显示,52.5%的消费者用手机日历功能记录个人行程;18.5%的消费者记录日常生活及工作等行程。
超五成消费者重视手机APP涉及个人权限问题。个人信息保护成为消费者关注的焦点。网络调查显示,约半数消费者重视手机APP涉及个人权限问题。其中,33.7%的消费者“关注过,并越来越重视”;还有19.9%的消费者表示“不关注”。
上海市消保委认为,日历权限给消费者带来的可能性风险大于给消费者带来的便利,网购类平台使用日历权限给消费者带来的场景可以用其他技术手段加以替代。据此,上海市消保委希望消费者和APP开发者都能对日历权限加以重视。
上海市消保委昨日也发布了日历权限建议:1、如消费者经常使用日历记录敏感事项,对APP的日历权限应谨慎授权。2、APP开发者如无十分必要,建议尽可能不使用手机日历权限。
手机APP越权
打开麦克风意味着什么?
网络安全专家支招如何保护个人信息
昨天,上海市消保委发布了第三期手机APP涉及个人信息权限评测结果,涉及网购平台、旅游出行、生活服务等39款手机APP。评测中发现,多款APP存在应用未能就其权限和功能无法对应的问题,涉及发送短信、录音、拨打电话、读取联系人等等。
GeekPwn(极棒)实验室网络安全专家宋宇昊表示,早年手机APP过度获取权限问题相当普遍,而近来年这方面监管越来越严格。厂商之所以会存在过度获取权限的情况,是因为从产品设计的角度,厂商希望更多了解用户,从用户平时活动等来获取其行为习惯的信息,从而更准确地形成大数据时代的用户肖像,更好地向客户推荐其服务。很多消费者对于此道可能不甚精通,也不太明白手机APP过度获取权限是什么样的概念。
上海市消保委评测中发现的一些问题,比如格瓦拉生活、神州租车等APP获得麦克风权限却未发现对应功能。
过度获取麦克风权限意味着什么?是否意味着人们在打开微信进行语音时,过度获取麦克风权限也能够“监听”你的语音?