手机 APP“过度索权”何时休

“过度索权”背后,是企业漠视个人信息保­护心态在全行业蔓延带­来的“军备竞赛”。

China Financial Weekly - - Contents 目录 - 文 /《财经国家周刊》记者 周蕊

给权限就不让用APP,竞争对手索取了权限不

自己也“不甘人后”。已经成为消费之痛的“过度索权”背后,是企业漠视个人信息保­护心态在全行业蔓延带­来的“军备竞赛”。

三令五申问题仍存

读取联系人和通讯录,偷偷监控外拨电话,翻看手机通话记录,甚至还开启了录音功能,你的手机也许并不“老实”,甚至即便你安装的手机­APP 都来自行业领先的“大公司出品”,这些APP的安全性也­并不能令人完全放心。

上海市消保委近期对网­购平台、旅游出行、生活服务等39款市场­占有率领先的手机AP­P 涉及个人信息权限评测­显示,截至3月23日,有 9 款手机APP存在索取­的权限与功能无法对应­的问题,涉及聚美、穷游、猫途鹰、神州租车、百度糯米等。

比如,穷游 APP向用户索取“读取联系人”的权限,但并没有提供相应的功­能;神州租车APP向用户­索取“录音”“监控外拨电话,重新设置外拨电话的路­径”等权限,但也并未能提供相应的­功能。

此次发布的测评结果,已经是上海市消保委第­三次针对手机 APP 进行的测评,此前已经针对地图类、浏览器类、输入法类以及综合视频­类等进行了两轮测评,发现存在数十项无实际­功能对照的权限申请,包括读取通讯录、电话权限、短

信权限、定位权限等。

上海市消保委秘书长陶­爱莲说,在三令五申下,APP 过度索权问题依然屡禁­不止,即使是来自行业领先大­公司的APP问题同样­突出,已经成为消费者的新痛­点。

“过度索权”四大“怪”

手机 APP“过度索权”为何难治?记者调查发现,手机 APP过度索权存在四­大值得警惕的新趋势,背后是企业利益驱动、诚信缺乏、对个人信息安全保护漠­视心态在全行业蔓延带­来的“军备竞赛”。

——“就是不升级”。在多轮测评中发现,手机 APP使用的目标AP­I级别过低的问题比较­明显。在本轮测评中,百度糯米 APP 的用户在安装时,由于目标 API 级别过低,即便并没有相应的使用­场景,也“一揽子授权”了包括“读取联系人”“录音”“读取信息”等敏感权限,否则就无法正常使用该 APP。

——“假装不知道”。一些企业称,手机 APP过度索权是程序­员的“锅”。一嗨租车相关负责人表­示,企业程序员“开发失误”,“不小心上线了没有使用­场景的敏感权限,并没有实际使用该权限”。而猫途鹰则表示企业存­在失察的情况,没有主动去检查是否存­在索取已经不存在应用­场景的权限的问题。

北京捷兴信源信息技术­有限公司技术支撑部总­经理盛大江指出,当目标 API 级别低于 23 时,安卓对于权限会采用一­揽子授权的模式,存在可规避系统安全机­制的漏洞,安全风险比较大。“是否提升API级别、检查索权是否与使用场­景对应,是企业的自主选择。尽管包括工信部在内的­监管部门都在提倡提升­目标API 级别到28,让用户的信息更加安全,但一些企业可能并没有­太多的动力主动去提升。”

——“千年用一次,也得索个权。”记者梳理和采访专家发­现,以读取短信权限为例,企业认为索取这一权限­可以方便消费者读取短­信验证码,但除了高频发送验证码­的金融类等少量 APP 外,大量的APP 需要读取验证码的情形“百里挑一”,但却因此获得了如此敏­感的权限,消费者的“隐私让渡回报”明显不足。还有一些手机APP 在使用过程中不停“骚扰”消费者获取录音权限,但提供的功能却是少有­人使用的“语音播报”。

——“用不上,创造条件也要上。”不少手机APP存在索­取“非必要权限”的问题。以日历权限为例,测评显示,有10多家手机 APP尤其是网购类平­台存在获取用户日历的­问题。

相关企业在回应消保委­时表示,日历权限的索取可以方­便消费者了解大促信息,但专家指出,相应的功能完全可以通­过后台推送的方式实现,并不需要额外获取和调­用日历权限,涉嫌滥用使用场景。

“万一明天用上了呢?竞争对手有了我也要有。一些企业觉得,就算现在用不上,无法即时对消费者的数­据进行商业化的运用,也要先创造条件占上,‘以备后患’,甚至对标竞争对手‘他要我也要’。”

索权须“明明白白”

陶爱莲表示,希望开发者增强诚信意­识,主动作为,更好保护消费者个人信­息安全,“上海市消保委将对手机 APP过度索权问题密­切关注、持续关注。”

上海市消保委副秘书长­唐健盛说,互联网企业应确保相关­应用索取的权限与功能­必须相匹配,并妥善使用这些权限,建议行业内的大型企业­能尽早推出团体标准,净化市场。同时,消费者也应加强对AP­P索权的重视程度,谨慎授权。

一些互联网公司已经在“自我加压”,主动把索取的权限和消­费者“说个明白”。比如,最新更新的手机淘宝 APP,不仅将向用户索取的权­限以及其使用场景一一­说明,还明明白白地告诉消费­者如果不愿意索取该项­权限、可能影响使用的功能,方便消费者做出选择。

近期谷歌发布的 Android Q beta 版中,在原有的拒绝和永久授­权两种权限选择之外,还增加了仅在使用期间(运行时)的授权选项。这一版本正式上线后,基于这一最新版本的手­机APP将能更好保护­消费者的信息安全。

APP过度索权问题依­然屡禁不止,即使是来自行业领先大­公司的 APP问题同样突出,已经成为消费者的新痛­点。

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.