今年央视“3·15”晚会曝光了一款名为“社保掌上通”的APP,其通过隐藏的用户条款窃取用户社保信息。经济导报记者在采访中发现几乎所有的APP都在过度索取权限。比如,咪咕视频能“读”日历活动和机密信息、监控所有应用的启动,竟然还要拥有人体传感器(如心跳速率检测器)的权限;大润发优鲜要清除SD卡内容的权限;51talk青少儿英语竟然要永久停用手机、删除应用和强制重新启动手机的权限……
济南华星信息安全技术有限公司总经理刘华星在接受经济导报记者采访时表示,“你在使用APP,实际上APP却在收集你的隐私。”
如何让个人隐私不再“裸奔”?业内人士指出,除了个人使用的问题外,应大幅提升对违法违规企业的惩罚力度,还需制定APP过度索权的评估标准,打造有力的监管体系。
索权涉用户隐私
“社保掌上通”被曝光只是APP窃取用户信息的冰山一角,还有更多的APP存在类似问题,只是没有被曝光而已。
接受经济导报记者采访时,刘华星随手拿过记者的手机,经过一番操作后,他告诉经济导报记者,目前手机一共有109个APP,这109个APP都要拥有的权限包括但不限于发送彩信、获取手机信息(手机号码、IMEI、IMSI权限)、读取手机中已经安装的应用列表、读写手机存储以及后台弹出界面。
此外,有94个APP要求定位和拍照、录像和闪光灯等权限;93个要求开启或关闭WIFI的权限;87个要求可以修改系统设置;75个要通话录音和本地录音;58个要求获取手机账户;56个要求可以读取联系人;46个要求可以直接拨打电话……
济南市民刘伟告诉经济导报记者,此前他手机中曾安装有一款名为“咪咕视频”的APP,结果一次偶然浏览“权限要求”时,他发现这款视频软件竟然能读取和修改通讯录、读取和写入通话记录,甚至还能监控手机里面的所有应用。
咪咕视频并非只要上述权限,经济导报记者在应用程序商店“豌豆荚”内搜索到这款APP,在“权限要求”项发现,这款定位为视频软件的APP,有着多达40多项权限要求,除了读取通讯录、修改通讯录、监听新安装应用、读取通话记录、写入通话记录、读取日历活动和机密信息,最关键的,这款APP还能强行重新启动手机、将系统恢复到出厂设置、清除SD卡内容,甚至还有人体传感器的权限要求。
而一款名为“51talk青少儿英语”学习类APP,其权限要求也有近30项。“添加或移除账户、控制近距离通信、永久停用手机、删除应用、强制应用关闭、强行重新启动手机”。
此外,经济导报记者手机中安装的“大润发优鲜”——一个购物软件APP,要求的权限也不少,“读取通讯录、定位、获取手机信息、读取应用列表、添加或移除账户、清除SD卡内容、获取当前应用的信息、人体传感器”等。
百度APP要求了32项权限,其中就包括发送彩信、读取短信和彩信、读取联系人、读写手机存储、定位以及相机和录音等敏感权限。此外还包括记录键入的内容和执行的操作;修改安全系统设置;绑定通知侦听器服务;强行重新启动手机;强制关闭后台应用等权限。
“作为搜索及浏览器类APP,上述权限并非提供正常服务所必需,已超出合理的范围。”刘华星说。
隐私何时不再“裸奔”
“没有人愿意用隐私来换取便利,这些隐私信息确实都是我们在下载安装APP时同意授权的,但并不都是心甘情愿的,因为你不选‘同意’就无法使用,在这个时代很难想象一个人在生活中完全不使用手机APP。”济南市民刘伟说。
“对厂商来讲,能拿到的用户信息越多越好,这有利于分析用户的使用习惯,知道了用户习惯就能更好地推送产品。”中国网络空间安全人才教育联盟秘书长鲁辉表示。
北京志霖律师事务所副主任赵占领律师表示,现有法律法规没有针对各个细分领域单独进行规定,比如视频APP只能收集哪些信息、电商APP只能收集哪些信息,主要原因在于行业和软件类型众多,很难逐一规定收集个人信息的范围,只能通过必要性原则来判断。
腾讯社会研究中心联合DCCI互联网数据中心此前发布的《2018年度网络隐私及网络欺诈行为研究分析报告》显示,2018年上半年,安卓端获取隐私权限的手机APP占比达到99.9%,也就是说几乎所有的安卓端手机APP都存在不同程度获取用户隐私权限的情况。
刘华星认为,现在大部分手机应用并未遵循“最少够用”的原则。“通常APP所收集来的信息都用于完善用户画像及数据分析。一些权限是非核心、不必要的,一些开发者滥用权限的授权,比如在产品设计时,把未来才可能用到的权限全部加上,但目前的版本可能根本用不上。”
值得一提的是,APP的信息安全已经引起监管部门重视。今年1月底,中央网信办联合工信部、公安部、市场监管总局等四部门表态,今年将在全国范围内发起专项治理活动。严重违法违规收集个人信息的APP运营者,将被依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
此外,将于5月1日生效的《信息安全技术个人信息安全规范》规定,收集个人信息时需要得到用户授权,而且收集的如果是个人敏感信息,还需明示同意。
在刘华星看来,除了大幅提升对违法违规企业的惩罚力度,还需制定APP过度索权的评估标准和打造有力的监管体系。