新華社廣州5月23日電題:誰(shuí)讓你的個(gè)人信息在“裸奔”?——部分APP“過(guò)分”收集用戶(hù)信息調查
新華社記者胡林果、毛鑫
看小說(shuō)的APP要讀取用戶(hù)短信、貸款類(lèi)APP要訪(fǎng)問(wèn)攝像頭并拍照、上網(wǎng)類(lèi)APP要讀取用戶(hù)通訊錄……伴隨著(zhù)移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展,大量APP在不知不覺(jué)中收集了一些與自身業(yè)務(wù)無(wú)關(guān)的信息,個(gè)人信息在網(wǎng)絡(luò )空間中“裸奔”的現象屢禁不絕。
8億用戶(hù)的APP被曝超范圍收集用戶(hù)信息
一款號稱(chēng)可“一鍵連接WiFi”的APP WiFi萬(wàn)能鑰匙已成為不少人的手機必備。公開(kāi)數據顯示,其月活躍用戶(hù)已經(jīng)達到8億。然而,這款被視為“蹭網(wǎng)利器”的APP,近期卻被曝光存在超范圍收集用戶(hù)信息的行為。
廣東省公安廳近日公布,2019年一季度,廣東警方共監測發(fā)現1670余款APP存在超范圍收集用戶(hù)信息行為。其中WiFi萬(wàn)能鑰匙、錢(qián)聚易等10款APP問(wèn)題突出,特別是WiFi萬(wàn)能鑰匙問(wèn)題最多,共超范圍收集了7類(lèi)信息。據通報,WiFi萬(wàn)能鑰匙(4.3.56版本)存在讀取用戶(hù)短信或彩信、聯(lián)系人,收集用戶(hù)設備上已知賬號,使用用戶(hù)設備攝像頭或麥克風(fēng)等問(wèn)題。
APP超范圍收集用戶(hù)信息現象并不少見(jiàn)。根據愛(ài)加密大數據中心提供的數據,截至2019年3月底,該中心已收錄安卓應用270多萬(wàn)個(gè),iOS應用190多萬(wàn)個(gè),30%以上的APP存在不同程度的越權、超范圍收集等行為。
“這么做多是為了收集用戶(hù)的經(jīng)濟狀況、消費偏好、活動(dòng)區域等信息,對用戶(hù)進(jìn)行精細的人物畫(huà)像,以支持產(chǎn)品研發(fā)更新,或精準推送廣告。”廣東省公安廳網(wǎng)警總隊案件科副科長(cháng)黃建邦說(shuō)。
暨南大學(xué)網(wǎng)絡(luò )空間安全學(xué)院院長(cháng)翁健表示,“獲取用戶(hù)設備上已知賬號列表”易泄露用戶(hù)隱私。攻擊者有可能利用掌握的賬號,實(shí)行撞庫等網(wǎng)絡(luò )攻擊,即從安全性較弱的賬號中獲取的用戶(hù)名密碼,來(lái)推測強安全措施的賬號和密碼。
此外,調用權限發(fā)送短信也是手機木馬的主要傳播方式之一。翁健介紹,應用程序可通過(guò)該種方式將帶有病毒的鏈接放入短信中,并依次發(fā)送給用戶(hù)相關(guān)聯(lián)系人,一旦有人點(diǎn)擊該鏈接,則會(huì )感染病毒。
過(guò)度索權套路多“迷魂陣”里走不出
一款主打便捷連網(wǎng)的APP為啥要索取這些“八竿子打不著(zhù)”的信息權限?
記者在安卓手機應用市場(chǎng)上下載該APP后發(fā)現,頁(yè)面彈出的窗口詢(xún)問(wèn)“WiFi萬(wàn)能鑰匙需要以下權限,是否允許?”包括用戶(hù)位置、電話(huà)、信息、通訊錄、相機等權限,但只有點(diǎn)擊“允許”才可下載。
該產(chǎn)品有關(guān)負責人表示,目前,WiFi萬(wàn)能鑰匙除了提供WiFi連接以外,產(chǎn)品中也提供資訊、社交等其他服務(wù),廣東警方提到的額外獲取的權限,是所有社交軟件都會(huì )需要獲取的正常權限。
記者發(fā)現,安卓版本的WiFi萬(wàn)能鑰匙產(chǎn)品內,確有所謂的社交功能“附近的人”,然而記者點(diǎn)擊后發(fā)現,使用“附近的人”功能需要另外下載“連信”APP。不僅如此,該APP的下載安裝并未經(jīng)過(guò)應用市場(chǎng)。截至記者發(fā)稿時(shí),“連信”APP在安卓應用市場(chǎng)內仍無(wú)法通過(guò)關(guān)鍵字搜索出來(lái)。
業(yè)內人士表示,此舉意味著(zhù)WiFi萬(wàn)能鑰匙的相關(guān)產(chǎn)品“連信”APP未經(jīng)過(guò)安卓應用市場(chǎng)的審核,即使用戶(hù)可以自主選擇提供或不提供相應權限,但用戶(hù)下載使用仍存在一定的風(fēng)險。
此外,WiFi萬(wàn)能鑰匙調用的權限實(shí)際上是為另一款APP使用,這是為其他APP規避監管“打掩護”,既侵犯了用戶(hù)的知情權,同時(shí)也把用戶(hù)拉進(jìn)了“迷魂陣”——難以辨別哪一類(lèi)信息權限是與產(chǎn)品服務(wù)直接相關(guān)的。
那么是否關(guān)掉所有的權限即可保護用戶(hù)個(gè)人信息呢?事實(shí)上并不容易。
翁健表示,有的權限看似與APP運行無(wú)關(guān),其實(shí)后臺的服務(wù)需要這些權限。然而,有的開(kāi)發(fā)者故意將APP的超范圍權限與正常權限的模塊“打包”,導致在阻隔了APP的超范圍權限后,正常程序無(wú)法運行。
專(zhuān)家建議從源頭端加強公民個(gè)人信息保護
黃建邦表示,正因為企業(yè)收集這些信息的成本遠低于可能的收益,導致很多APP索權無(wú)度,也就有了“不管有用沒(méi)用,先收集來(lái)再說(shuō)”的心態(tài)和做法。
對于如何從源頭端保護用戶(hù)個(gè)人信息,專(zhuān)家建議,首先應用商店要做好把關(guān),對上架下載量大的APP要求經(jīng)過(guò)人工檢測,并確立一個(gè)原則——每個(gè)APP只給最低的信息收集權限,且每次信息收集都要獲得用戶(hù)許可。
近日,由中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監管總局指導成立的APP專(zhuān)項治理工作組起草了《APP違法違規收集使用個(gè)人信息行為認定方法(征求意見(jiàn)稿)》,該征求意見(jiàn)稿將APP違法違規收集使用個(gè)人信息分為7種情形。翁健認為,該文件明確了違規APP行為的具體認定標準,有助于網(wǎng)絡(luò )安全法的相關(guān)要求真正落地見(jiàn)效。
黃建邦呼吁,從立法的角度對用戶(hù)個(gè)人信息進(jìn)行分類(lèi)分級管理,明確APP收集哪一類(lèi)信息需要哪些授權程序,可探索信息收集備案制,信息收集只有經(jīng)過(guò)法律授權而非簡(jiǎn)單用戶(hù)授權才可行。
(責任編輯:蘇玉梅)
