图源:东方IC
事实上,手机里的不同权限对应不同风险。民间非企运营互联网安全组织网络尖刀创始人曲子龙告诉《IT时报》记者。
获取通讯录权限,大多用于做大数据画像,同时获得用户的“社交关系”,容易被不法分子盗取后用于诈骗;
短信权限的风险更大,如果被滥用,轻则被利用“薅羊毛”,重则被用于拦截短信验证码,控制所有的数字资产;
麦克风权限,则可以用于监听;
至于位置、相册权限,多用于建立行动轨迹和获取相册里的隐私。
至于App自动读取手机的应用列表,是通过应用列表分析用户使用什么应用、使用多少次,大多用于广告大数据分析,也有一些手机助手是为了判别用户是否安装某程序,是否需要推荐以及程序是否需要升级。
02多款App不授权不可用《常见类型移动互联网应用程序必要个人信息范围规定》开篇便明确,网络运营者不得收集与其提供服务无关的个人信息,移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
但当记者对一些常用App进行测试后发现,不授权便不可用的现象,较为普遍。
图源:IT 时报
比如,《规定》对运动健身类App的要求均是无须个人信息,即可使用基本功能服务。
记者测试了部分健身类App发现,如果不登陆用户账号将无法正常使用keep、Hi运动、每日瑜伽App。
在安卓手机应用市场里下载“美腿瘦腿”App时,会跳出授权选项,需要用户授权App读取存储、电话、位置信息、麦克风、通讯录及其他权限,如果不同意,将无法下载该App。
比如,《规定》对于女性健康类App的要求是无须个人信息,即可使用基本功能服务。但当记者打开妈妈网备孕App时,必须要注册信息,否则不能正常使用。
此外,记者还发现,很多权限用户无法手动进行关闭,而一旦在开始点击了同意隐私协议,或者打开了某项权限,该权限下方所包含的更多细节也都一并处于默认打开状态。
长期专注于移动安全领域的厂商安天移动安全,近年来持续大力投入,形成了一套针对移动风险应用治理的有益体系,其中也包含了对App隐私权限问题的针对性检测,能够较好检出App违法违规收集个人信息的各类问题。
“根据目前我们检出的数据统计结果,Top3隐私权限问题为‘无隐私弹窗、弹窗前收集个人信息、强制索权’。其实目前市面上的很多应用均或多或少存在一定隐私权限方面的问题,这是普遍现象。”安天移动安全方面人士说道。
03不同手机App授权管理不同更令人惊讶的是,有些App的权限被用户拒绝后,却又悄悄被打开了。
记者在一台魅族手机自带的应用商店里下载了一款百度地图App,首页默认勾选开启定位、存储、麦克风、设备信息四项授权,并在屏幕最下方有“同意”和“不同意并退出”的按钮。
记者将四项授权全部取消后,点击“同意”按钮,便进入百度地图搜索页面。然而,当记者查询某条路线时,百度地图依然自动定位了“我的位置”,并提供了导航路线。
这是怎么回事?记者进入手机里百度地图“应用访问授权”设置后发现,在已经拒绝的前提下,位置信息、存储空间、日历、电话、相机、通讯录和麦克风均为开启状态。
图源:IT时报
根据《规定》,地图导航类App的基本功能服务为“定位和导航”,必要个人信息为位置信息、出发地、到达地。但如果根据记者的测试结果,这款百度地图App不仅涉嫌过度索权,而且还有欺骗用户的嫌疑。
然而,曲子龙在自己的华为手机上做了同样测试,无论是从华为应用市场还是魅族应用市场中下载的百度地图,只要在初始状态拒绝授权,其权限内默认是关闭状态。
百度地图客服人员用两款手机测试后,得到了和曲子龙同样的结论,但她也坦承,目前暂时无法确定记者测试结果不同的原因,可能是与手机型号有关。
记者分别用魅族和华为手机测试了其他App,测试发现,首次打开App的状态下,没有点击任何授权,以下App分别启动了部分权限。
记者在“应用权限管理”中看到:快手、西瓜视频、抖音、腾讯视频、keep、UC浏览器、搜狗浏览器均在自动读取应用列表。在此基础上,西瓜视频和抖音、keep、UC浏览器还在读取手机识别码;腾讯视频和搜狗浏览器均可以修改系统设置。
尽管以上App 提供的基本服务不同,但根据《规定》,短视频类、新闻资讯类、在线影音类、浏览器类、运动健身类App均无须个人信息,即可使用基本功能服务。根据记者的测试结果意味着,上述App涉嫌过度索权。
但是,记者使用华为手机用同样的方式对上述App进行测试发现,以上App的权限均为禁止状态。
图源:东方IC
为何不同手机在获取权限方面有不同的表现?记者致电抖音和西瓜视频的客服,对方表示暂未接到上述问题的反馈;Keep客服并未对此进行解释,但表示如果不想App获取权限,用户找到相应权限将其关闭即可。其余App的客服则无人接听。
业内人士猜测,这或许与不同手机厂商对App索权的限制有关,或者是某些应用市场里的特制安装包,有后门存在。
“同款App针对不同的分发渠道,即使是同一个版本也会有针对性不同的策略,可能从正规应用市场下载的App符合监管要求,用户授权前不会收集任何个人信息,但我从其他第三方分发平台下载的同名称应用就会存在问题。”安天移动安全大白鹅团队说。
碁震安全研究团队高级研究员宋宇昊认为,安卓系统原生提供了针对一部分权限的访问控制(比如通话、相机、麦克风),对于这部分访问权限的提示,在所有安卓手机上都是相同的。
但是在这部分权限以外,例如手机识别码的权限控制,并不是安卓原生提供,而是由各家手机厂商自己定制的。在这种情况下,需要控制哪些权限、默认允许禁止都是根据厂商自己对于敏感信息的理解来设计的。
在获取用户权限方面,苹果就规范许多。用户可以在设置中轻易找到App所需的定位、麦克风、相机、蓝牙、Siri权限,并将其手动关闭。iOS系统从7.0开始就停止了IMEI相关接口开放,开发者无法直接获得相关权限。4月7日,苹果宣布,未来几个星期内将实施全新的隐私采集用户披露和许可政策。
04IMEI码也是个人信息37款App的“个人隐私权限政策”中,基本都有类似条款:“当您使用本款应用时,我们会搜集你的设备信息,包括设备型号、唯一设备标识符、设备MAC地址、操作系统类型、屏幕分辨率、电信运营商、登录IP地址、软件版本型号、接入网络的方式、网络质量数据⋯⋯”
从《规定》对39类App详细要求来看,并没有对IMEI码、IP地址等信息有明确要求,那么,设备信息是否属于本次《规定》的监管范围?
《民法典》中规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
另外,《中华人民共和国个人信息保护法(草案)》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
IMEI码是国际移动设备识别码的简称,即通常所说的手机序列号,因其唯一不可变被称为手机的“身份证”。
