96. 6%的安卓應(yīng)用會獲取用戶隱私權(quán)限

一位使用華為P10的用戶告訴記者,他的手機也有一個名為“情景智能”的功能,會收集用戶收到的信用卡還款提醒以及火車票、飛機票、住宿等確認短信等內(nèi)容。在他看來,這一功能能夠為他帶來便利,但他經(jīng)常會在一些意想不到的地方看到基于自己短信內(nèi)容的推送?！拔也淮_定它到底讀取了哪些信息,也不確定它是否濫用了我的信息?！?/p>

對于不少安卓用戶來說,下面一幕并不陌生。很多安卓APP都會讀取用戶的位置、聯(lián)系人、通話記錄等權(quán)限。用戶關(guān)掉這些APP的讀取權(quán)限后,往往會發(fā)現(xiàn)APP無法正常使用,每次打開時都會跳出一個窗口讓用戶開放讀取權(quán)限。

業(yè)內(nèi)有觀點指出,很多手機應(yīng)用都要求各種各樣的權(quán)限,其中以聯(lián)系人、短信、位置和手機識別碼最為普遍,一方面是因為這幾個權(quán)限的確是最常用到的。另一方面,很多軟件公司也在收集這些和用戶隱私擦邊的敏感數(shù)據(jù),然后通過“大數(shù)據(jù)”、“云計算”等方式,來判斷用戶的喜好,并推送相關(guān)的廣告內(nèi)容。

IT分析師唐欣認為,APP讀取數(shù)據(jù)是公平的選擇,用戶可以選擇使用或者不使用,而APP也可以選擇提供或者不提供服務(wù)。APP收集用戶數(shù)據(jù)是否合理需要從產(chǎn)品邏輯上判斷,有的業(yè)務(wù)需要通訊錄,有些就完全沒必要。

360互聯(lián)網(wǎng)安全中心數(shù)據(jù)顯示,有近4成的手機游戲存在調(diào)用過多權(quán)限的情況,導(dǎo)致通訊錄、短信等用戶敏感的數(shù)據(jù)被隨意讀取,有的APP還加入了惡意扣費代碼。

根據(jù)騰訊社會研究中心與DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為研究分析報告(2017年一季度)》顯示,手機APP越界獲取個人信息已經(jīng)成為網(wǎng)絡(luò)詐騙的主要源頭。高達96.6%的安卓應(yīng)用會獲取用戶手機隱私權(quán)限,而iOS應(yīng)用的這一數(shù)據(jù)也高達69.3%。越界獲取隱私權(quán)限是指手機應(yīng)用在自身功能不必需的情況下獲取用戶隱私權(quán)限的行為。

智能化推送背后,用戶“細思恐極”

用戶信息的安全保護情況已經(jīng)引起了不少人的關(guān)注。

金女士告訴記者,她在2016年6月底生完孩子,經(jīng)常在微信育兒群或者朋友之間聊起育兒。近期,因早教等話題跟朋友在微信交流較多,同時,微信精準推送育兒、兒童玩具、早教課等廣告。對此,金女士感覺微信在后臺“偷看了”她的數(shù)據(jù),雖然智能地解決了她的需求,但細思恐極。金女士表示,是不是其他的聊天內(nèi)容對于微信運營后臺也是“透明的”?她認為萬一這些信息被泄露或不正當利用,十分危險。

今年兩會上,馬化騰提出了保護用戶信息的議案。馬化騰在接受采訪時表示,如果個人信息采集過于全面,萬一被別人濫用或者哪個員工把它偷出去了,反而產(chǎn)生更大的次生災(zāi)害。馬化騰建議大數(shù)據(jù)不應(yīng)該對個人隱私信息收集那么全,應(yīng)該只收集必要的甚至是脫敏的信息。只要能夠做到單向驗證就不要去雙向驗證。目前,很多企業(yè)個人信息保存很亂,缺乏基礎(chǔ)性的工作。

APP過度收集用戶信息問題由來已久,早在2015年安全分析公司SourceDNA公布了一項研究,超過250個APP違反蘋果APP Store的隱私政策,收集用戶的郵件地址、裝機應(yīng)用、序列號以及其他可以跟蹤用戶的信息。這些APP使用有米的SDK來展示廣告,而有米則通過它來收集用戶信息。這些數(shù)據(jù)收集行為已經(jīng)持續(xù)了大概一年,最初從收集APP列表開始,之后越來越猖狂,發(fā)展到現(xiàn)在的版本。通過收集組件序列號,有米就可以獲得每一臺設(shè)備的獨特身份信息。

中國互聯(lián)網(wǎng)協(xié)會秘書長盧衛(wèi)曾對媒體表示,企業(yè)利用APP軟件收集用戶相關(guān)數(shù)據(jù)的行為存在很大爭議,在數(shù)據(jù)價值和產(chǎn)權(quán)沒有明確分類和清晰界定的時候,數(shù)據(jù)收集者的動機可能被隱藏,數(shù)據(jù)安全和各類隱私存在著一定的風(fēng)險。

工信部近日公布了2017年二季度檢測發(fā)現(xiàn)問題的應(yīng)用軟件名單,共計42款,其中不少軟件就涉及未經(jīng)用戶同意,收集、使用用戶個人信息;惡意操控用戶手機等問題。值得注意的是,在工信部公布的存在問題的APP名單中,其中不少來自知名廠商的應(yīng)用商店。

2017國際安全極客大賽GeekPwn年中賽上,一位女黑客用不到一分鐘攻破共享單車的高危漏洞,通過遠程篡改輸入?yún)?shù),便可以直接訪問、控制他人賬號,掌握該人的騎行記錄。

《網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為研究分析報告(2017年一季度)》指出,用戶可常用安全軟件和隱私保險箱,但在APP的下載安裝和使用時提高警惕,有意識地甄別掉可疑APP,從正規(guī)渠道下載手機應(yīng)用。建議用戶APP安裝時把重要的隱私權(quán)限統(tǒng)統(tǒng)禁止,在以后提示確實需要相關(guān)的隱私權(quán)限時再允許APP獲取。(記者 劉素宏 馬婧 楊礪)

■ 他山之石

國外用戶隱私保護執(zhí)法力度大

在美國和歐洲,關(guān)于數(shù)據(jù)隱私的爭端和博弈也在持續(xù)。美國科技巨頭谷歌和Facebook作為全球最大的搜索引擎和社交平臺掌握著數(shù)量巨大的用戶數(shù)據(jù)。本月6日,英國新數(shù)據(jù)法案規(guī)定,Google和Facebook泄露用戶隱私一事一旦坐實,或?qū)⒚媾R數(shù)十億英鎊的罰款。

上月歐盟委員會認定Google利用其在網(wǎng)上搜索領(lǐng)域近乎壟斷的地位,把客戶引向Google自家購物搜索服務(wù)Google Shopping,對Google開出24.2億歐元反壟斷罰金,創(chuàng)造了歐盟史上對一家公司單筆罰金的最高紀錄。

此外,Facebook也被歐盟重罰。去年8月,Facebook因?qū)ζ煜录磿r通訊應(yīng)用WhatsAPP的隱私政策作出調(diào)整,允許WhatsAPP與其分享部分用戶的手機號碼,被歐盟委員會處以1.1億歐元罰款。歐盟委員會表示,此舉是向企業(yè)傳達一個明確信號,要求企業(yè)必須遵守歐盟并購規(guī)則的所有方面。

IT業(yè)律師趙占領(lǐng)指出,在十分看重個人信息保護的歐美地區(qū),官方對于企業(yè)在用戶信息違規(guī)方面的懲罰十分嚴厲。因此,在“天價罰款”這一巨大違法成本面前,科技巨頭無疑會更加重視對用戶信息的保護。

趙占領(lǐng)表示,隨著網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的陸續(xù)出臺和完善,我國相關(guān)法律建設(shè)已經(jīng)基本完善,但是行政執(zhí)法的力度明顯不足。趙占領(lǐng)認為,造成這一局面的原因是目前對個人信息保護存在多部門的監(jiān)管重疊,缺乏對保護網(wǎng)絡(luò)個人信息的統(tǒng)一主管機構(gòu)。其次,相關(guān)部門對個人信息保護的重要性認識上仍存在不足。

此外,蘋果公司在獲取用戶授權(quán)時多采用明示同意的做法值得借鑒。趙占領(lǐng)認為,蘋果iOS系統(tǒng)在收集用戶數(shù)據(jù)時,跳出的對話框明示將要收集的信息及用途,用戶點確認才能收集,并且不得以拒絕其他服務(wù)的形式要求用戶選擇同意。同時,還需要在設(shè)置中,以按鈕的形式,方便用戶隨時取消授權(quán)。(楊礪)