上海市消保委評測显示:多款APP過度索權 日曆權限風險令人憂

  中國消費者報報道(記者 劉浩)手機APP已成為人們生活中必不可少的工具,由此也催生了用戶個人信息泄露、合法權益被侵犯等問題。近日,上海市消費者權益保護委員會發布對網購平台、旅遊出行、生活服務等類別共39款手機APP開展涉及個人信息權限評測的結果。截至記者發稿時,聚美優品、窮游等APP尚未能就其權限和功能無法對應的問題進行改進。上海市消保委提醒消費者,日曆權限帶來的可能性風險大於便利。

  APP涉嫌過度索權

  網購類、社交類、旅遊類、生活類手機APP,涉及用戶日常生活的方方面面,需獲取用戶較多個人信息完成相應功能。為此,上海市消保委聯合《中國消費者報》上海記者站,委託北京捷興信源信息技術有限公司,於今年1月,對上述類型共39款APP開展涉及個人信息權限評測。

  評測主要從4個維度進行:APP所使用的目標API級別是否存在可規避系統安全機制的漏洞;APP敏感權限的數量;敏感權限的授權方式;是否存在無實際功能對應的權限申請。

  本次評測發現,手機淘寶、京東、唯品會等14款應用敏感權限與實際功能均能對應。上海市消保委與手機APP企業進行溝通,相關企業也在排查后相繼對存在的問題作出解釋和優化。

  截至3月23日統計時,共有30款應用在敏感權限的申請、使用方面做到了合理申請、自主授權。仍有9款應用未能就其權限和功能無法對應的問題進行改進,包括聚美優品(v7.951)、貝貝(v8.2.01)、窮游(v9.2.0)、TripAdvisor貓途鷹(v29.4.1)、神州租車(v6.4.4)、一嗨租車(v6.2.1)、餓了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)。存在的問題涉及發送短信、錄音、撥打電話、讀取聯繫人、監控外撥電話、重新設置外撥電話的路徑、接收訊息(短信)、讀取通話記錄等敏感權限未找到對應功能及目標API級別低等。如聚美優品(v7.951)存在獲取“發送短信”權限未有相關對應功能的行為;窮游(v9.2.0)存在過度獲取“撥打電話”“讀取聯繫人”權限的行為;神州租車(v6.4.4)存在“撥打電話”“監控外撥電話、重新設置外撥電話的路徑”“攝取錄音”等過度獲取權限的行為;餓了么則過度獲取“讀取通話記錄”權限。

  日曆權限風險大於便利

  本次評測發現,不少網購類APP獲取了日曆權限。相關調查表明,超過半數的消費者在使用日曆功能記錄工作和個人日常安排等信息。這些信息可能涉及個人信息、商業機密等。

  上海市消保委通過上海市消保委、上海新消費微信公眾號、騰訊大申網開展的網絡調查显示,69.9%的消費者關注手機APP獲取個人權限問題。其中通訊錄權限最受關注,佔43.5%;26%的消費者關注電話、短信權限。值得注意的是,僅有0.4%的消費者關注日曆權限,消費者對日曆權限的重視度非常低。

  手機日曆具有時間提醒、行程記錄等功能。其中,52.5%的消費者用手機日曆功能記錄個人行程。其中,24.7%的消費者選擇記錄日常生活行程;18.5%的消費者記錄日常生活及工作等行程。

  上海市消保委認為,日曆權限給消費者帶來的可能性風險大於便利,網購類平台使用日曆權限給消費者提供的服務可以用其他技術手段替代。上海市消保委希望消費者和APP開發者都能對日曆權限加以重視。

  上海市消保委副秘書長唐健盛表示,如消費者經常使用手機日曆記錄敏感事項,則對APP的日曆權限應謹慎授權;APP開發者如無十分必要,建議盡可能不使用手機日曆權限。

52.5%的消費者用手機日曆功能記錄個人行程

僅有0.4%的消費者關注日曆權限
 

  “單次授權”建議被採納

  前期評測中,上海市消保委針對安卓系統的安全性提出,增加讓消費者單次授權的功能,這一建議得到了APP開發者、手機廠商和系統開發者的重視。記者了解到,近期,谷歌發布的AndroidQbeta版新增了相關的安全性功能。如對敏感信息的訪問權限、攝像頭/麥克風後台訪問控制,以及給予用戶更多地理位置控制等權限,除了原有的拒絕和永久授權之外,增加了僅在使用期間(運行時)授權選項。

  唐健盛表示,個人信息保護的關鍵是規範收集和使用。當前,APP已成為消費重要的入口之一。在数字化時代,出於商業競爭必要性,獲取消費者的數據可能是企業不得不去做的事,如何保護消費者的個人信息安全,依然是一道難題。

  上海市消保委副主任兼秘書長陶愛蓮表示,上海市消保委近年來持續關注APP對個人信息的獲取情況,去年以來,上海市消保委已開展了3期手機APP涉及個人信息權限的評測,評測範圍包括地圖類APP和瀏覽器、輸入法、綜合視頻等APP,以及此次發布的網購平台、旅遊出行、生活服務等類別APP。從歷次評測結果來看,個人敏感權限的收集仍是較突出的問題,而企業並不會主動反思或下線相關授權。消費者越來越關注個人隱私的保護,拚命防守但仍防不勝防。(本文圖表由上海市消保委提供)

  仍有企業整改遲緩

  針對評測通報的情況,“餓了么”表示已推出更新版本,刪除了“讀取通話記錄”權限。

  3月28日,“TripAdvisor貓途鷹”向上海市消保委提交相關整改報告,表示已進行內部排查,通過升級版本的形式刪除了“撥打電話”權限,新版本 (版本號29.4.3)已於3月27日晚在各大安卓系統應用市場上線。

  “一嗨租車”表示,關於獲取“接收訊息(短信)”權限的問題,經自查發現是開發失誤,並無相應功能需要該項權限,現已在v6.2.3版本中進行修正,並於3月27日上線,目前首頁已推送,應用商城因審核原因,於3月29日上午上線。

  此外,“格瓦拉”相關負責人在通氣會上表示已於3月26日升級版本,並刪除“發送短信”“讀取聯繫人”“錄音”授權。然而,經APP評測技術團隊發現,在各大應用市場並沒有發現“格瓦拉”的更新版本,新版本只能通過應用內升級獲得。技術團隊進一步測試發現,新版本中“讀取聯繫人”權限並未刪除,與格瓦拉公司的承諾不符。“格瓦拉”3月29日再次回復稱,3月26日起逐步發布的9.5.2升級版本由於測試範圍不夠廣,沒有及時發現問題,導致“讀取聯繫人”權限仍被申請。3月29日測試9.5.3版本將刪除“讀取聯繫人”權限,3月30日在各安卓應用市場更新下載。

  “神州租車”於3月29日發布安卓版本6.5.0,取消了獲取手機權限,包含撥打電話、監控外撥電話等功能。

  “百度糯米”表示其目前的版本為8.4.7,已不再調用相關權限,不涉及用戶隱私問題,並將於4月27日全面升級API版本,保護用戶信息安全。

  “貝貝”APP表示其麥克風“錄音”權限應用在金融服務 (尊享貸信用授權)場景。上海市消保委表示,關於“貝貝”所說的麥克風使用場景,APP評測技術團隊在正常使用中無法驗證。

  上海市消保委認為,消費者的個人信息依法受到保護,對於存在問題的APP,改正是義務,承諾是責任,企業不應言之鑿鑿,實際敷衍了事。上海市消保委對相關企業的積極回應和行動表示歡迎,並督促其他應用作出改進,以維護消費者的信息安全。

責任編輯:黃磊

本站聲明:網站內容來源再生能源資訊網http://www.ccn.com.cn/,如有侵權請聯繫我們,我們將及時處理

【精選推薦文章】

各縣市哪裡可購買消防署認証核可的消防水帶呢?相關資訊一覽表!

帶您認識消防知識-消防水帶使用年限是多久?如何清潔保養延長壽命?