你的手机,是否会成为你个人隐私的“泄漏器”?从不离身的手机,为何会莫名其妙地被扣费或订阅一些扣费功能?在视频APP上看了几集电视剧,为何打开浏览器会收到大量与该剧相关的推送?……今天,上海市消保委通报了针对输入法、浏览器、综合视频等三大类、18款应用的评测,发现个人信息泄露、合法权益被侵犯等问题突出,而手机应用权限过度申请更是引发了各种争议。
25项敏感权限并无对应功能
今年8-10月,上海市消保委联合《中国消费者报》上海记者站,委托北京捷兴信源信息技术有限公司对消费者反映集中及使用频度较高的“输入法、浏览器、综合视频”等18款应用进行了规范。
这18款应用包括:输入法(搜狗输入法、百度输入法、讯飞输入法、QQ输入法、触宝输入法);浏览器(UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、华为浏览器(2个版本));综合视频(优酷视频、腾讯视频、爱奇艺视频、芒果TV、哔哩哔哩)。评测内容涉及“应用敏感权限的授权请求方式”及“申请的敏感权限是否存在与之对应的服务功能”两方面。
图说:部分敏感权限内容 来源/市消保委供图(下同)
评测发现,部分应用所申请的敏感权限,并不存在实际对应的功能。其中,167项与用户个人信息密切相关的“敏感权限”中,25项并没有实际功能对照的权限申请。比如,电话权限(5个)、短信权限(15个)、定位权限(2个)、日历权限(2个)、读取附件(1个),这些权限都与用户个人信息密切相关。
此外,有4款应用的Android 目标 API版本设定过低,在权限管理方面存在用户可知而不可控问题,也存在可规避系统安全机制的漏洞,易造成用户个人信息泄漏,引发大量终端安全和个人信息保护风险。
3款应用的新版本仍未规范
为此,市消保委经过三个多月、300多次多维度测试,与企业进行五十几次沟通,就企业提供的数十份报告进行了审评。10月,上海消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。在一个月内,各相关应用厂商剔除无用权限达23个,3款APP提升了API目标版本,目前全新修正版本已向社会发布。
11月,市消保委对这18款应用最新版本进行验证,15款应用在敏感权限的申请、使用方面做到了合理申请、自主授权,充分保证了用户的知情权、选择权。
图说:三款应用仍存有敏感权限用途不明及版本过低问题,尚未改进
然而,仍有猎豹浏览器、触宝输入法和芒果TV三款应用的新版本中,存在部分用途不明的敏感权限申请行为,猎豹甚至还可以监听外拨电话。市消保委希望敦促这些企业尽快改进和规范。
市消保委:消费者须有选择权
为何对于权限管理的规范如此重要?发布会现场,专家解释称,若APP获取了短信权限,理论上讲就可通过用户手机来发送、读取短信,订阅扣费业务等。“我们也曾接到消费者反映称,莫名其妙订购了某种收费服务,但自己没发过这些短信,查询运营商却会有发送短信的记录,在用户手机里却没有记录。这可能就是手机中某个应用接收到后台指令后发送的,很不安全。”上海市消保委副秘书长唐健盛说。
图说:部分输入法拥有读取短信的权限
在现场,部分应用也对为何需要这些权限进行了解释。比如,部分应用需要读取手机识别码,以获得手机状态和身份,对此百度浏览器解释称可以为用户推荐个性化资讯;而QQ浏览器则称,他们需要判别用户是否为联通用户、是否符合免流量的政策,“目前已下线该电话权限,改由联通来提供身份判断”。
再如,为何应用需要定位权限?百度输入法解释称,如果一位用户要从北京到上海的话,知道定位可以即时推送地理词库。而照相机的权限,则被商家解释为可以制作AR表情包,或提供扫描识别的功能。
不过消费者质疑称,这些“精准推送信息”,在日常生活中是否真的需要?用户是否可以有选择权,在需要的时候再打开这些权限,而不是在安装时就默认打开?
唐健盛表示,手机APP在开发时,必须让消费者拥有选择权。而敏感权限一旦获取之后,一定要有功能相匹配且妥善使用。我国对个人信息的保护和立法尚不完善,很多保护仅用“必要、正当、合理”这些模糊性词语来解释,因此各家APP开发全凭觉悟在做。“我们希望能尽快对个人信息进行规范,并将其制度化。此外,希望各应用厂商能出台团体标准,将权限问题自我约束和规范,让消费者放心。”他说。