誰讓你的個人信息在“裸奔”?——部分APP“過分”收集用戶信息調查

2019年06月29日

  
 
  看小說的APP要讀取用戶短信、貸款類APP要訪問攝像頭並拍照、上網類APP要讀取用戶通訊錄……伴隨著移動互聯網的飛速發展,大量APP在不知不覺中收集了一些與自身業務無關的信息,個人信息在網絡空間中“裸奔”的現象屢禁不絕。
 
  8億用戶的APP被曝超範圍收集用戶信息
 
  一款号称可“一键连接WiFi”的APP WiFi万能钥匙已成为不少人的手机必备。公开数据显示,其月活跃用户已经达到8亿。然而,这款被视为“蹭网利器”的APP,近期却被曝光存在超范围收集用户信息的行为。
 
  廣東省公安廳近日公布,2019年一季度,廣東警方共監測發現1670余款APP存在超範圍收集用戶信息行爲。其中WiFi萬能鑰匙、錢聚易等10款APP問題突出,特別是WiFi萬能鑰匙問題最多,共超範圍收集了7類信息。據通報,WiFi萬能鑰匙(4.3.56版本)存在讀取用戶短信或彩信、聯系人,收集用戶設備上已知賬號,使用用戶設備攝像頭或麥克風等問題。
 
  APP超範圍收集用戶信息現象並不少見。根據愛加密大數據中心提供的數據,截至2019年3月底,該中心已收錄安卓應用270多萬個,iOS應用190多萬個,30%以上的APP存在不同程度的越權、超範圍收集等行爲。
 
  “這麽做多是爲了收集用戶的經濟狀況、消費偏好、活動區域等信息,對用戶進行精細的人物畫像,以支持産品研發更新,或精准推送廣告。”廣東省公安廳網警總隊案件科副科長黃建邦說。
 
  暨南大學網絡空間安全學院院長翁健表示,“獲取用戶設備上已知賬號列表”易泄露用戶隱私。攻擊者有可能利用掌握的賬號,實行撞庫等網絡攻擊,即從安全性較弱的賬號中獲取的用戶名密碼,來推測強安全措施的賬號和密碼。
 
  此外,調用權限發送短信也是手機木馬的主要傳播方式之一。翁健介紹,應用程序可通過該種方式將帶有病毒的鏈接放入短信中,並依次發送給用戶相關聯系人,一旦有人點擊該鏈接,則會感染病毒。
 
  过度索权套路多 “迷魂阵”里走不出
 
  一款主打便捷連網的APP爲啥要索取這些“八竿子打不著”的信息權限?
 
  記者在安卓手機應用市場上下載該APP後發現,頁面彈出的窗口詢問“WiFi萬能鑰匙需要以下權限,是否允許?”包括用戶位置、電話、信息、通訊錄、相機等權限,但只有點擊“允許”才可下載。
 
  該産品有關負責人表示,目前,WiFi萬能鑰匙除了提供WiFi連接以外,産品中也提供資訊、社交等其他服務,廣東警方提到的額外獲取的權限,是所有社交軟件都會需要獲取的正常權限。
 
  記者發現,安卓版本的WiFi萬能鑰匙産品內,確有所謂的社交功能“附近的人”,然而記者點擊後發現,使用“附近的人”功能需要另外下載“連信”APP。不僅如此,該APP的下載安裝並未經過應用市場。截至記者發稿時,“連信”APP在安卓應用市場內仍無法通過關鍵字搜索出來。
 
  業內人士表示,此舉意味著WiFi萬能鑰匙的相關産品“連信”APP未經過安卓應用市場的審核,即使用戶可以自主選擇提供或不提供相應權限,但用戶下載使用仍存在一定的風險。
 
  此外,WiFi萬能鑰匙調用的權限實際上是爲另一款APP使用,這是爲其他APP規避監管“打掩護”,既侵犯了用戶的知情權,同時也把用戶拉進了“迷魂陣”——難以辨別哪一類信息權限是與産品服務直接相關的。
 
  那麽是否關掉所有的權限即可保護用戶個人信息呢?事實上並不容易。
 
  翁健表示,有的權限看似與APP運行無關,其實後台的服務需要這些權限。然而,有的開發者故意將APP的超範圍權限與正常權限的模塊“打包”,導致在阻隔了APP的超範圍權限後,正常程序無法運行。
 
  專家建議從源頭端加強公民個人信息保護
 
  黃建邦表示,正因爲企業收集這些信息的成本遠低于可能的收益,導致很多APP索權無度,也就有了“不管有用沒用,先收集來再說”的心態和做法。
 
  對于如何從源頭端保護用戶個人信息,專家建議,首先應用商店要做好把關,對上架下載量大的APP要求經過人工檢測,並確立一個原則——每個APP只給最低的信息收集權限,且每次信息收集都要獲得用戶許可。
 
  近日,由中央網信辦、工信部、公安部、市場監管總局指導成立的APP專項治理工作組起草了《APP違法違規收集使用個人信息行爲認定方法(征求意見稿)》,該征求意見稿將APP違法違規收集使用個人信息分爲7種情形。翁健認爲,該文件明確了違規APP行爲的具體認定標准,有助絡安全法的相關要求真正落地見效。
 
  黃建邦呼籲,從立法的角度對用戶個人信息進行分類分級管理,明確APP收集哪一類信息需要哪些授權程序,可探索信息收集備案制,信息收集只有經過法律授權而非簡單用戶授權才可行。
 
QQ 客服
  • 地址: 河南省新乡市黄河大道263号
  • 電話: 0373-3088880 
  • 传真: 0373-5071636
  • 郵箱: [email protected]
  • 手机:曹经理 15637377159
版權所有 WWWBET3659CO淨化科技有限公司 技術支持:上下策劃
公安备案豫公网安备 41072102000114号
豫ICP備16001671號-1