安全 實(shí)測37款A(yù)pp:原來我們每天被讀取幾千次
微信獲取位置信息69次、讀寫儲存空間549次,高德地圖獲取位置信息34次、抖音獲取位置信息23次、支付寶獲取位置信息13次、微博獲取位置信息12次??這是馮小杰手機(jī)App一天的權(quán)限使用記錄 。他使用的是小米手機(jī),手機(jī)里的“應(yīng)用行為記錄”功能記錄了手機(jī)App不為人知的另一面 。
就在他打開“應(yīng)用行為記錄”的前3分鐘,網(wǎng)易云音樂、百度網(wǎng)盤、快手、微信、什么值得買、支付寶先后自啟動,一刻相冊和網(wǎng)易云音樂App分別讀寫了手機(jī)里的照片和文件,微信和微博獲取了一次手機(jī)信息 。
刷了5分鐘抖音后,小米“空白通行證”共向抖音返回5116次空信息 。
文章圖片
看到這里,馮小杰感到后背發(fā)涼 。生活中的他非常注意個人隱私保護(hù),但明槍易躲,暗箭難防 。十幾款手機(jī)App竟然在自己毫無感知的情況下,幾乎看光了他手機(jī)里的全部內(nèi)容 。
為何有些App沒有主動告知我就偷偷自啟動讀寫我的儲存空間、照片和文件?為何一些和自身服務(wù)定位毫不相干的權(quán)限,App都想要?吊詭的是,這些App在調(diào)取手機(jī)權(quán)限時,早已在不知不覺間經(jīng)過了用戶允許 。
半個月前,國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部等四部門聯(lián)合發(fā)布了《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》(簡稱《規(guī)定》),明確對39類App劃定了必要個人信息范圍,5月1日起正式實(shí)施 。這意味著,App、小程序運(yùn)營者過度索權(quán)的行為將會得到規(guī)范,公民在網(wǎng)絡(luò)空間的合法權(quán)益將會得到保護(hù) 。
距離此項(xiàng)《規(guī)定》正式落地已不足一個月,《IT時報》采訪人員對市面上包含社交、購物、出行、娛樂在內(nèi)的37款主流App使用權(quán)限進(jìn)行測試后發(fā)現(xiàn),仍然有不少App涉嫌過度索權(quán),其中不乏百度地圖、快手、UC等知名App 。
01
每部手機(jī)每天被定位3691次
今年1月,小米MIUI隱私保護(hù)能力建設(shè)研發(fā)團(tuán)隊(duì)公布了這樣一組數(shù)據(jù):“平均每部手機(jī)每天會被App定位3691次,相冊和個人文件每天被App訪問2432次,App在后臺每天嘗試悄悄地啟動783次,有超過40萬個App可以直接讀取用戶的剪切板 。”
文章圖片
簡單計(jì)算,一部手機(jī)平均每小時會被App定位154次,平均1分鐘被定位2.56次 。你根本無法察覺App暗中在做什么 。
App對用戶信息的渴望,遠(yuǎn)超用戶想象 。
4月7日,《IT時報》采訪人員使用一部安卓國產(chǎn)手機(jī)下載了較為常用的37款A(yù)pp,涵蓋社交、娛樂、電商、出行等領(lǐng)域 。
從手機(jī)權(quán)限管理界面中看到,37款A(yù)pp都涉嫌索要定位權(quán)限、拍照、錄像權(quán)限以及手機(jī)識別碼(IMEI碼)權(quán)限 。
不僅如此,33款A(yù)pp索要通訊錄權(quán)限,大多要求“讀取聯(lián)系人”,微信、QQ、脈脈、淘寶、微博5款A(yù)pp獲取的通訊錄權(quán)限還包括“新建/修改/刪除聯(lián)系人”;
QQ、鐵路12306和微博3款A(yù)pp還索取“讀取彩信”“讀取短信記錄”的權(quán)限;
番茄免費(fèi)小說則需要讀取用戶撥打電話的權(quán)限 。
一些App在其“個人信息保護(hù)政策”中對此做了解釋 。
美圖秀秀稱,收集用戶位置、設(shè)備信息是為了幫助用戶獲得更感興趣的社區(qū)內(nèi)容,或在工具素材和廣告內(nèi)容推薦上呈現(xiàn)更符合需求的內(nèi)容,減少對海量內(nèi)容篩選的時間;
bilibili表示,索取設(shè)備信息權(quán)限是為了給用戶提供視頻展示和播放服務(wù),索取定位是為了定向推薦、維護(hù)和改進(jìn)產(chǎn)品之必須;
番茄免費(fèi)小說申請電話權(quán)限,是為了用戶看到廣告頁需要撥號和顯示對方電話所設(shè)置??
除上述授權(quán)要求外,有不少App還需要讀取用戶的剪切板、日歷、存儲等權(quán)限 。
如果一款導(dǎo)航類App索取定位是為了給用戶提供服務(wù),為何愛奇藝、bilibili、脈脈、QQ音樂等App也要獲取用戶的定位信息?
為何讀書軟件也要讀取用戶撥打電話的權(quán)限?
社交類App啟用麥克風(fēng)是為了便于交流,為何餐飲訂單平臺要啟用麥克風(fēng)及錄音功能?
事實(shí)上,手機(jī)里的不同權(quán)限對應(yīng)不同風(fēng)險 。民間非企運(yùn)營互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍告訴《IT時報》采訪人員 。
獲取通訊錄權(quán)限,大多用于做大數(shù)據(jù)畫像,同時獲得用戶的“社交關(guān)系”,容易被不法分子盜取后用于詐騙;
短信權(quán)限的風(fēng)險更大,如果被濫用,輕則被利用“薅羊毛”,重則被用于攔截短信驗(yàn)證碼,控制所有的數(shù)字資產(chǎn);
麥克風(fēng)權(quán)限,則可以用于監(jiān)聽;
至于位置、相冊權(quán)限,多用于建立行動軌跡和獲取相冊里的隱私 。
推薦閱讀
- Tesla 碰撞時存在安全隱患 特斯拉召回734輛進(jìn)口Model 3
- 安全 FBI認(rèn)定對JBS發(fā)起勒索軟件攻擊的幕后黑手是REvil
- 安全 諾頓宣布內(nèi)置于防病毒軟件中的安全型以太坊挖礦功能
- Apple 蘋果上線Apple Wallet/Apple Pay新頁面 突顯安全和便利
- 安全 微軟收購ReFirm實(shí)驗(yàn)室以提高其固件分析和安全能力
- 可咖杯安全么
- Microsoft 推動安全瀏覽:微軟為Edge瀏覽器引入自動HTTPS切換功能
- IT 兩款中國大疆無人機(jī)通過美國防部安全審查 獲準(zhǔn)使用
- 2021年6月1日 系好安全帶。
- 安全 PDF發(fā)現(xiàn)高危安全漏洞 黑客可篡改你已簽名的合同/文件