安全 實測37款A(yù)pp:原來我們每天被讀取幾千次( 三 )
為何不同手機(jī)在獲取權(quán)限方面有不同的表現(xiàn)?采訪人員致電抖音和西瓜視頻的客服,對方表示暫未接到上述問題的反饋;Keep客服并未對此進(jìn)行解釋,但表示如果不想App獲取權(quán)限,用戶找到相應(yīng)權(quán)限將其關(guān)閉即可 。其余App的客服則無人接聽 。
業(yè)內(nèi)人士猜測,這或許與不同手機(jī)廠商對App索權(quán)的限制有關(guān),或者是某些應(yīng)用市場里的特制安裝包,有后門存在 。
“同款A(yù)pp針對不同的分發(fā)渠道,即使是同一個版本也會有針對性不同的策略,可能從正規(guī)應(yīng)用市場下載的App符合監(jiān)管要求,用戶授權(quán)前不會收集任何個人信息,但我從其他第三方分發(fā)平臺下載的同名稱應(yīng)用就會存在問題 。”安天移動安全大白鵝團(tuán)隊說 。
碁震安全研究團(tuán)隊高級研究員宋宇昊認(rèn)為,安卓系統(tǒng)原生提供了針對一部分權(quán)限的訪問控制(比如通話、相機(jī)、麥克風(fēng)),對于這部分訪問權(quán)限的提示,在所有安卓手機(jī)上都是相同的 。
但是在這部分權(quán)限以外,例如手機(jī)識別碼的權(quán)限控制,并不是安卓原生提供,而是由各家手機(jī)廠商自己定制的 。在這種情況下,需要控制哪些權(quán)限、默認(rèn)允許禁止都是根據(jù)廠商自己對于敏感信息的理解來設(shè)計的 。
在獲取用戶權(quán)限方面,蘋果就規(guī)范許多 。用戶可以在設(shè)置中輕易找到App所需的定位、麥克風(fēng)、相機(jī)、藍(lán)牙、Siri權(quán)限,并將其手動關(guān)閉 。iOS系統(tǒng)從7.0開始就停止了IMEI相關(guān)接口開放,開發(fā)者無法直接獲得相關(guān)權(quán)限 。4月7日,蘋果宣布,未來幾個星期內(nèi)將實施全新的隱私采集用戶披露和許可政策 。
04
IMEI碼也是個人信息
37款A(yù)pp的“個人隱私權(quán)限政策”中,基本都有類似條款:“當(dāng)您使用本款應(yīng)用時,我們會搜集你的設(shè)備信息,包括設(shè)備型號、唯一設(shè)備標(biāo)識符、設(shè)備MAC地址、操作系統(tǒng)類型、屏幕分辨率、電信運營商、登錄IP地址、軟件版本型號、接入網(wǎng)絡(luò)的方式、網(wǎng)絡(luò)質(zhì)量數(shù)據(jù)??”
從《規(guī)定》對39類App詳細(xì)要求來看,并沒有對IMEI碼、IP地址等信息有明確要求,那么,設(shè)備信息是否屬于本次《規(guī)定》的監(jiān)管范圍?
《民法典》中規(guī)定,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等 。
另外,《中華人民共和國個人信息保護(hù)法(草案)》規(guī)定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息 。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動 。
IMEI碼是國際移動設(shè)備識別碼的簡稱,即通常所說的手機(jī)序列號,因其唯一不可變被稱為手機(jī)的“身份證” 。
文章圖片
上海大邦律師事務(wù)所合伙人游云庭認(rèn)為,手機(jī)IMEI碼是手機(jī)硬件的編號,通過識別此編號,可以識別出使用手機(jī)的個人,屬于個人信息 。
在互聯(lián)網(wǎng)廣告聯(lián)盟生態(tài)鏈中,IMEI碼是一個核心要素 。一個IMEI碼就可以在廣告聯(lián)盟間追蹤用戶的標(biāo)簽,互聯(lián)網(wǎng)巨頭利用龐大的生態(tài)圈收集各種類型的原始數(shù)據(jù),為用戶打上標(biāo)簽,最終形成一張全面精準(zhǔn)的用戶畫像,幫助廣告主精準(zhǔn)匹配目標(biāo)用戶 。
如果IMEI碼也被定義為個人信息,根據(jù)《規(guī)定》,5月1日后,39類App都不得采集該信息 。
“《規(guī)定》實施后,App在此前已經(jīng)收集到的信息理應(yīng)刪除,但實踐中不會有廠商這么做,他們還有可能拿著已經(jīng)收集到的信息去匹配其他信息給用戶畫像 。不過,一旦這種行為被發(fā)現(xiàn),將會受到相應(yīng)的懲罰 。”游云庭說 。
“實際上,在《通知》出臺前,手機(jī)里的App早已獲取到了IMEI碼,存量市場的用戶畫像早已被利用 。《通知》出臺后,對00后、10后的用戶畫像會得到克制 。但《通知》并未提及此前被App收集到的用戶信息應(yīng)當(dāng)如何處理,用戶主動搜索行為產(chǎn)生的畫像還是無法約束 。”曲子龍說 。
目前國家正在加緊制定出臺《數(shù)據(jù)安全法》《個人信息保護(hù)法》,《個人信息保護(hù)法》草案已提請全國人大常委會審議,對于個人信息的定義有望更加準(zhǔn)確界定 。
05
小程序也在約束范圍之內(nèi)
另外,《通知》特別提到,“App包括移動智能終端預(yù)置、下載安裝的應(yīng)用軟件,基于應(yīng)用軟件開放平臺接口開發(fā)的、用戶無需安裝即可使用的小程序”,這意味著小程序也被納入監(jiān)管 。5月1日起,任何組織和個人發(fā)現(xiàn)違反本規(guī)定行為的,可以向相關(guān)部門舉報以維護(hù)自身權(quán)益 。
推薦閱讀
- Tesla 碰撞時存在安全隱患 特斯拉召回734輛進(jìn)口Model 3
- 安全 FBI認(rèn)定對JBS發(fā)起勒索軟件攻擊的幕后黑手是REvil
- 安全 諾頓宣布內(nèi)置于防病毒軟件中的安全型以太坊挖礦功能
- Apple 蘋果上線Apple Wallet/Apple Pay新頁面 突顯安全和便利
- 安全 微軟收購ReFirm實驗室以提高其固件分析和安全能力
- 可咖杯安全么
- Microsoft 推動安全瀏覽:微軟為Edge瀏覽器引入自動HTTPS切換功能
- IT 兩款中國大疆無人機(jī)通過美國防部安全審查 獲準(zhǔn)使用
- 2021年6月1日 系好安全帶。
- 安全 PDF發(fā)現(xiàn)高危安全漏洞 黑客可篡改你已簽名的合同/文件