随着移动互联网的快速发展,手机已经成为生活中必不可少的一部分。不同的消费需求和习惯,催生了大量手机应用软件。然而,“个人信息泄露,合法权益被侵犯”等问题突出,尤其是“手机应用权限过度申请”引发各种争议。对消费者反映集中及目前用户使用频度较高的 “输入法、浏览器、综合视频”三类18款应用,从今年8月到10月,上海市消保委委托北京捷兴信源信息技术有限公司,进行了测评。
18款应用涉及的手机APP都是必备品,用户量均在千万级别或过亿级别:输入法(搜狗输入法、百度输入法、讯飞输入法、QQ输入法、触宝输入法);浏览器(UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、华为浏览器(2个版本));综合视频(优酷视频、腾讯视频、爱奇艺视频、芒果TV、哔哩哔哩)。评测内容涉及“应用敏感权限的授权请求方式、申请的敏感权限是否存在与之对的服务功能”两方面。
测评发现,问题主要集中在部分应用所申请的敏感权限存在无实际对应功能以及部分应用所采用的Android目标 API版本过低方面。其中,167项与用户个人信息密切相关的“敏感权限”中,发现存在25项无实际功能对照的权限申请,主要集中在:电话权限(5个)、短信权限(15个)、定位权限(2个)、日历权限(2个),读取附件(1),均与终端用户的个人信息密切相关。
值得注意的是,有4款应用的安卓目标 API版本设定过低。比如,猎豹浏览器的版本为19,这是数值相当于安卓2013年的版本。北京捷兴信源信息技术有限公司测试部总经理盛大江表示,过低的API目标版本,意味着这种授权方式可以不由用户授权,只需要申明即可。这会导致不少安全隐患,比如在权限管理方面存在用户可知而不可控的问题,也可能存在可规避系统安全机制的漏洞,容易造成用户个人信息泄漏,引发大量终端安全和个人信息保护风险。
为此,上海市消保委经过300多次多维度测试,法律团队和技术团队与企业进行五十几次沟通,就企业提供的数十份报告进行了审评。2018年10月,上海消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。据统计,在短短一个月时间内,各相关应用厂商剔除无用权限达到23个,3款APP提升API目标版本,并均将全新修正版本向社会发布。
2018年11月,上海消保委再次针对这18款应用的最新版本进行技术验证。在新版本中,仍存有部分用途不明的敏感权限申请行为。其中猎豹浏览器(V4.87.4)申请了与电话相关的(PROCESS_OUTGOING_CALLS)权限、与短信相关(SEND_SMS)权限,具体用途不明;触宝输入法(6.8.0.5)存在:申请了与短信和定位相关的(SEND_SMS)和(ACCESS_FINE_LOCATION)权限,具体用途不明;芒果TV (6.0.2)存在:申请了与短信相关的(SEND_SMS)权限,具体用途不明。
上海市消保委副秘书长唐健盛认为,个人信息保护的关键是规范收集和使用,重视个人信息保护是APP开发者诚信度的体现。他建议,相关企业是否能有团体标准进行自我约束和自我规范,让消费者更加放心使用。
作者:徐晶卉
编辑:王翔
责任编辑:钮怿
*文汇独家稿件,转载请注明出处。