多款APP偷窃用户隐私资料,其中猎豹浏览默认器监听电话

2018-11-28,澎湃新闻,

 

“权限”相当于钥匙,手机APP获得与功能对应的权限可以理解,但如果申请的权限超过功能所需,消费者的个人信息就可能莫名外泄。

11月28日下午,上海市消保委通报关于规范浏览器、输入法、综合视频等手机APP涉及个人信息权限的测评结果,有的手机甚至出现自动发送短信等异常现象。

有意思的是,在这场通报会之前,上海市消保委已邀请18家涉事企业进行沟通。15家企业火速修改相关权限或者发布新版本。猎豹浏览器、触宝输入法、芒果tv三家企业未参加沟通会,APP也没有任何改进。

11月28日的发布会上,这三家企业仍然没有到场,超功能的权限设置也没有改变。其中,猎豹浏览器,甚至默认开通监听外拨电话、位置信息、发送短信的权限。

11月28日,上海市消保委发布会现场。澎湃新闻记者 邹娟 图

实际上,这已经不是上海市消保委第一次做APP个人隐私类的测评。

2018年7月18日,上海市消保委发布《地图类手机APP涉及个人信息权限评测结果》引起社会广泛关注。该评测结果显示,多款地图类手机APP存在申请的敏感权限与实际功能不完全对应等问题。

当时,高德地图、百度地图、腾讯地图等企业积极回应,并提交了相关情况说明及整改报告。未参加发布的搜狗地图、图吧导航也在会后积极与上海市消保委进行沟通,并根据测评反映的问题进行优化升级。企业通过紧急下线、取消获取、功能优化、版本更新等形式进行改进,相关问题得到解决。

有消费者称,当前手机APP涉及个人信息保护的问题受到各界关注,但仍存在监管空白。消费者希望上海市消保委在地图APP的基础上,扩大范围,进一步规范和推动行业发展。

为此,2018年8月-10月,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,对消费者反映集中及目前用户使用频度较高的 “输入法、浏览器、综合视频”三类18款应用进行了规范。

18款应用涉及的手机APP有:输入法(搜狗输入法、百度输入法、讯飞输入法、QQ输入法、触宝输入法);浏览器(UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、华为浏览器1、华为浏览器2);综合视频(优酷视频、腾讯视频、爱奇艺视频、芒果TV、哔哩哔哩)。

评测内容涉及“应用敏感权限的授权请求方式、申请的敏感权限是否存在与之对应的服务功能”两方面。问题主要集中在部分应用所申请的敏感权限存在无实际对应功能以及部分应用所采用的Android目标API版本过低方面。

其中,167项与用户个人信息密切相关的“敏感权限”中,发现存在25项无实际功能对照的权限申请,主要集中在:电话权限(5个)、短信权限(15个)、定位权限(2个)、日历权限(2个),读取附件(1),均与终端用户的个人信息密切相关。

有4款应用的Android目标API版本设定过低。而过低的API目标版本,一是在权限管理方面存在用户可知而不可控的问题,二是存在可规避系统安全机制的漏洞,容易造成用户个人信息泄漏,引发大量终端安全和个人信息保护风险。

为此,上海市消保委经过三个多月300多次多维度测试,法律团队和技术团队与企业进行五十几次沟通,就企业提供的数十份报告进行了审评。

为推动相关问题的解决,2018年10月,上海消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。一个月时间内,各相关应用厂商剔除无用权限达到23个,3款APP提升API目标版本,并均将全新修正版本向社会发布。

2018年11月,上海消保委再次针对这18款应用的最新版本进行技术验证,15款应用在敏感权限的申请、使用方面做到了合理申请、自主授权,充分保证了用户的知情权、选择权。

上海市消保委供图

其余3款应用,由于未到座谈会进行沟通,在新版本中,仍存有部分用途不明的敏感权限申请行为。其中:猎豹浏览器(V4.87.4) 存在:Android 目标 API版本过低、申请了与电话相关的权限、与短信相关权限,具体用途不明问题。触宝输入法(6.8.0.5)存在申请了与短信和定位相关的权限,具体用途不明问题。芒果TV (6.0.2)存在申请了与短信相关的权限,具体用途不明问题。

上海市消保委副秘书长唐健盛透露,这些应用获得的权限,大多数有短信或者通话权限,如此,即使消费者不知情,也可能手机自动发送消息。而且这些信息发送后,在手机上并不留痕迹。此外,API版本在23之下手机应用,相当于安全没有保障,建议不要使用。

上海市消保委副秘书长唐健盛回答澎湃新闻记者提问时表示,目前,国家对手机APP权限的开发、立法和标准不完善。简单说,很多都是概念上的规定,只要求必要正当合理。但是什么是必要正当合理,并没有明确的规定和规范。

事实上,目前市场上的APP开发者,全凭觉悟在做。“而且,觉悟高的不多。”唐健盛说道。为此,上海市消保委透露,希望国家相关主管部门能更加明确(APP权限),使之制度化。其次,希望能建立团体标准。

上海市消保委透露,对相关企业的改进措施表示赞赏,同时敦促未参加沟通的猎豹浏览器、触宝输入法、芒果TV作出切实的改进,以落实企业的诚信责任。

 

2018年11月28日,澎湃新闻

 

澎湃新闻网友《多款APP偷窃用户隐私资料,其中猎豹浏览默认器监听电话》

 

 

点击量:8

发表评论

电子邮件地址不会被公开。 必填项已用*标注