手機APP為何這么“貪心”？

廣州日報2019年3月29日訊 不給權限就不讓用APP，競爭對手索取了權限自己也“不甘人后”。已經(jīng)成為消費之痛的“過(guò)度索權”背后，是企業(yè)漠視個(gè)人信息保護心態(tài)在全行業(yè)蔓延帶來(lái)的“軍備競賽”。

手機APP“過(guò)多索權”仍存在

讀取聯(lián)系人和通訊錄，偷偷監控外撥電話(huà)，翻看手機通話(huà)記錄，甚至還開(kāi)啟了錄音功能，你的手機也許并不“老實(shí)”，甚至即便你安裝的手機APP都來(lái)自行業(yè)領(lǐng)先的“大公司出品”，這些APP的安全性并不能令人完全放心。

上海市消保委近期對網(wǎng)購平臺、旅游出行、生活服務(wù)等39款市場(chǎng)占有率領(lǐng)先的手機APP涉及個(gè)人信息權限評測顯示，截至3月23日，有9款手機APP存在索取的權限與功能無(wú)法對應的問(wèn)題，涉及聚美、窮游、貓途鷹、神州租車(chē)、百度糯米等。

比如，窮游APP向用戶(hù)索取“讀取聯(lián)系人”的權限，但并沒(méi)有提供相應的功能；神州租車(chē)APP向用戶(hù)索取“錄音”“監控外撥電話(huà)，重新設置外撥電話(huà)的路徑”等權限，但也并未能提供相應的功能。

此次發(fā)布的測評結果，已經(jīng)是上海市消保委第三次針對手機APP進(jìn)行的測評，此前已經(jīng)針對地圖類(lèi)、瀏覽器類(lèi)、輸入法類(lèi)以及綜合視頻類(lèi)等進(jìn)行了兩輪測評，發(fā)現存在數十項無(wú)實(shí)際功能對照的權限申請，包括讀取通訊錄、電話(huà)權限、短信權限、定位權限等。

上海市消保委秘書(shū)長(cháng)陶愛(ài)蓮說(shuō)，在三令五申下，APP過(guò)度索權問(wèn)題依然屢禁不止，即使是來(lái)自行業(yè)領(lǐng)先大公司的APP問(wèn)題同樣突出，已經(jīng)成為消費者的新痛點(diǎn)。

“過(guò)度索權”四大“怪”

手機APP“過(guò)度索權”為何難治？記者調查發(fā)現，手機APP過(guò)度索權存在四大值得警惕的新趨勢。

——“就是不升級”。在多輪測評中發(fā)現，手機APP使用的目標API級別過(guò)低的問(wèn)題比較明顯。在本輪測評中，百度糯米APP的用戶(hù)在安裝時(shí)，由于目標API級別過(guò)低，即便并沒(méi)有相應的使用場(chǎng)景，也“一攬子授權”了包括“讀取聯(lián)系人”“錄音”“讀取信息”等敏感權限，否則就無(wú)法正常使用該APP。

——“假裝不知道”。一些企業(yè)稱(chēng)，手機APP過(guò)度索權是程序員的“鍋”。一嗨租車(chē)相關(guān)負責人表示，企業(yè)程序員“開(kāi)發(fā)失誤”，“不小心上線(xiàn)了沒(méi)有使用場(chǎng)景的敏感權限，并沒(méi)有實(shí)際使用該權限”。而貓途鷹則表示企業(yè)存在失察的情況，沒(méi)有主動(dòng)去檢查是否存在索取已經(jīng)不存在應用場(chǎng)景的權限的問(wèn)題。

北京捷興信源信息技術(shù)有限公司技術(shù)支撐部總經(jīng)理盛大江指出，當目標API級別低于23時(shí)，安卓對于權限會(huì )采用一攬子授權的模式，存在可規避系統安全機制的漏洞，安全風(fēng)險比較大?！笆欠裉嵘鼳PI級別、檢查索權是否與使用場(chǎng)景對應，是企業(yè)的自主選擇。盡管工信部在內的監管部門(mén)都在提倡提升目標API級別到28，讓用戶(hù)的信息更加安全，但一些企業(yè)可能并沒(méi)有太多的動(dòng)力主動(dòng)去提升?！?/p>

——“千年用一次，也得索個(gè)權?！庇浾呤崂砗筒稍L(fǎng)專(zhuān)家發(fā)現，以讀取短信權限為例，企業(yè)認為索取這一權限可以方便消費者讀取短信驗證碼，但除了高頻發(fā)送驗證碼的金融類(lèi)等少量APP外，大量的APP需要讀取驗證碼的情形“百里挑一”，但卻因此獲得了如此敏感的權限，消費者的“隱私讓渡回報”明顯不足。還有一些手機APP在使用過(guò)程中不?！膀}擾”消費者獲取錄音權限，但提供的功能卻是少有人使用的“語(yǔ)音播報”。

——“用不上，創(chuàng )造條件也要上?！辈簧偈謾CAPP存在索取“非必要權限”的問(wèn)題。以日歷權限為例，測評顯示，有10多家手機APP尤其是網(wǎng)購類(lèi)平臺存在獲取用戶(hù)日歷的問(wèn)題。

相關(guān)企業(yè)在回應消保委時(shí)表示，日歷權限的索取可以方便消費者了解大促信息，但專(zhuān)家指出，相應的功能完全可以通過(guò)后臺推送的方式實(shí)現，并不需要額外獲取和調用日歷權限，涉嫌濫用使用場(chǎng)景?！叭f(wàn)一明天用上了呢？競爭對手有了我也要有。一些企業(yè)覺(jué)得，就算現在用不上，無(wú)法即時(shí)對消費者的數據進(jìn)行商業(yè)化的運用，也要先創(chuàng )造條件占上，‘以備后患’，甚至對標競爭對手‘他要我也要’?！?/p>

自我加壓索權“明明白白”

陶愛(ài)蓮指出，希望開(kāi)發(fā)者增強誠信意識，主動(dòng)作為，更好保護消費者個(gè)人信息安全，“上海市消保委將對手機APP過(guò)度索權問(wèn)題密切關(guān)注、持續關(guān)注?！?/p>

一些互聯(lián)網(wǎng)公司已經(jīng)在“自我加壓”，主動(dòng)把索取的權限和消費者“說(shuō)個(gè)明白”。比如，最新更新的手機淘寶APP，不僅將向用戶(hù)索取的權限以及其使用場(chǎng)景一一說(shuō)明，還明明白白地告訴消費者如果不愿意索取該項權限、可能影響使用的功能，方便消費者做出選擇。