上门反窃听探测用百度糯米、饿了么等APP注意了,授权这项隐私
2019-06-21
而APP开发者如无十分必要,建议尽可能不使用手机日历权限

手机是“上班族”必备,手机上的各种APP也为人们的生活提供了便利。但当人们下载各类APP时,其照片、短信、手机联系人等重要个人信息却可能在下载安装APP时就被盗取。部分APP还可能对手机自动开启录音功能,用户的个人隐私难以保障。3月27日,上海市消保委公开约谈39家互联网企业并集中曝光,其中25款APP存在收集职工个人敏感权限的问题、“日历”权限风险最令人担忧,聚美、神州租车等9款APP问题较为严重。上海市消保委要求各互联网企业立即整改的同时还披露,今年中消协将对1000个手机APP进行公开评测。

据了解,此次评测主要从四个维度进行:包括APP所使用的目标API级别、APP敏感权限的数量、敏感权限的授权方式,以及查看是否存在无实际功能对应用的权限申请。结果发现,15款网购平台类APP中有10款存在问题,13款旅游平台类APP中有7款存在问题,11款生活平台类APP中有8款存在问题。

微信图片_20190328134850.jpg?x-oss-process=style/w10

手机APP上演“窃听风云”

截至测评结果公布,仍有9款应用未能就其权限和功能无法对应的问题进行改进。包括聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1)、神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)等共9款手机APP。问题主要涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。其中,饿了么还被发现新增了“读取通话记录”的问题,格瓦拉则存在读取手机联系人的安全风险,百度糯米对手机照片、联系人等都存在“安装即获取”的问题。

今年央视3·15晚会曝光“探针盒子”窃取用户手机信息后,“窃听风云”就成了广大用户在使用手机APP软件时最为担心的问题。约谈现场,问题较为严重的“穷游”和“聚美优品”并未参加,部分互联网企业代表做出了现场回应。

“一嗨租车”称“短信权限是开发时的失误造成的,但并未实际使用,在新版本中已经删去”。对于“读取通话记录”这一敏感问题,“饿了么”表示该权限“在不知情的情况下上线,已于3月22日进行下线”。“格瓦拉”的短信、通讯录、麦克风等三个权限并未找到对应功能,企业方在现场回应中表示,已于3月26日发布的新版本中取消了上述3个权限。百度糯米则表示,相关问题已立即整改。

“日历权限”不容小视 生活工作隐私都将暴露

在使用手机APP时,鲜有用户在使用时会注意到“日历权限”。网络调查数据显示,69.9%的受访消费者关注手机APP获取个人权限问题。其中,通讯录权限最为关注,占43.5%;26%的人关注电话、短信权限。值得关注的是,仅有0.4%的人关注日历权限。但调查也表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及职工个人信息、商业机密等。

据统计,用手机日历功能记录行程使用频度高。其中,手机日历具有时间提醒、行程记录等功能。网络调查显示,52.5%的消费者用手机日历功能记录个人行程。其中,24.7%的消费者选择记录日常生活行程;18.5%的消费者记录日常生活及工作等行程。近五成消费者重视手机APP涉及个人权限问题。个人信息保护成为消费者关注的焦点。网络调查显示,49.9%的消费者重视手机APP涉及个人权限问题。其中,33.7%的消费者“关注过,并越来越重视”;还有19.9%的消费者表示“不关注”。

上海市消保委指出,日历权限带来的可能性风险大于给其给用户所带来的便利,网购类平台使用日历权限给职工带来的场景可以用其他技术手段加以替代。据此,上海市消保委建议:如广大用户经常使用日历记录敏感事项,对APP的日历权限应谨慎授权;而APP开发者如无十分必要,建议尽可能不使用手机日历权限。约谈中还提到了用户使用手机时最易出现的“广告推送”问题,“饿了么”和“美团”对其商业广告的排序做出了回应,上海市消保委表示应根据《电商法》的相关规定进行标注。

微信图片_20190328134855.jpg?x-oss-process=style/w10

中消协将普测1000款APP