“我一般新装一个APP会把权限全禁了,有时候真搞不懂一个APP要那么多权限干嘛。”小王(化名)对记者抱怨道。为了方便日后升级更新,很多APP即使功能简单,开发者也会申请多个权限提前占坑。
有关中国电信旗下一App索要70多项权限并修改通讯录的报道再次引发了网民对APP过度索权、隐私泄露话题的关注。随后,中国电信回应称,“在用户同意的前提下,遵循合法、正当、必要的原则,该App采用统一申请用户授权的方式,以便根据用户需要及时提供所需服务。”当用户同意授权后,该App才能使用这些权限。”
“不管是手机APP还是PC端,一些企业肆无忌惮地收集大量的用户信息,但是用这些信息就能有效实现商业价值吗?也未必,有可能他(企业)也不知道真的能做什么,或者一直没用上。”火绒安全联合创始人马刚在接受一财科技记者采访时表示。
在数据是石油的时代背景下,不少企业认为数据越多越好,过度获取用户数据。一方面,是企业对数据的渴望,另一方面,企业并未妥善保管,甚至进行地下交易,导致网络黑灰产业已相当庞大。
提防过度获取权限
从年初今日头条麦克风权限“偷听”隐私事件,支付宝2017年度账单默认勾选《芝麻信用协议》,到微信是否会存储、读取聊天记录的探讨,再到最近李彦宏“愿用隐私换便捷”言论引发争议,一次次事件不断刺激着用户敏感的神经,中国用户真的不在乎隐私吗?
根据新京报和清研智库最近的调查显示,近七成受访者“用隐私换便捷”是“被自愿”,七成以上的人认为网络平台在尊重和保护用户隐私方面做得不好。北京市消费者协会3月7日发布的手机APP个人信息安全调查报告也显示,有近九成的人认为手机APP存在过度采集个人信息,近八成的人认为手机APP上的个人信息不安全。
以安卓市场手机APP索权为例,小王对记者表示,每次下载安装新的APP时,都会申请开通权限,其中包括使用电话权限、使用位置权限、使用通讯录权限等。如果不同意,则无法使用该APP。
手机APP过度获取用户权限与APP开发者的立场和企业商业逻辑有关。一位业内人士对记者表示,如果操作系统不做强制性设定,开发者基本不会管。很多互联网企业不会给自己设限,因为很多刚开发的APP只提供相对简单的功能,发展到一定阶段会提供更多功能和服务,需要一些新权限。“很多开发者不知道未来这个软件需要哪些权限,在开发第一个版本时就会申请很多权限,方便以后升级更新。但是很多功能,它即使申请权限也不一定用,这种占坑的情况非常普遍。”
今年年初,腾讯社会研究中心与DCCI互联网数据中心联合发布了《2017年度网络隐私安全及网络欺诈行为分析报告》(下称《报告》)。报告显示,通过手机应用获取用户隐私现象十分普遍。2017年下半年,有98.5%的安卓应用在获取用户隐私权限。其中,有9%的手机应用存在越界获取用户隐私权限的现象。
如何界定过度获取信息?马刚对记者表示,“够用就好,不能收集更多”。对于有些软件而言,强制授权有一定合理性,如地图类、出行类软件需要获取用户的位置信息。但是更多的情况是,APP在初次安装打开时只通知用户一些敏感权限,实际会获取更多的权限。记者查看手机权限管理时发现,绝大部分已下载的APP都会默认读取已安装应用列表。据悉,目前不少大数据公司都通过获取已安装应用列表权限,掌握用户同时安装的其他软件,借此分析竞品的市场份额,并对用户标签化,为商业企业提供精准营销服务。
一位网络安全专家告诉记者,在判断手机APP是否过度申请权限时,用户需要结合自己的需求,“假如一个非常简单的工具类APP,如手电筒、小游戏要获取较多权限,就可以把较为敏感的权限,如联系人、定位等关了。”在应对强制授权问题时,该专家表示,目前这需要手机系统层面解决。对于用户而言,在安装时如果被迫选择授权,弥补措施是,安装后再用权限管理软件关闭相应的权限,“你可以保留你需要的、无风险的,然后把有风险的权限关掉。”
打响个人信息保卫战
获取权限不是作恶的第一步,判断一个软件是否真的恶意不能仅看权限,普通用户也很难分辨,可以通过依靠安全软件对所有的APP进行行为分析,“分析的过程当中并不会只看权限,会看这个程序调用的代码是不是真的有问题,涉及到窃取用户的数据。”网络安全专家说。
山寨APP是一大公害。不少山寨APP有和正版APP一样的图标、文字,难辨真假。这些APP多含偷跑流量、隐私泄露等恶意代码。过度索权、山寨APP还只是APP乱象的一部分。而除了手机APP获取,上述《报告》显示,移动网络隐私的泄露还有免费WiFi窃取、旧手机设备泄露,以及黑客盗取企业大数据等渠道。
造成用户信息泄露原因众多,APP只是其中的一个入口,还涉及到信息数据的管理,网站本身的原因,或者黑客攻击等,“如果大家都把眼光只看到APP行为本身,或者是只盯着APP的权限上这个是不够的。”
2017年6月1日起,《中华人民共和国网络安全法》正式开始实施。上述专家表示,国家公务人员或者某些掌握数据的人员泄露用户数据,已经可以通过法律制裁,但个人隐私保护的相关法律不够完善,“相关的草案(《中华人民共和国个人信息保护法(草案)》)已经公布了,但是目前也没有定下来”,而要靠行业规范难度也不小,“各个厂商、各个APP开发者对APP申请权限都有自己的理由。你很难让各家公司或相应的开发者达成共识。现有的这种这种情况下,可能还是需要依靠操作系统本身的改进来解决这个问题。”
网民在无意中泄露自己信息的情况也极其普遍。以现金贷为例,一些现金贷企业对信息的获取没有指定,也完全没有底限。参与现金贷的人毫无隐私可言,“这些人去申请贷款时,通过APP提交非常详细的个人信息,还有包括同学、朋友、亲戚等信息。这些现金贷公司三天两头倒闭,他们的数据在地下买卖,互通,不停地流转。”
由此衍生的黑灰色产业已相当庞大。此前,阿里巴巴集团安全部副总裁杜跃进曾对媒体表示,中国现在网络黑灰产业一年的产值已达千亿,而网络安全的全部产值不到300亿,其中黑灰产业造成的损失至少乘以20倍。他称,很多黑灰产业从业者利用大数据的能力甚至超过一些知名互联网企业,能够精准获取数据,进行精确诈骗。
信息的售卖对象包括诈骗、盗窃等行业,以及金融、精准营销等。被兜售最多的信息便是用户的联系方式、账号密码。马刚告诉记者,通过账号密码等个人信息真正盗取用户的资金或财产的情况比较少,“这些明显违法的很少,一般大家都不敢干,更多的主要就是用来推销、做广告。”由于目前法律法规的不完善,很多所谓向用户推送商业信息、广告的精准营销处于灰色地带。“虽然知道这好像不对,或者涉嫌侵权,但是没有明确规定,处罚也不是很明确,处于灰色地带,就会放开了干。”
为防止个人隐私信息泄露,《报告》建议,用户可从以下五点着手:一是下载软件选择正规渠道,如安卓市场等;二是谨慎填写个人隐私信息,防止信息被无谓的采集;三是管理手机软件中的隐私权限,了解软件权限行为,关闭不必要的授权;四是防范公共Wi-Fi,转账与支付时改用数据流量;五是通过“恢复出厂设置-格式化-反复拷入大文件并删除”三步骤,彻底清理旧手机信息。
上海专业APP开发公司:三点网络科技有限公司,专注于各种App的定制开发,微信公众号开发,微信开发,欢迎来电咨询!