目前25000+人已关注加入我们
明明是一款网购类APP,
为什么要使用你的手机麦克风?
一款外卖平台APP,
为何却要读取你的通话记录?
你手机上的APP*载下**后,
到底能看到你哪些隐私?
25款存在向消费者索取的敏感权限
与实际功能不对应等问题
3月27日下午,上海市消保委公布对39款手机APP涉及个人信息权限评测结果。结果显示,共有25款存在向消费者索取的敏感权限与实际功能不对应等问题,其中包括穷游、聚美、神州租车等在内的9款至今仍未整改。
此外,“日历”敏感权限问题令人担忧,仅有0.4%消费者予以关注。上海消保委提醒消费者,日历记录通常涉及私人敏感信息,对APP的日历权限应谨慎授权。
测评39款 25款APP存问题
上海市消保委近期对网购平台、旅游出行、生活服务等39款手机应用开展第三期手机APP涉及个人信息权限评测。
具体39款APP如下:
记者了解到,此次评测主要从四个方面进行:
一是APP所使用的目标API级别。当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式,存在可规避系统安全机制的漏洞。
二是APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用。
三是注敏感权限的授权方式。是否存在一揽子授权的模式,如何向用户提出授权请求。
四是查看是否存在无实际功能对应用的权限申请。
评测发现,15款网购平台类APP中10款存在问题,13款旅游平台类APP中7款存在问题,11款生活平台类APP中8款存在问题。
格瓦拉等9款敏感权限仍未改进
目前(截止到3月23日),仍有9款应用未能就其权限和功能无法对应的问题进行改进。包括聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)。
问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
以穷游APP为例,一共向用户申请了9个权限,包括电话、存储空间、通讯录(新增)、位置信息等。其中,电话、通讯录未发现实际运用功能。
神州租车APP向用户申请的9个敏感权限中,电话(拨打电话),电话(监控外拨电话、重新设置外拨电话路径),麦克风等3个权限并未发现对应功能。
而格瓦拉生活APP中,短信、通讯录、麦克风等三个敏感权限也同样未发现对应功能。
约谈39家到了37家
部分现场回应:将立即整改
在3月27日下午召开的相关发布会上,上海消保委就此约谈了39家APP相关负责人。
发布会上,针对专家解读APP中存在的问题,部分企业代表做出了回应。
比如,饿了么APP新增了读取通话记录的权限,相关负责人现场回应时表示,“这一新增功能是平台接入第三方插件时,在不知情情况下上线,在最新版本中已经做下线处理。
百度糯米共申请12个用户敏感权限,专家指出,其中,拨打电话,短信(读取短信,发送短信和接受讯息3个),第二次评测时上述4个权限均已删除。但目前存在API级别过低风险问题。
对此,百度糯米相关负责人表示,针对API版本过低问题,预计4月份将发布最新修复版本。
猫途鹰APP相关负责人现场回应表示,针对平台申请的与实际功能不对应的拨打电话权限,此前确实存在失查,将以最快速度作出整改。
警惕!
不要随意授权日历权限!
本次评测发现,不少网购类APP获取了日历权限,而调查也表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
上海市消保委就此开展的网络调查数据显示,69.9%的消费者关注手机APP获取个*权人**限问题。其中,通讯录权限最为关注,占43.5%;26%的消费者关注电话、短信权限。值得关注的是,仅有0.4%的消费者关注日历权限。
APP为何要获取用户日历权限?相关企业回应时表示,申请日历权限是为了方便消费者了解相关大促信息。但是,专家指出,相应的功能完全可以通过后台推送来实现。
“日历权限给消费者带来的可能性风险大于给消费者带来的便利。”市消保委建议消费者和APP开发者都能对日历权限加以重视。消费者经常使用日历记录敏感事项,对APP的日历权限应谨慎授权,此外,APP开发者如无十分必要,尽可能不申请手机日历权限。
市消保委:希望企业要履行法定义务
上海市消保委秘书长陶爱莲坦言,目前,消费者越来越关注个人信息的保护,一方面拼命防守,但同时又防不慎防,境地很尴尬。
《网络信息安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
“法律上已经有了明确规定,但真正落地,还是需要企业积极贯彻落实。”陶爱莲建议企业积极履行法定义务,针对目前的问题,积极梳理并主动整改和回应。市消保委也还将持续跟踪后续问题。
• End •
来源丨上海法治报