编者按:本文来自微信公众号“IT时报”(ID:vittimes),作者:李丹琦,36氪经授权发布。
图源:IT时报
30秒快读
1、5月1日后,39类App将被限定收集信息范围,谁会被戴上紧箍咒呢?
2、记者实测37款App发现,快手、UC、Keep等App仍涉嫌过度索权。
3、远不止上述这些,大量App都在强行读取你的存储卡和手机“身份证”。
微信获取位置信息69次、读写储存空间549次,高德地图获取位置信息34次、抖音获取位置信息23次、支付宝获取位置信息13次、微博获取位置信息12次⋯⋯这是冯小杰手机App一天的权限使用记录。
他使用的是小米手机,手机里的“应用行为记录”功能记录了手机App不为人知的另一面。
就在他打开“应用行为记录”的前3分钟,网易云音乐、百度网盘、快手、微信、什么值得买、支付宝先后自启动,一刻相册和网易云音乐App分别读写了手机里的照片和文件,微信和微博获取了一次手机信息。
刷了5分钟抖音后,小米“空白通行证”共向抖音返回5116次空信息。
图源:IT时报
看到这里,冯小杰感到后背发凉。生活中的他非常注意个人隐私保护,但明枪易躲,暗箭难防。十几款手机App竟然在自己毫无感知的情况下,几乎看光了他手机里的全部内容。
为何有些App没有主动告知我就偷偷自启动读写我的储存空间、照片和文件?为何一些和自身服务定位毫不相干的权限,App都想要?吊诡的是,这些App在调取手机权限时,早已在不知不觉间经过了用户允许。
半个月前,国家互联网信息办公室、工业和信息化部等四部门联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》(简称《规定》),明确对39类App划定了必要个人信息范围,5月1日起正式实施。这意味着,App、小程序运营者过度索权的行为将会得到规范,公民在网络空间的合法权益将会得到保护。
距离此项《规定》正式落地已不足一个月,《IT时报》记者对市面上包含社交、购物、出行、娱乐在内的37款主流App使用权限进行测试后发现,仍然有不少App涉嫌过度索权,其中不乏百度地图、快手、UC等知名App。
今年1月,小米MIUI隐私保护能力建设研发团队公布了这样一组数据:“平均每部手机每天会被App定位3691次,相册和个人文件每天被App访问2432次,App在后台每天尝试悄悄地启动783次,有超过40万个App可以直接读取用户的剪切板。”
图源:小米
简单计算,一部手机平均每小时会被App定位154次,平均1分钟被定位2.56次。你根本无法察觉App暗中在做什么。
App对用户信息的渴望,远超用户想象。
4月7日,《IT时报》记者使用一部安卓国产手机下载了较为常用的37款App,涵盖社交、娱乐、电商、出行等领域。
从手机权限管理界面中看到,37款App都涉嫌索要定位权限、拍照、录像权限以及手机识别码(IMEI码)权限。
不仅如此,33款App索要通讯录权限,大多要求“读取联系人”,微信、QQ、脉脉、淘宝、微博5款App获取的通讯录权限还包括“新建/修改/删除联系人”;
QQ、铁路12306和微博3款App还索取“读取彩信”“读取短信记录”的权限;
番茄免费小说则需要读取用户拨打电话的权限。
一些App在其“个人信息保护政策”中对此做了解释。
美图秀秀称,收集用户位置、设备信息是为了帮助用户获得更感兴趣的社区内容,或在工具素材和广告内容推荐上呈现更符合需求的内容,减少对海量内容筛选的时间;
bilibili表示,索取设备信息权限是为了给用户提供视频展示和播放服务,索取定位是为了定向推荐、维护和改进产品之必须;
番茄免费小说申请电话权限,是为了用户看到广告页需要拨号和显示对方电话所设置⋯⋯
除上述授权要求外,有不少App还需要读取用户的剪切板、日历、存储等权限。
如果一款导航类App索取定位是为了给用户提供服务,为何爱奇艺、bilibili、脉脉、QQ音乐等App也要获取用户的定位信息?
为何读书软件也要读取用户拨打电话的权限?
社交类App启用麦克风是为了便于交流,为何餐饮订单平台要启用麦克风及录音功能?
事实上,手机里的不同权限对应不同风险。民间非企运营互联网安全组织网络尖刀创始人曲子龙告诉《IT时报》记者。
获取通讯录权限,大多用于做大数据画像,同时获得用户的“社交关系”,容易被不法分子盗取后用于诈骗;
短信权限的风险更大,如果被滥用,轻则被利用“薅羊毛”,重则被用于拦截短信验证码,控制所有的数字资产;
麦克风权限,则可以用于监听;
至于位置、相册权限,多用于建立行动轨迹和获取相册里的隐私。
至于App自动读取手机的应用列表,是通过应用列表分析用户使用什么应用、使用多少次,大多用于广告大数据分析,也有一些手机助手是为了判别用户是否安装某程序,是否需要推荐以及程序是否需要升级。
《常见类型移动互联网应用程序必要个人信息范围规定》开篇便明确,网络运营者不得收集与其提供服务无关的个人信息,移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
但当记者对一些常用App进行测试后发现,不授权便不可用的现象,较为普遍。
图源:IT 时报
比如,《规定》对运动健身类App的要求均是无须个人信息,即可使用基本功能服务。
记者测试了部分健身类App发现,如果不登陆用户账号将无法正常使用keep、Hi运动、每日瑜伽App。
在安卓手机应用市场里下载“美腿瘦腿”App时,会跳出授权选项,需要用户授权App读取存储、电话、位置信息、麦克风、通讯录及其他权限,如果不同意,将无法下载该App。
比如,《规定》对于女性健康类App的要求是无须个人信息,即可使用基本功能服务。但当记者打开妈妈网备孕App时,必须要注册信息,否则不能正常使用。
此外,记者还发现,很多权限用户无法手动进行关闭,而一旦在开始点击了同意隐私协议,或者打开了某项权限,该权限下方所包含的更多细节也都一并处于默认打开状态。
长期专注于移动安全领域的厂商安天移动安全,近年来持续大力投入,形成了一套针对移动风险应用治理的有益体系,其中也包含了对App隐私权限问题的针对性检测,能够较好检出App违法违规收集个人信息的各类问题。
“根据目前我们检出的数据统计结果,Top3隐私权限问题为‘无隐私弹窗、弹窗前收集个人信息、强制索权’。其实目前市面上的很多应用均或多或少存在一定隐私权限方面的问题,这是普遍现象。”安天移动安全方面人士说道。
更令人惊讶的是,有些App的权限被用户拒绝后,却又悄悄被打开了。
记者在一台魅族手机自带的应用商店里下载了一款百度地图App,首页默认勾选开启定位、存储、麦克风、设备信息四项授权,并在屏幕最下方有“同意”和“不同意并退出”的按钮。
记者将四项授权全部取消后,点击“同意”按钮,便进入百度地图搜索页面。然而,当记者查询某条路线时,百度地图依然自动定位了“我的位置”,并提供了导航路线。
这是怎么回事?记者进入手机里百度地图“应用访问授权”设置后发现,在已经拒绝的前提下,位置信息、存储空间、日历、电话、相机、通讯录和麦克风均为开启状态。
图源:IT时报
根据《规定》,地图导航类App的基本功能服务为“定位和导航”,必要个人信息为位置信息、出发地、到达地。但如果根据记者的测试结果,这款百度地图App不仅涉嫌过度索权,而且还有欺骗用户的嫌疑。
然而,曲子龙在自己的华为手机上做了同样测试,无论是从华为应用市场还是魅族应用市场中下载的百度地图,只要在初始状态拒绝授权,其权限内默认是关闭状态。
百度地图客服人员用两款手机测试后,得到了和曲子龙同样的结论,但她也坦承,目前暂时无法确定记者测试结果不同的原因,可能是与手机型号有关。
记者分别用魅族和华为手机测试了其他App,测试发现,首次打开App的状态下,没有点击任何授权,以下App分别启动了部分权限。
记者在“应用权限管理”中看到:快手、西瓜视频、抖音、腾讯视频、keep、uc浏览器、搜狗浏览器均在自动读取应用列表。在此基础上,西瓜视频和抖音、keep、UC浏览器还在读取手机识别码;腾讯视频和搜狗浏览器均可以修改系统设置。
尽管以上App 提供的基本服务不同,但根据《规定》,短视频类、新闻资讯类、在线影音类、浏览器类、运动健身类App均无须个人信息,即可使用基本功能服务。根据记者的测试结果意味着,上述App涉嫌过度索权。
但是,记者使用华为手机用同样的方式对上述App进行测试发现,以上App的权限均为禁止状态。
为何不同手机在获取权限方面有不同的表现?记者致电抖音和西瓜视频的客服,对方表示暂未接到上述问题的反馈;Keep客服并未对此进行解释,但表示如果不想App获取权限,用户找到相应权限将其关闭即可。其余App的客服则无人接听。
业内人士猜测,这或许与不同手机厂商对App索权的限制有关,或者是某些应用市场里的特制安装包,有后门存在。
“同款App针对不同的分发渠道,即使是同一个版本也会有针对性不同的策略,可能从正规应用市场下载的App符合监管要求,用户授权前不会收集任何个人信息,但我从其他第三方分发平台下载的同名称应用就会存在问题。”安天移动安全大白鹅团队说。
碁震安全研究团队高级研究员宋宇昊认为,安卓系统原生提供了针对一部分权限的访问控制(比如通话、相机、麦克风),对于这部分访问权限的提示,在所有安卓手机上都是相同的。
但是在这部分权限以外,例如手机识别码的权限控制,并不是安卓原生提供,而是由各家手机厂商自己定制的。在这种情况下,需要控制哪些权限、默认允许禁止都是根据厂商自己对于敏感信息的理解来设计的。
在获取用户权限方面,苹果就规范许多。用户可以在设置中轻易找到App所需的定位、麦克风、相机、蓝牙、Siri权限,并将其手动关闭。iOS系统从7.0开始就停止了IMEI相关接口开放,开发者无法直接获得相关权限。4月7日,苹果宣布,未来几个星期内将实施全新的隐私采集用户披露和许可政策。
37款App的“个人隐私权限政策”中,基本都有类似条款:“当您使用本款应用时,我们会搜集你的设备信息,包括设备型号、唯一设备标识符、设备MAC地址、操作系统类型、屏幕分辨率、电信运营商、登录IP地址、软件版本型号、接入网络的方式、网络质量数据⋯⋯”
从《规定》对39类App详细要求来看,并没有对IMEI码、IP地址等信息有明确要求,那么,设备信息是否属于本次《规定》的监管范围?
《民法典》中规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
另外,《中华人民共和国个人信息保护法(草案)》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
IMEI码是国际移动设备识别码的简称,即通常所说的手机序列号,因其唯一不可变被称为手机的“身份证”。
图源:IT时报
上海大邦律师事务所合伙人游云庭认为,手机IMEI码是手机硬件的编号,通过识别此编号,可以识别出使用手机的个人,属于个人信息。
在互联网广告联盟生态链中,IMEI码是一个核心要素。一个IMEI码就可以在广告联盟间追踪用户的标签,互联网巨头利用庞大的生态圈收集各种类型的原始数据,为用户打上标签,最终形成一张全面精准的用户画像,帮助广告主精准匹配目标用户。
如果IMEI码也被定义为个人信息,根据《规定》,5月1日后,39类App都不得采集该信息。
“《规定》实施后,App在此前已经收集到的信息理应删除,但实践中不会有厂商这么做,他们还有可能拿着已经收集到的信息去匹配其他信息给用户画像。不过,一旦这种行为被发现,将会受到相应的惩罚。”游云庭说。
“实际上,在《通知》出台前,手机里的App早已获取到了IMEI码,存量市场的用户画像早已被利用。《通知》出台后,对00后、10后的用户画像会得到克制。但《通知》并未提及此前被App收集到的用户信息应当如何处理,用户主动搜索行为产生的画像还是无法约束。”曲子龙说。
目前国家正在加紧制定出台《数据安全法》《个人信息保护法》,《个人信息保护法》草案已提请全国人大常委会审议,对于个人信息的定义有望更加准确界定。
另外,《通知》特别提到,“App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序”,这意味着小程序也被纳入监管。5月1日起,任何组织和个人发现违反本规定行为的,可以向相关部门举报以维护自身权益。
不久前,《IT时报》曾报道,沪上不少餐厅要求用户扫码点餐之前,必须授权微信头像、手机号码,有的甚至要求成为会员才能点餐,根据最小必要性原则,也属于过度索权。
图源:IT时报
根据腾讯微信团队公号信息,2021年4月13日后发布的小程序新版本,将无法获取用户个人信息(头像、昵称、性别与地区),而是直接获取匿名数据,以此解决以往有些小程序总是要用户授权信息才能使用的问题。
4月6日,工业和信息化部信息通信管理局发布了《关于下架侵害用户权益APP名单的通报》,针对3月11日通报的136家存在侵害用户权益行为App企业的名单,经核查复验,发现共有60款App未按照要求完成整改,并对上述60款App进行下架处理。
记者在手机应用商场随机选择了几款App搜索发现,降温宝、美图证件照等App已经下线,天天果园、萌龙大乱斗、8684实时公交等App已经恢复上线。
4月8日,记者分别联系了淘宝、微信、京东、抖音等平台咨询5月1日后是否会调整版本,淘宝客服表示,目前尚未收到相关技术方面的公告,截至发稿前,其余平台暂未回应。
作者/IT时报记者李丹琦
编辑/郝俊慧挨踢妹
排版/黄建
图片/IT时报、小米、网信办
来源/《IT时报》公众号vittimes