当前位置: 新豪天地登录网址 > www.3559.com > 正文

2018年申请录音权限APP最多,中国电信这款APP不仅

时间:2019-11-03 18:41来源:www.3559.com
原标题:2018年申请录音权限APP最多 98.8%滥用读写通话记录权限 打开手机的应用程序,输入18位社会保障号、姓名、8位查询密码、登录密码、手机号,你所有的个人信息有可能出现在别

原标题:2018年申请录音权限APP最多 98.8%滥用读写通话记录权限

打开手机的应用程序,输入18位社会保障号、姓名、8位查询密码、登录密码、手机号,你所有的个人信息有可能出现在别人的电脑后台上。

手机APP索要用户信息频越界 个体隐私该如何保护?

一款普通的手机浏览器,不开启定位权限就无法正常使用;一个普通的手机输入法,拒绝它收集你的信用卡号和密码等个人信息就不给你用……

  很多APP在安装时提示“是否允许该软件读取通讯录”、“是否允许读取您的地理位置”等。你是否想过,这些权限请求是应用本身实现功能的需要,还是为了获取用户的信息呢?

这是曾发生在央视“3?15”晚会上的一幕,主持人通过一款名为“社保掌上通”的APP注册并进行社保查询,现场模拟了个人信息被远程截取的全过程。专家称,该社保查询APP暗含多项不合理条款,强制、过度索取用户隐私,比如“您同意并授权我们使用您的社保账户密码”以及“模拟您登录网站获取您的个人信息”等。但用户注册后,其个人信息却被发往某大数据公司的网站,并且这一切是发生在用户毫不知情的状况下。

在手机上安装一款APP,大多数人会经历类似的过程——在一份写满各种读取权限的用户协议上点击同意,才能完成安装。

继手机APP被媒体曝光过度获取用户权限后,一些软件开发者不仅没有改正错误,还耍起了“强制索权”的蛮横。

9月6日,在2018 ISC互联网安全大会“移动安全论坛”上,360互联网安全中心联合泰尔终端实验室发布《2018手机安全生态研究报告》(以下简称“报告”)。报告表示,2018年申请录音权限的APP最多,占比47%;98.8%的APP滥用读写通话记录权限,89.6%的APP滥用读取联系人权限。

需要注意的是,类似“强制索权”、违法违规收集个人信息的APP并不少见。

在这些权限中,有获取位置的、读取短信信息的、读取通讯录名单的、浏览手机存储的。各种APP应用在读取用户个人信息时,几乎是海量的,而用户往往在涉及种种个人隐私权限的协议面前,一览而过甚至放弃阅读,轻易地将个人信息授予APP。

是用户真的“对隐私不敏感”,还是没有选择余地?新华社记者对时下流行的一些APP进行了随机测试。

人们在享受移动APP带来的便捷生活的同时,自身的位置信息、通话记录、通讯录名单、照片等个人信息也有可能暴露在互联网上。有些APP申请的权限会涉及到用户的隐私,甚至会威胁到用户的个人信息安全。

没有电话业务,为何要电话权限?

那么,APP索要用户信息的边界在哪儿?个体的隐私又该如何保护?《工人日报》记者对此进行了调查采访。

APP玩套路:不授权不给用

针对上述问题,360互联网安全中心抽样了2160个流行移动应用软件样本进行分析,发现APP权限越界行为整体上呈增长趋势,尤其在涉及用户隐私的相关权限使用上。

国家互联网应急中心发布的《2019年上半年我国互联网网络安全态势》显示,今年上半年,国家互联网应急中心通过自主捕获和厂商交换获得移动互联网恶意程序103万余个,通过对恶意程序的恶意行为统计发现,排名前三的分别为资费消耗类、流氓行为类和恶意扣费类。

互联网第三方研究机构DCCI互联网数据中心发布的《2016年中国Android手机隐私安全报告》显示,2016年Android非游戏类APP中有91.7%需要读取位置信息,其中13%属于越界;需要访问联系人的占49%,其中9.1%属于越界。此外,越界读取短信、通话记录、手机号码等行为也非常严重。

“我想掌握自己的流量使用情况,所以下载了一个电信营业厅APP,结果要使用它我还得授权它读取我的通话记录,允许它拨打电话,甚至允许它修改我的通话记录。”提到新近下载的这款掌上营业厅,杭州的胡先生显得非常生气。

报告指出,从申请权限来看,2018年申请录音权限的APP数量最多,占比47%。从2017年和2018年权限变化来看,“拨打电话”和“读取联系人”权限变化最多。2017年,申请拨打电话权限的APP占比72.5%,但是到2018年上半年,申请拨打电话权限的APP占比45%;2017年,仅有3.5%的APP申请读取联系人权限,但是截至2018年上半年,申请了该权限的APP就已占比29.3%。

国家互联网应急中心监测分析发现,在目前下载量较大的千余款移动APP中,每款应用平均申请25项权限,其中不少APP与电话业务无关,却申请拨打电话权限,数量占比超过30%。在个人隐私方面,每款应用平均收集20项个人信息和设备信息,涉及社交、出行、招聘、办公、影音等各方面。此外,大量APP有探测其他APP信息、读写用户设备文件等异常行为。

记者了解到,越界获取权限除了造成手机卡顿之外,更严重的后果在于一旦隐私被窃,手机中的重要资料和照片就会被肆意查看,如果随意访问联系人、短信、记事本等应用,还会造成银行卡账号密码等信息泄露,造成经济损失。

记者在华为应用商城中搜索这款名为“电信营业厅”的APP时发现,该APP有1亿次的安装数量,综合评分为两星半。在下载该软件并安装完成后,APP弹窗提示记者:

www.3559.com 1

隐私的“钥匙”不要说给就给

2013年,工信部联合其他部门推出的《信息安全技术公共及商用服务信息个人信息保护指南》确定了一些APP应当遵循的基本原则,包括目的明确、最少够用、公开告知、个人同意等。其中,最少够用原则是指只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。目的明确的原则强调处理个人信息具有特定、明确、合理的目的,不扩大适用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。

www.3559.com ,应用程序将访问传输手机号码、IMSI、IMEI、MEID、手机型号等设备信息,系统验证通过后提供安全免密登陆、读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头、改变WLAN状态及录音等权限。如用户点击不同意,则自动退出该应用。

APP申请的权限占样本总数的对比。图自360互联网安全中心。

当APP越界搜集用户的隐私信息时,这对用户个人信息安全造成的威胁不容小觑。因此,消费者应增强安全意识,加强对APP索权的重视程度,审慎对待APP索要的每一项授权。但不同类型授权的背后,究竟隐藏着怎样的风险?对此,记者做了简单的归纳整理。

显而易见的是,目前很多APP都违反了上述原则。记者在一款安卓手机的应用商店中搜索了多个手电筒APP,几乎所有的APP都请求拨打电话、读取通讯录和位置信息等权限。

在记者点击同意后,该应用又提出四项用户授权,分别是:存储、电话、通讯录和位置信息。在申请电话权限时,对话框下方小字注明“具体包括:读取本机识别码、读取通话记录、拨打电话、新建/修改/删除通话记录等权限。”在记者点击“禁止”按钮后,该APP弹出对话框显示“请在应用信息-权限中开启电话权限,以正常使用。”也就是说,用户一旦拒绝授予该权限,则整个应用都无法使用。

对于APP来说,录音、拨打电话、读写通话记录和读写联系人是高危的权限,直接涉及到用户手机上的个人敏感信息。报告表示,从权限滥用情况来看,2018年,写入通话记录权限被滥用的情况最为严重。在申请隐私权限的APP中,98.8%的APP滥用了读写通话记录权限,其次为读取联系人权限,APP滥用该权限的占比89.6%。

如若授权APP读取位置信息,一旦位置信息被不法分子利用,或导致财产盗损甚至引发人身伤害;如若授权APP读取存储设备权限,重要文件、隐私照片有可能泄露;如若授权APP读取电话权限,就有可能被查看和修改通话记录、查看本机号码及设备ID,APP还可能获取通话状态和正在拨打的电话号码,甚至直接挂断电话;如若授权APP通讯录功能权限,APP可能会读取、修改通讯录,这样联系人的信息可能泄露;如若授权APP短信功能权限,那么APP可能会收发、读取和删除短信,用户进行银行转账、网站登录的验证码也可能被读取,容易造成财产损失;如若授予获取摄像头、麦克风权限,那么用户打开设备的摄像、拍照、录音功能时,APP可能会窥探用户生活隐私。

科技公司“极棒实验室”发布的《APP个人隐私研究报告》显示,该公司研究人员深入分析安卓手机代码后发现,很多权限的申请,都超出了APP的功能范围。

www.3559.com 2

www.3559.com 3

总之,对手机用户而言,一定要“长点心”,尽可能地保证个人隐私信息的安全,然后再享用APP带来的便捷。互联网企业要认识到,无底线的“强制索权”不仅有违商业道德,而且违法违规,应确保相关应用索取的权限与功能相匹配,并妥善使用这些权限,避免伤害用户权益。

其中,该公司通过对一款提供驾考、汽车信息的APP代码深入分析后发现,该APP申请并调用了读取通话记录权限,并直接将该信息上传至厂商服务器。该项研究还针对一款在Google Paly上下载量超1000万的传输类APP进行分析,发现该APP在新注册用户首次登录时会将用户手机中的通讯录信息直接上传至服务器,且未对通讯录信息进行加密传输,极大增加了被监听截获的风险。

在实际测试中,如用户不授权电信营业厅APP“读取并修改通话记录”,则该APP无法正常使用。

APP权限滥用占样本总数的对比。图自360互联网安全中心。

举报信息近8000条,百余家企业须整改

2016年8月施行的《移动互联网应用程序信息服务管理规定》指出,互联网应用程序提供者应依法保护用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。

同样的问题也出现在申请通讯录使用权限上,系统提示该权限包括:读取联系人、新建/修改/删除联系人等权限。

APP权限滥用,可能会导致用户个人信息被不法分子非法获取,从而造成用户的个人信息安全和财产安全的受损。因此,报告建议,在应用装置和分发环节,需加强应用权限的管理和审核,拒绝上架并及时更新低API版本应用。

一些网站和APP强制索权、过度索权、超范围收集个人信息,有的APP甚至向用户索要70余项权限,而一旦被拒绝,整个应用都将无法使用。某些软件开发者的“蛮横”行为激起用户的不满,也引起了有关部门的重视。

然而,记者用安卓手机进行了实验,发现一些APP不仅获取了和自身功能关系不大的权限,一旦禁止这些权限,还会让APP的使用体验变差。而拒绝APP的某些权限申请调用,在使用APP过程中就会弹出调用权限的申请,久而久之,大多数用户就会嫌麻烦,放松警惕,最后同意权限调用。

网络安全专家在对该APP进行检测时发现,虽然用户在初次安装使用该APP时仅有4项权限提示,但是其向用户主张了70项子权限。较为敏感的子权限包含修改通讯录、读取联系人、录音、修改通话记录、拨打电话、发送短信以及下载文件并不显示通知等。

文/南都个人信息保护研究中心实习生钱柳君 研究员娜迪娅返回搜狐,查看更多

近日,由中央网信办等指导举办的“2019年网络安全博览会”展示了今年1至9月中央网信办等4个部门开展APP个人信息保护专项治理工作的成果,其中就包括近600款APP的违法违规使用个人信息评估和处理情况。

从事APP开发的技术人员徐晓告诉记者,对一款APP来说,大部分权限实际上是不必要调用的。“比如地图、外卖、出行类的APP,调用位置权限是可以理解的,因为这是基于APP本身的功能考虑,但访问联系人、读取短信等权限则不是基于用户角度考虑,更多是为了收集用户信息的”。

www.3559.com 4

责任编辑:

中央网信办网安局一级巡视员兼副局长杨春艳提到,针对当前APP强制授权、过度索权,超范围收集个人信息、违法违规使用个人信息等数据安全问题,中央网信办起草了《APP违法违规收集使用个人信息行为认定办法》、国家标准《移动互联网应用收集个人信息基本规范》等系列制度文件。

在徐晓看来,尽可能广泛地调取用户权限,是为了尽可能广泛地收集数据,最后形成大数据,这些无论对精准推送、广告投放、还是软件改进来说,都至关重要。比如,获取用户的设备信息,能够针对使用数量多的手机型号和系统进行研发,进而不断提升用户体验,这样才能在同行业的竞争中占得先机。而收集用户的其他信息,也是为了获取数据,“互联网发展瞬息万变,谁也说不准这些目前看似没用的信息,在将来会不会发挥作用”。

↑经测试,电信营业厅APP向用户索取共计70个子权限,其中包含诸如拨打电话、发送短信、修改通讯录等多项敏感授权。

此外,就目前APP专项治理行动取得的阶段性成果,杨春艳表示,今年1月以来,中央网信办、工信部、公安部、市场监管总局联合开展了一系列综合治理活动:指导成立APP专项治理工作组;开发了举报平台,建立专门针对APP违法违规收集使用个人信息的举报渠道,至今已收到近8000条举报信息,其中实名举报占到近1/3;并将400余款下载量大、用户常用的APP纳入了评估,向100多家APP运营企业发送了整改建议函,评估发现的问题得到整改落实;此外,通过微信、网站等渠道加大宣传普及力度,配合央视“3?15”晚会等对典型APP违法违规收集个人信息行为进行曝光,其目的是为了促进APP运营企业加紧整改。

手机APP掌握的数据越多,越可能增加用户信息被泄露的风险。一旦网络黑客破解数据库、互联网公司内部员工使用非法手段倒卖用户数据,或者其他恶意盗取用户数据的行为发生,APP所获取的各项信息将会成为不法分子的黑市交易商品。

网络安全专家认为,作为一款掌上营业厅APP,向用户索取诸多与主功能不相关的隐私权限并不恰当。而诸如拨打电话等权限,一旦被恶意程序利用,有可能在用户不知情的情况下拨打付费电话,给用户带来财产损失。

“目前这项工作还在加紧推进,我们将继续完善相关文件标准,加大治理力度,不断提升APP个人信息保护水平。”杨春艳表示。

《信息安全技术公共及商用服务信息个人信息保护指南》和《移动互联网应用程序信息服务管理规定》等对APP的种种行为分别进行了规范,但记者查阅发现,在上述两个文件中,并未规定APP一旦越界后具体的惩治措施,在实践中,也未有APP越界调用权限后被追责或收到处罚的判例。

“强制授权”成常态

与此同时,我国目前对个人信息的保护还仅限于刑法,在民法和行政法上还存在不少真空地带。而无论是刑法还是相关司法解释,对如何界定公民个人信息的定义和范围,都没有明确,这给认定犯罪、非罪或侵权造成了障碍。

折射行业“数据之争”

日前,全国人大常委会民法总则草案二审稿增设“个人信息保护”条款,规定“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息”。全国人大常委会委员杨震认为,这将为未来制定单行法或通过其他方式进一步细化保护措施提供依据。

记者就上述“强制授权”的技术问题采访了四叶草安全移动安全专家田铭。田铭认为,某些强制授权存在一定的必要性,例如基于位置服务的交友软件必须开启定位功能才可以正常使用,电商类软件则需要获取用户设备的唯一ID,来控制优惠券的发放范围。

在今年两会上,全国人大代表、天能集团董事长张天任提交了“关于制定《个人信息保护法》”的议案。张天任建议,任何机关和个人在收集他人个人信息都应当遵循合法性、风险限定原则。并且,收集主体应对个人信息收集后的泄露承担责任;收集主体因对个人信息保管不善而造成权利人利益受损的,其应当承担与其过错相应的责任;如工作人员私自泄露了个人信息,除该个人应当承担责任外,信息采集主体业应视具体情节也依法承担责任。

田铭说,对一些企业而言,强制授权虽是一种必需行为,但也是一项风险行为。在大数据时代,获取更多的用户信息是一个趋势,例如通过“获取设备安装软件列表”权限了解到用户的手机中同时安装了哪些软件,既可以了解竞争对手产品的市场占有率,还可以实现对该用户标签化,可应用在之后推广营销信息的分发中。

而对用户而言,面对APP系统性的过度索取权限,也可以通过设定设置,禁止APP调取不必要的权限,“现在无论安卓或者IOS的安全管理都在提升,即使禁止后很多APP仍能正常使用”。

专家指出,在“大数据决胜”的背景下,一些互联网企业将线上消费者视为大数据掠夺的重要资源,超范围攫取用户隐私已成为行业潜规则。

特别声明:本文转载仅仅是出于传播信息的需要,并不意味着代表本网站观点或证实其内容的真实性;如其他媒体、网站或个人从本网站转载使用,须保留本网站注明的“来源”,并自负版权等法律责任;作者如果不希望被转载或者联系转载稿费等事宜,请与我们接洽。

上海信息安全行业协会专委会副主任张威表示,除手机APP主动索权外,一些企业利用“格式条款”将诸多索权隐匿在连篇累牍的用户协议中,这样的做法也已是行业内“公开的秘密”。

张威说,获取的消费者信息越多,能绘制的消费者画像越精准,从而达到流量变现的目的。

360企业安全研究院院长裴智勇认为,企业通过索权在取得消费者信息后,数据保存和利用也存在安全隐患。一些企业的数据库缺乏有力的安全防护,在遭遇网络攻击时容易造成用户数据的泄露。

裴智勇指出,企业内部对数据查询、输出的授权也存有安全隐患,近年来也多次出现知名互联网企业“内鬼”泄露消费者隐私事件。

不可听之任之

对“强制索权”说不

专家认为,针对互联网企业线上侵权形式日益多样化,有关部门可通过落实监管、细化法律法规、提高行业准入门槛等方式维护消费者合法权益。

张威建议,在网络安全法已经对线上消费者的隐私信息、用户权益等内容作出原则性规定的基础上,有关部门可结合当前线上消费者权益遭受侵害的新情况进行调研分析,细化相关法律法规,明确监管责任。

张威表示,在一些国家,企业如侵害用户合法权益,可能面临“天价”集体诉讼,因此不敢贸然逾越雷池。在现行法律框架下,有关监管机构理应对企业违法违规行为作出处罚,以在行业内起到警示作用。

福建瀛坤律师事务所张翼腾律师则对“格式条款”中可能涉及的“霸王条款”提供了解决方案。

他认为,互联网企业虽然在运作方式上有别于传统产业,但是依然沿用了传统行业的格式条款来约定双方权利义务,不利于消费者的权益保护。

他建议,未来可指导行业对合同进行“可变化定制”,告别“一揽子授权”模式,由消费者根据需求自行决定是否让渡相关权益。

田铭建议用户,在初次使用某款APP时,审慎对待该APP声索的每一项授权。在下载相关软件时,应在正规安卓市场选取,不要随意点击来路不明的链接。

版权声明:本网所有内容,凡注明“来源:怀化日报”“来源:边城晚报”“来源:掌上怀化”“来源:怀化新闻网”的所有文字、图片和音视频资料,版权均属怀化新闻网所有。任何媒体、网站或个人未经本网协议授权,不得转载、链接、转贴或以其他方式复制发布/发表。已经本网协议授权的媒体、网站,在下载使用时必须注明"稿件来源:怀化新闻网"。违反上述声明者,本网将追究其相关法律责任。 责任编辑:大王

编辑:www.3559.com 本文来源:2018年申请录音权限APP最多,中国电信这款APP不仅

关键词: www.3559.com