96. 6%的安卓應用會獲取用戶隱私權限

一位使用華為P10的用戶告訴記者,他的手機也有一個名為“情景智能”的功能,會收集用戶收到的信用卡還款提醒以及火車票、飛機票、住宿等確認短信等內容。在他看來,這一功能能夠為他帶來便利,但他經常會在一些意想不到的地方看到基于自己短信內容的推送。“我不確定它到底讀取了哪些信息,也不確定它是否濫用了我的信息。”

對于不少安卓用戶來說,下面一幕并不陌生。很多安卓APP都會讀取用戶的位置、聯系人、通話記錄等權限。用戶關掉這些APP的讀取權限后,往往會發現APP無法正常使用,每次打開時都會跳出一個窗口讓用戶開放讀取權限。

業內有觀點指出,很多手機應用都要求各種各樣的權限,其中以聯系人、短信、位置和手機識別碼最為普遍,一方面是因為這幾個權限的確是最常用到的。另一方面,很多軟件公司也在收集這些和用戶隱私擦邊的敏感數據,然后通過“大數據”、“云計算”等方式,來判斷用戶的喜好,并推送相關的廣告內容。

IT分析師唐欣認為,APP讀取數據是公平的選擇,用戶可以選擇使用或者不使用,而APP也可以選擇提供或者不提供服務。APP收集用戶數據是否合理需要從產品邏輯上判斷,有的業務需要通訊錄,有些就完全沒必要。

360互聯網安全中心數據顯示,有近4成的手機游戲存在調用過多權限的情況,導致通訊錄、短信等用戶敏感的數據被隨意讀取,有的APP還加入了惡意扣費代碼。

根據騰訊社會研究中心與DCCI互聯網數據中心聯合發布的《網絡隱私安全及網絡欺詐行為研究分析報告(2017年一季度)》顯示,手機APP越界獲取個人信息已經成為網絡詐騙的主要源頭。高達96.6%的安卓應用會獲取用戶手機隱私權限,而iOS應用的這一數據也高達69.3%。越界獲取隱私權限是指手機應用在自身功能不必需的情況下獲取用戶隱私權限的行為。

智能化推送背后,用戶“細思恐極”

用戶信息的安全保護情況已經引起了不少人的關注。

金女士告訴記者,她在2016年6月底生完孩子,經常在微信育兒群或者朋友之間聊起育兒。近期,因早教等話題跟朋友在微信交流較多,同時,微信精準推送育兒、兒童玩具、早教課等廣告。對此,金女士感覺微信在后臺“偷看了”她的數據,雖然智能地解決了她的需求,但細思恐極。金女士表示,是不是其他的聊天內容對于微信運營后臺也是“透明的”?她認為萬一這些信息被泄露或不正當利用,十分危險。

今年兩會上,馬化騰提出了保護用戶信息的議案。馬化騰在接受采訪時表示,如果個人信息采集過于全面,萬一被別人濫用或者哪個員工把它偷出去了,反而產生更大的次生災害。馬化騰建議大數據不應該對個人隱私信息收集那么全,應該只收集必要的甚至是脫敏的信息。只要能夠做到單向驗證就不要去雙向驗證。目前,很多企業個人信息保存很亂,缺乏基礎性的工作。

APP過度收集用戶信息問題由來已久,早在2015年安全分析公司SourceDNA公布了一項研究,超過250個APP違反蘋果APP Store的隱私政策,收集用戶的郵件地址、裝機應用、序列號以及其他可以跟蹤用戶的信息。這些APP使用有米的SDK來展示廣告,而有米則通過它來收集用戶信息。這些數據收集行為已經持續了大概一年,最初從收集APP列表開始,之后越來越猖狂,發展到現在的版本。通過收集組件序列號,有米就可以獲得每一臺設備的獨特身份信息。

中國互聯網協會秘書長盧衛曾對媒體表示,企業利用APP軟件收集用戶相關數據的行為存在很大爭議,在數據價值和產權沒有明確分類和清晰界定的時候,數據收集者的動機可能被隱藏,數據安全和各類隱私存在著一定的風險。

工信部近日公布了2017年二季度檢測發現問題的應用軟件名單,共計42款,其中不少軟件就涉及未經用戶同意,收集、使用用戶個人信息;惡意操控用戶手機等問題。值得注意的是,在工信部公布的存在問題的APP名單中,其中不少來自知名廠商的應用商店。

2017國際安全極客大賽GeekPwn年中賽上,一位女黑客用不到一分鐘攻破共享單車的高危漏洞,通過遠程篡改輸入參數,便可以直接訪問、控制他人賬號,掌握該人的騎行記錄。

《網絡隱私安全及網絡欺詐行為研究分析報告(2017年一季度)》指出,用戶可常用安全軟件和隱私保險箱,但在APP的下載安裝和使用時提高警惕,有意識地甄別掉可疑APP,從正規渠道下載手機應用。建議用戶APP安裝時把重要的隱私權限統統禁止,在以后提示確實需要相關的隱私權限時再允許APP獲取。(記者 劉素宏 馬婧 楊礪)

■ 他山之石

國外用戶隱私保護執法力度大

在美國和歐洲,關于數據隱私的爭端和博弈也在持續。美國科技巨頭谷歌和Facebook作為全球最大的搜索引擎和社交平臺掌握著數量巨大的用戶數據。本月6日,英國新數據法案規定,Google和Facebook泄露用戶隱私一事一旦坐實,或將面臨數十億英鎊的罰款。

上月歐盟委員會認定Google利用其在網上搜索領域近乎壟斷的地位,把客戶引向Google自家購物搜索服務Google Shopping,對Google開出24.2億歐元反壟斷罰金,創造了歐盟史上對一家公司單筆罰金的最高紀錄。

此外,Facebook也被歐盟重罰。去年8月,Facebook因對旗下即時通訊應用WhatsAPP的隱私政策作出調整,允許WhatsAPP與其分享部分用戶的手機號碼,被歐盟委員會處以1.1億歐元罰款。歐盟委員會表示,此舉是向企業傳達一個明確信號,要求企業必須遵守歐盟并購規則的所有方面。

IT業律師趙占領指出,在十分看重個人信息保護的歐美地區,官方對于企業在用戶信息違規方面的懲罰十分嚴厲。因此,在“天價罰款”這一巨大違法成本面前,科技巨頭無疑會更加重視對用戶信息的保護。

趙占領表示,隨著網絡安全相關法律法規的陸續出臺和完善,我國相關法律建設已經基本完善,但是行政執法的力度明顯不足。趙占領認為,造成這一局面的原因是目前對個人信息保護存在多部門的監管重疊,缺乏對保護網絡個人信息的統一主管機構。其次,相關部門對個人信息保護的重要性認識上仍存在不足。

此外,蘋果公司在獲取用戶授權時多采用明示同意的做法值得借鑒。趙占領認為,蘋果iOS系統在收集用戶數據時,跳出的對話框明示將要收集的信息及用途,用戶點確認才能收集,并且不得以拒絕其他服務的形式要求用戶選擇同意。同時,還需要在設置中,以按鈕的形式,方便用戶隨時取消授權。(楊礪)