扫描二维码关注

首页 区块链开发 APP开发 小程序开发 微信公众号 平台开发 关于我们

“学习不仅是掌握知识”

向书本学习,还要向实践学习、向生活学习。消化已有知识,
而且要力求有所发现、有所发明、有所创造

太贪婪!有些APP竟向用户强制索权

2018-04-14 07:19:14

 



        图二:100款常见APP敏感权限申请及使用对比

  图三:100款游戏APP敏感权限申请及使用对比

  ■泽群信息技术

  下载APP的时候很多人都会遇到要求用户授予APP访问手机各种内容的权限,这其中很多是涉及个人隐私的敏感权限。当然,多数的权限如果不同意授予就意味着APP不能正常使用。《中国消费者报》与北京捷兴信源信息安全中心共同调查发现,就是这些让我们不得不同意授权的权限,其实对于一些APP的运行来说,根本用不上。即便如此,那些贪心于各种权限的APP开发者,还是会要求消费者在无奈中亲手确认将自己的隐私暴露在危险之中。

  要使用就必须授权

  记者将自己的手机交给北京捷兴信源信息安全中心的工程师进行技术检测,发现手机中包括系统软件共82项,结果有35项获取了读取短信的权限,还有36项获取了读取通讯录的权限。

  据了解,手机中的应用软件在安装的时候,为了运行的需要,会要求使用一些敏感权限,这其中就有涉及隐私的权限,但这些权限是运行APP所必需的,比如购物APP会要求支付权限,地图会要求位置权限等。像微信这样功能比较强大的APP,所要求的权限根据版本不同有的多达46项,有些权限要求是合理的,因为如果没有这些权限,APP的功能可能就无法实现。但是像手电筒这样的APP也要求几十项权限,不同意手电就不亮,就没有道理了。

  尽管消费者不满,甚至愤怒,但面对这种过分的权限要求,有时也只能无奈地同意。如果不同意就意味着不能正常使用该APP,而目前不少APP都要求获取含有隐私内容的权限,如果拒绝,也就意味着拒绝使用手机通话以外的功能。就像记者的手机,累加后有将近2/3的APP要获取含有隐私内容的权限,如果拒绝,手机就会瘫痪。

  在安装手机APP的时候,不时地会弹出权限提示让用户同意。不过有消费者向记者反映,其手机索性连装样子的权限同意提示都没有弹出过。据记者了解,安卓6.0以下的原生态系统应用,只要安装就会自动获取它所要求的所有权限,而且实际使用时无需用户同意;6.0以上系统针对应用申请的一些敏感权限,实际使用时需要用户同意。

  北京捷兴信源信息安全中心的工程师告诉记者,安卓系统定义了超过300个不同的权限。不同版本权限数量不同,以安卓7.1为例,定义了335个系统权限。这些权限从敏感级别上分为两类:一类是普通级别 ,这类权限一般不涉及用户隐私,是不需要用户进行授权的,比如手机震动、修改音量等;另一类是敏感级别,一般是涉及到用户隐私的,需要用户进行授权,比如读取短信、读取联系人等。同样,以安卓7.1为例,这些权限按业务共性划分为社交类、位置类、消息类、网络类、账号类等31个,这31个类别又定义了数量不等的具体权限,比如关于社交类权限就有4个具体的权限:读通讯录、写通讯录、读通话记录、写通话记录,其敏感级别均为危险级。

  在使用手机各种功能与严密保护隐私的选择上,消费者只能无奈地选择前者。一位消费者告诉记者:“我认为开发者既然要了授权,就应该替我们考虑,保护我们的隐私,而我也只能选择相信他们。”

  强制索权有何用

  调查发现,电话、听力、动态壁纸、时钟这样的APP,都要求获取读取短信的授权。但是,这些APP的运行和读取信息真的会有什么关系吗?真相是:这些APP在获取权限后,大都根本不使用。可是它们却还是要过度获取用户隐私权限,到底为了啥?

  北京捷兴信源信息安全中心抽取了100款较常见的APP进行敏感权限获取检测,发现手机APP的开发者对定位、录音、拍照、通话状态等权限非常感兴趣,获取率都在90%以上,但是在蜂拥获取权限后却根本不使用这些敏感权限。检测发现,要求获取日历权限的有26款,使用的只有6款;要求获取通话记录使用权限的有16款,但使用的只有7款;获取读取短信内容授权的有44款,使用的仅有2款。使用率相对较高的有:95款获取定位授权,86款使用了;91款获取录音授权,75款使用了;97款获取拍照、摄像权限,68款使用了;67款获取访问通讯录权限,使用的有60款;使用率最高的是通话状态权限,98款获取,90款使用。

  手机APP开发者在获取了敏感权限的使用权后竟然大都没有使用,这一点在对手机游戏的检测中更为明显。北京捷兴信源信息安全中心抽取了100款游戏APP进行敏感权限获取检测发现,获取了敏感权限后使用率也不高。66款获取了录音权限,使用的为43款;53款游戏获取了允许程序开机自动运行权限,使用的为21款;66款游戏允许程序读取短信内容,却没有一款游戏使用这一权限。

  从检测统计上看,各种手机APP都在大肆获取着我们手机中的各种敏感权限,但是很多权限他们根本用不到,不用要它干什么呢?一位专门开发APP的公司技术人员表示,多申请点权限放着,升级的时候万一用得着呢!再说,申请权限又不要钱,而且用户不会拒绝的,因为如果拒绝就没法用,不要白不要。

  就是这种不要白不要的心态,将消费者的隐私置于了危险之中。

  过度索权存风险

  检测数据显示:100款游戏APP中,有3款申请了读取通话记录的权限,但没有一款使用这个功能;有53款申请了允许程序开机自动运行的权限,但只有21款使用这个功能;有2款申请了允许程序执行NFC近距离通讯操作的权限,但没有一款使用这个功能。游戏APP申请读取通话记录的权限和允许程序开机自动运行这些与游戏毫不相干的权限后,似乎对消费者没有什么影响,但这种过度申请权限的行为是在给使用者埋下隐私泄露、财产被骗的地雷。

  下载使用手机APP需要开放自己的隐私权限的现状,给一些不法分子提供了作案条件,他们可以越界过度索取权限窃取隐私。现在的木马病毒完全可以在用户毫不知情的情况下收发短信,很多用户支付的验证码就是这样被截取的。2017年新增支付病毒包数量达到92697个,感染手机近千万部。

  一个手机APP的开发者向记者坦承,过度获取权限的确会给用户带来风险,盗窃病毒会越过APP的防护窃取用户信息,一些盗版的APP会直接在正版软件里面植入病毒,然后就可以轻松地在各种获取权限的项目中拿走个人信息。开发者虽然会尽量保护使用者的隐私,但是病毒技术也在不断更新提高,有时候不容易防范。

深圳市福田区天安数码城天济大厦CD座606室

Tel-A:139 2349 4549 135 1017 5550
Tel-B:177 2468 9291
Tel-C:0755 - 8887 6951

更多可以了解的信息

小程序
微信公众号
APP搭建
项目进度查询

售前QQ咨询
QQ沟通 QQ沟通

Copyright© 2009-2018 www.zequninfo.com. All Rights Reserved. 深圳市泽群信息技术有限公司. 粤ICP备11024359号-5 .