新华社点名批评!有些 App 太贪婪了。开发者如何应对?

源 / 新华网 文 / 颜之宏/汪奥娜/周蕊/李黔渝

一款普通的手机浏览器,不开启定位权限就无法正常使用;一个普通的手机输入法,拒绝它收集你的信用卡号和密码等个人信息就不给你用……

继手机App被媒体曝光过度获取用户权限后,一些软件开发者不仅没有改正错误,还耍起了“强制索权”的蛮横。是用户真的“对隐私不敏感”,还是没有选择余地?新华社“中国网事”记者对时下流行的一些App进行了随机测试。

App嗑着“猛药”玩套路:不授权不给用

“我想掌握自己的流量使用情况,所以下载了一个电信营业厅App,结果要使用它我还得授权它读取我的通话记录,允许它拨打电话,甚至允许他修改我的通话记录。”提到新近下载的这款掌上营业厅,杭州的胡先生显得非常生气。

记者在华为应用商城中搜索这款名为“电信营业厅”的App时发现,该App有1亿次的安装数量,综合评分为两星半。在下载该软件并安装完成后,App弹窗提示记者:……应用程序将访问传输手机号码、IMSI、IMEI、MEID、手机型号等设备信息,系统验证通过后提供安全免密登陆、读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头、改变WLAN状态及录音等权限。如用户点击不同意,则自动退出该应用。

在记者点击同意后,该应用又提出四项用户授权,分别是:存储、电话、通讯录和位置信息,在申请电话权限时,对话框下方小字注明“具体包括:读取本机识别码、读取通话记录、拨打电话、新建/修改/删除通话记录等权限。”在记者点击“禁止”按钮后,该App弹出对话框显示“请在应用信息-权限中开启电话权限,以正常使用。”也就是说,用户一旦拒绝授予该权限,则整个应用都无法使用。

同样的问题也出现在申请通讯录使用权限上,系统提示该权限包括:读取联系人、新建/修改/删除联系人等权限。

网络安全专家在对该App进行检测时发现,虽然用户在初次安装使用该App时仅有4项权限提示,但是其向用户主张了70项子权限。较为敏感的子权限包含修改通讯录、读取联系人、录音、修改通话记录、拨打电话、发送短信以及下载文件并不显示通知等。

网络安全专家认为,作为一款掌上营业厅App,向用户索取诸多与主功能不相关的隐私权限并不恰当。而诸如拨打电话等权限,一旦被恶意程序利用,有可能在用户不知情的情况下拨打付费电话,给用户带来财产损失。

“强制授权”成常态,折射行业“数据之争”

记者就上述“强制授权”的技术问题采访了四叶草安全移动安全专家田铭。田铭认为,某些强制授权存在一定的必要性,例如基于位置服务的交友软件必须开启定位功能才可以正常使用,电商类软件则需要获取用户设备的唯一ID,来控制优惠券的发放范围。

田铭说,对一些企业而言,强制授权虽是一种必需行为,但也是一项风险行为。在大数据时代,获取更多的用户信息是一个趋势,例如通过“获取设备安装软件列表”权限了解到用户的手机中同时安装了哪些软件,既可以了解竞争对手产品的市场占有率,还可以实现对该用户标签化,可应用在之后推广营销信息的分发中。

专家指出,在“大数据决胜”的背景下,一些互联网企业将线上消费者视为大数据掠夺的重要资源,超范围攫取用户隐私已成为行业潜规则。上海信息安全行业协会专委会副主任张威表示,除手机App主动索权外,一些企业利用“格式条款”将诸多索权隐匿在连篇累牍的用户协议中,这样的做法也已是行业内“公开的秘密”。张威说,获取的消费者信息越多,能绘制的消费者画像越精准,从而达到流量变现的目的。

360企业安全研究院院长裴智勇认为,企业通过索权在取得消费者信息后,数据保存和利用也存在安全隐患。一些企业的缺乏有力的安全防护,在遭遇网络攻击时容易造成用户数据的泄露。裴智勇指出,企业内部对数据查询、输出的授权也存有安全隐患,近年来也多次出现知名互联网企业“内鬼”泄露消费者隐私事件。

不可听之任之,对“强制索权”说不

专家认为,针对互联网企业线上侵权形式日益多样化,有关部门可通过落实监管、细化法律法规、提高行业准入门槛等方式维护消费者合法权益。

张威建议,在网络安全法已经对线上消费者的隐私信息、用户权益等内容作出原则性规定的基础上,有关部门可结合当前线上消费者权益遭受侵害的新情况进行调研分析,细化相关法律法规,明确监管责任。

张威表示,在一些国家,企业如侵害用户合法权益,可能面临“天价”集体诉讼,因此不敢贸然逾越雷池。在现行法律框架下,有关监管机构理应对企业违法违规行为作出处罚,以在行业内起到警示作用。

福建瀛坤律师事务所张翼腾律师则对“格式条款”中可能涉及的“霸王条款”提供了解决方案。他认为,互联网企业虽然在运作方式上有别于传统产业,但是依然沿用了传统行业的格式条款来约定双方权利义务,不利于消费者的权益保护。他建议,未来可指导行业对合同进行“可变化定制”,告别“一揽子授权”模式,由消费者根据需求自行决定是否让渡相关权益。

田铭建议用户,在初次使用某款App时,审慎对待该App声索的每一项授权。在下载相关软件时,应在正规安卓市场选取,不要随意点击来路不明的链接。

-END-

原文发布于微信公众号 - 顶级程序员(TopCoding)

原文发表时间:2018-04-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

从恶意流量看2018十大互联网安全趋势

「天下熙熙,皆为利来;天下攘攘,皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界,同样有着海量的「众生」,它们默默无闻,它们不知疲倦,它们无穷无尽,同样为了「...

2222
来自专栏java一日一条

央视放话了,国产系统PK掉Windows系统!

在央视经济频道《对话》栏目中,现场有其中一段非常有意思的对比,将国产系统与国外系统经行速度测试,而所谓的国外系统就是我们常用的Windows系统。

2453
来自专栏企鹅号快讯

优酷、爱奇艺、摩拜……多家网络平台被曝注册容易注销难!面临个人隐私泄露风险

在网络平台上, 先“注册”再使用服务 已经成为大家习以为常的事情。 但是如果有一天, 用户想彻底和这些平台说“再见”, 似乎就没那么容易了。 ? 我们的网络账号...

2096
来自专栏安恒信息

细说QUANTUM:NSA最强大的互联网攻击工具

加州大学伯克利分校(UC Berkeley)及国际计算机科学中心(the International Computer Science Institute)的研...

2794
来自专栏BIT泽清

金融理财类app上架因苹果PLA1.2;5.2.1;3.2.1等审核拒绝

从今年1月初以来,苹果应用商店针对应用审核所采取的行动让大批金融理财应用、其他应用、马甲应用陷入了苦站:被拒几率暴增,很多开发者都被苹果暴击了、多次审核不过、审...

7817
来自专栏企鹅号快讯

网络安全:你可能被“潜规则”了

信息安全公益宣传,信息安全知识启蒙。 教程列表见微信公众号底部菜单 如今,在网络平台上,先“注册”再使用服务已经成为大家习以为常的事情。但是,如果有一天用户想彻...

2119
来自专栏程序人生 阅读快乐

黑客攻防技术宝典_Web实战篇(第2版) (图灵程序设计丛书•网络安全系列)

Web应用无处不在,安全隐患如影随形。承载着丰富功能与用途的Web应用程序中布满了各种漏洞,攻击者能够利用这些漏洞盗取用户资料,实施诈骗,破坏其他系统等。近年来...

1532
来自专栏云基础安全

Web应用安全:腾讯云网站管家WAF

腾讯云网站管家WAF(Web Application Firewall,Web应用防火墙),是一款专业为用户网站及Web应用打造的基于AI的一站式Web业务运营...

7530
来自专栏黑白安全

社会工程学

社交工程是用于通过人类交互完成的广泛恶意活动的术语。它使用心理操纵来诱骗用户犯下安全错误或泄露敏感信息。

7222
来自专栏Crossin的编程教室

电脑小白如何不被“勒索”

最近上了各大头条的勒索病毒我想大家都有所耳闻。不幸中招的朋友,请允许我拍拍你的肩膀。设身处地地想一下,眼看就要毕业了,结果论文没了……换了谁都不能忍啊。可是你也...

3109

扫码关注云+社区

领取腾讯云代金券