29 11,2018 25项敏感权限并无对应功能 今年8-10月,上海市消保委联合《中国消费者报》上海记者站,委托北京捷兴信源信息技术有限公司对消费者反映集中及使用频度较高的“输入法、浏览器、综合视频”等18款应用进行了规范。 18款应用涉及的手机APP有: 评测内容涉及“应用敏感权限的授权请求方式、申请的敏感权限是否存在与之对应的服务功能”两方面。 问题主要集中在部分应用所申请的敏感权限存在无实际对应功能以及部分应用所采用的Android目标API版本过低方面。 其中,167项与用户个人信息密切相关的“敏感权限”中,发现存在25项无实际功能对照的权限申请↓↓↓ 均与终端用户的个人信息密切相关。 有4款应用的Android目标API版本设定过低。而过低的API目标版本,一是在权限管理方面存在用户可知而不可控的问题,二是存在可规避系统安全机制的漏洞,容易造成用户个人信息泄漏,引发大量终端安全和个人信息保护风险。 2018年10月,上海市消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。据统计,在短短一个月时间内,各相关应用厂商剔除无用权限达到23个,3款APP提升API目标版本,并均将全新修正版本向社会发布。 3款应用的新版本仍未规范 2018年11月,上海市消保委再次针对这18款应用的最新版本进行技术验证,15款应用在敏感权限的申请、使用方面做到了合理申请、自主授权,充分保证了用户的知情权、选择权。 新版15款APP应用名单 (2018年11月22日) 序号 应用名称 新版本 新版API 1 搜狗输入法 8.24.2 23 2 百度输入法 8.2.1.33 23 3 讯飞输入法 8.1.7779 26 4 QQ输入法 6.2.2 26 5 UC浏览器 12.1.7.997 23 6 QQ浏览器 8.9.0.4520 23 7 360浏览器 8.2.0.130 24 8 搜狗浏览器 5.17.8 23 9 百度浏览器 7.18.21.0 25 10 华为浏览器1 5.0.141 24 11 华为浏览器2 10.8.9.4742 24 12 优酷视频 7.5.2 24 13 腾讯视频 6.3.9.17501 23 14 爱奇艺视频 9.9.5 25 15 哔哩哔哩 5.33.1 25 然而,仍有猎豹浏览器、触宝输入法和芒果TV三款应用的新版本中,存在部分用途不明的敏感权限申请行为,猎豹甚至还可以监听外拨电话。此外,猎豹浏览器、触宝输入法、芒果TV三家企业没有参加之前的沟通会,APP也没有任何改进。昨天的发布会现场,这三家企业仍然缺席。 市消保委:消费者须有选择权 为何对于权限管理的规范如此重要?发布会现场,专家解释称,若APP获取了短信权限,理论上讲就可通过用户手机来发送、读取短信,订阅扣费业务等。上海市消保委副秘书长唐健盛说,曾接到消费者反映称,莫名其妙订购了某种收费服务,但自己没发过这些短信,查询运营商却会有发送短信的记录,在用户手机里却没有记录。这可能就是手机中某个应用接收到后台指令后发送的,很不安全。手机APP在开发时,必须让消费者拥有选择权。而敏感权限一旦获取之后,一定要有功能相匹配且妥善使用。 来源:上海市消保委、新民晚报 |
|