手機(jī)APP該不該“貪心”!

    不給權(quán)限就不讓用APP，競爭對手索取了權(quán)限自己也“不甘人后”。已經(jīng)成為消費(fèi)之痛的“過度索權(quán)”背后，是企業(yè)漠視個人信息保護(hù)心態(tài)在全行業(yè)蔓延帶來的“軍備競賽”。

    手機(jī)APP“過多索權(quán)”仍存在

    讀取聯(lián)系人和通訊錄，偷偷監(jiān)控外撥電話，翻看手機(jī)通話記錄，甚至還開啟了錄音功能，你的手機(jī)也許并不“老實(shí)”，甚至即便你安裝的手機(jī)APP都來自行業(yè)領(lǐng)先的“大公司出品”，這些APP的安全性并不能令人完全放心。

    上海市消保委近期對網(wǎng)購平臺、旅游出行、生活服務(wù)等39款市場占有率領(lǐng)先的手機(jī)APP涉及個人信息權(quán)限評測顯示，截至3月23日，有9款手機(jī)APP存在索取的權(quán)限與功能無法對應(yīng)的問題，涉及聚美、窮游、貓途鷹、神州租車、百度糯米等。

    比如，窮游APP向用戶索取“讀取聯(lián)系人”的權(quán)限，但并沒有提供相應(yīng)的功能；神州租車APP向用戶索取“錄音”“監(jiān)控外撥電話，重新設(shè)置外撥電話的路徑”等權(quán)限，但也并未能提供相應(yīng)的功能。

    此次發(fā)布的測評結(jié)果，已經(jīng)是上海市消保委第三次針對手機(jī)APP進(jìn)行的測評，此前已經(jīng)針對地圖類、瀏覽器類、輸入法類以及綜合視頻類等進(jìn)行了兩輪測評，發(fā)現(xiàn)存在數(shù)十項無實(shí)際功能對照的權(quán)限申請，包括讀取通訊錄、電話權(quán)限、短信權(quán)限、定位權(quán)限等。

    上海市消保委秘書長陶愛蓮說，在三令五申下，APP過度索權(quán)問題依然屢禁不止，即使是來自行業(yè)領(lǐng)先大公司的APP問題同樣突出，已經(jīng)成為消費(fèi)者的新痛點(diǎn)。

    “過度索權(quán)”四大“怪”

    手機(jī)APP“過度索權(quán)”為何難治？通過調(diào)查發(fā)現(xiàn)，手機(jī)APP過度索權(quán)存在四大值得警惕的新趨勢。

    一、“就是不升級”。在多輪測評中發(fā)現(xiàn)，手機(jī)APP使用的目標(biāo)API級別過低的問題比較明顯。在本輪測評中，百度糯米APP的用戶在安裝時，由于目標(biāo)API級別過低，即便并沒有相應(yīng)的使用場景，也“一攬子授權(quán)”了包括“讀取聯(lián)系人”“錄音”“讀取信息”等敏感權(quán)限，否則就無法正常使用該APP。

    二、“假裝不知道”。一些企業(yè)稱，手機(jī)APP過度索權(quán)是程序員的“鍋”。一嗨租車相關(guān)負(fù)責(zé)人表示，企業(yè)程序員“開發(fā)失誤”，“不小心上線了沒有使用場景的敏感權(quán)限，并沒有實(shí)際使用該權(quán)限”。而貓途鷹則表示企業(yè)存在失察的情況，沒有主動去檢查是否存在索取已經(jīng)不存在應(yīng)用場景的權(quán)限的問題。

    北京捷興信源信息技術(shù)有限公司技術(shù)支撐部總經(jīng)理盛大江指出，當(dāng)目標(biāo)API級別低于23時，安卓對于權(quán)限會采用一攬子授權(quán)的模式，存在可規(guī)避系統(tǒng)安全機(jī)制的漏洞，安全風(fēng)險比較大。“是否提升API級別、檢查索權(quán)是否與使用場景對應(yīng)，是企業(yè)的自主選擇。盡管工信部在內(nèi)的監(jiān)管部門都在提倡提升目標(biāo)API級別到28，讓用戶的信息更加安全，但一些企業(yè)可能并沒有太多的動力主動去提升。”

    三、“千年用一次，也得索個權(quán)。”我們發(fā)現(xiàn)，以讀取短信權(quán)限為例，企業(yè)認(rèn)為索取這一權(quán)限可以方便消費(fèi)者讀取短信驗證碼，但除了高頻發(fā)送驗證碼的金融類等少量APP外，大量的APP需要讀取驗證碼的情形“百里挑一”，但卻因此獲得了如此敏感的權(quán)限，消費(fèi)者的“隱私讓渡回報”明顯不足。還有一些手機(jī)APP在使用過程中不停“騷擾”消費(fèi)者獲取錄音權(quán)限，但提供的功能卻是少有人使用的“語音播報”。

    四、“用不上，創(chuàng)造條件也要上。”不少手機(jī)APP存在索取“非必要權(quán)限”的問題。以日歷權(quán)限為例，測評顯示，有10多家手機(jī)APP尤其是網(wǎng)購類平臺存在獲取用戶日歷的問題。

    相關(guān)企業(yè)在回應(yīng)消保委時表示，日歷權(quán)限的索取可以方便消費(fèi)者了解大促信息，但專家指出，相應(yīng)的功能完全可以通過后臺推送的方式實(shí)現(xiàn)，并不需要額外獲取和調(diào)用日歷權(quán)限，涉嫌濫用使用場景。“萬一明天用上了呢？競爭對手有了我也要有。一些企業(yè)覺得，就算現(xiàn)在用不上，無法即時對消費(fèi)者的數(shù)據(jù)進(jìn)行商業(yè)化的運(yùn)用，也要先創(chuàng)造條件占上，‘以備后患’，甚至對標(biāo)競爭對手‘他要我也要’。”

    自我加壓 索權(quán)“明明白白”

    陶愛蓮指出，希望開發(fā)者增強(qiáng)誠信意識，主動作為，更好保護(hù)消費(fèi)者個人信息安全，“上海市消保委將對手機(jī)APP過度索權(quán)問題密切關(guān)注、持續(xù)關(guān)注。”

    一些互聯(lián)網(wǎng)公司已經(jīng)在“自我加壓”，主動把索取的權(quán)限和消費(fèi)者“說個明白”。比如，最新更新的手機(jī)淘寶APP，不僅將向用戶索取的權(quán)限以及其使用場景一一說明，還明明白白地告訴消費(fèi)者如果不愿意索取該項權(quán)限、可能影響使用的功能，方便消費(fèi)者做出選擇。