2019年3月28日 星期四

传媒频道: “过度索权”成“军备竞赛” 手机APP为何这么“贪心”?

传媒频道
传媒新闻 
"过度索权"成"军备竞赛" 手机APP为何这么"贪心"?
Mar 29th 2019, 00:00, by 周蕊

不给权限就不让用APP,竞争对手索取了权限自己也"不甘人后"。已经成为消费之痛的"过度索权"背后,是企业漠视个人信息保护心态在全行业蔓延带来的"军备竞赛"。

三令五申 手机APP"过多索权"问题仍存

读取联系人和通讯录,偷偷监控外拨电话,翻看手机通话记录,甚至还开启了录音功能,你的手机也许并不"老实",甚至即便你安装的手机APP都来自行业领先的"大公司出品",这些APP的安全性并不能令人完全放心。

上海市消保委近期对网购平台、旅游出行、生活服务等39款市场占有率领先的手机APP涉及个人信息权限评测显示,截至3月23日,有9款手机APP存在索取的权限与功能无法对应的问题,涉及聚美、穷游、猫途鹰、神州租车、百度糯米等。

比如,穷游APP向用户索取"读取联系人"的权限,但并没有提供相应的功能;神州租车APP向用户索取"录音""监控外拨电话,重新设置外拨电话的路径"等权限,但也并未能提供相应的功能。

此次发布的测评结果,已经是上海市消保委第三次针对手机APP进行的测评,此前已经针对地图类、浏览器类、输入法类以及综合视频类等进行了两轮测评,发现存在数十项无实际功能对照的权限申请,包括读取通讯录、电话权限、短信权限、定位权限等。

上海市消保委秘书长陶爱莲说,在三令五申下,APP过度索权问题依然屡禁不止,即使是来自行业领先大公司的APP问题同样突出,已经成为消费者的新痛点。

"你要我也要"——"过度索权"四大"怪"

手机APP"过度索权"为何难治?记者调查发现,手机APP过度索权存在四大值得警惕的新趋势,背后是企业利益驱动、诚信缺乏、对个人信息安全保护漠视心态在全行业蔓延带来的"军备竞赛"。

——"就是不升级"。在多轮测评中发现,手机APP使用的目标API级别过低的问题比较明显。在本轮测评中,百度糯米APP的用户在安装时,由于目标API级别过低,即便并没有相应的使用场景,也"一揽子授权"了包括"读取联系人""录音""读取信息"等敏感权限,否则就无法正常使用该APP。

——"假装不知道"。一些企业称,手机APP过度索权是程序员的"锅"。一嗨租车相关负责人表示,企业程序员"开发失误","不小心上线了没有使用场景的敏感权限,并没有实际使用该权限"。而猫途鹰则表示企业存在失察的情况,没有主动去检查是否存在索取已经不存在应用场景的权限的问题。

北京捷兴信源信息技术有限公司技术支撑部总经理盛大江指出,当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式,存在可规避系统安全机制的漏洞,安全风险比较大。"是否提升API级别、检查索权是否与使用场景对应,是企业的自主选择。尽管工信部在内的监管部门都在提倡提升目标API级别到28,让用户的信息更加安全,但一些企业可能并没有太多的动力主动去提升。"

——"千年用一次,也得索个权。"记者梳理和采访专家发现,以读取短信权限为例,企业认为索取这一权限可以方便消费者读取短信验证码,但除了高频发送验证码的金融类等少量APP外,大量的APP需要读取验证码的情形"百里挑一",但却因此获得了如此敏感的权限,消费者的"隐私让渡回报"明显不足。还有一些手机APP在使用过程中不停"骚扰"消费者获取录音权限,但提供的功能却是少有人使用的"语音播报"。

——"用不上,创造条件也要上。"不少手机APP存在索取"非必要权限"的问题。以日历权限为例,测评显示,有10多家手机APP尤其是网购类平台存在获取用户日历的问题。

相关企业在回应消保委时表示,日历权限的索取可以方便消费者了解大促信息,但专家指出,相应的功能完全可以通过后台推送的方式实现,并不需要额外获取和调用日历权限,涉嫌滥用使用场景。"万一明天用上了呢?竞争对手有了我也要有。一些企业觉得,就算现在用不上,无法即时对消费者的数据进行商业化的运用,也要先创造条件占上,'以备后患',甚至对标竞争对手'他要我也要'。"

自我加压 索权"明明白白"

陶爱莲指出,希望开发者增强诚信意识,主动作为,更好保护消费者个人信息安全,"上海市消保委将对手机APP过度索权问题密切关注、持续关注。"

上海市消保委副秘书长唐健盛说,互联网企业应确保相关应用索取的权限与功能必须相匹配,并妥善使用这些权限,建议行业内的大型企业能尽早推出团体标准,净化市场。同时,消费者也应加强对APP索权的重视程度,谨慎授权。

一些互联网公司已经在"自我加压",主动把索取的权限和消费者"说个明白"。比如,最新更新的手机淘宝APP,不仅将向用户索取的权限以及其使用场景一一说明,还明明白白地告诉消费者如果不愿意索取该项权限、可能影响使用的功能,方便消费者做出选择。

近期谷歌发布的Android Q beta版中,在原有的拒绝和永久授权两种权限选择之外,还增加了仅在使用期间(运行时)的授权选项。这一版本未来正式上线后,基于这一最新版本的手机APP将能更好保护消费者的信息安全。

You are receiving this email because you subscribed to this feed at blogtrottr.com. By using Blogtrottr, you agree to our policies, terms and conditions.

If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions.

沒有留言:

張貼留言