315和解平台
上海市消保委评测显示,日历权限风险令人忧
图一:52.5%的消费者用手机日历功能记录个人行程
图二:仅有0.4%的消费者关注日历权限
■本报记者 刘浩
手机APP已成为人们生活中必不可少的工具,由此也催生了用户个人信息泄露、合法权益被侵犯等问题。近日,上海市消费者权益保护委员会发布对网购平台、旅游出行、生活服务等类别共39款手机APP开展涉及个人信息权限评测的结果。截至记者发稿时,聚美优品、穷游等APP尚未能就其权限和功能无法对应的问题进行改进。上海市消保委提醒消费者,日历权限带来的可能性风险大于便利。
APP涉嫌过度索权
网购类、社交类、旅游类、生活类手机APP,涉及用户日常生活的方方面面,需获取用户较多个人信息完成相应功能。为此,上海市消保委联合《中国消费者报》上海记者站,委托北京捷兴信源信息技术有限公司,于今年1月,对上述类型共39款APP开展涉及个人信息权限评测。
评测主要从4个维度进行:APP所使用的目标API级别是否存在可规避系统安全机制的漏洞;APP敏感权限的数量;敏感权限的授权方式;是否存在无实际功能对应的权限申请。
本次评测发现,手机淘宝、京东、唯品会等14款应用敏感权限与实际功能均能对应。上海市消保委与手机APP企业进行沟通,相关企业也在排查后相继对存在的问题作出解释和优化。
截至3月23日统计时,共有30款应用在敏感权限的申请、使用方面做到了合理申请、自主授权。仍有9款应用未能就其权限和功能无法对应的问题进行改进,包括聚美优品(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1)、神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)。存在的问题涉及发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。如聚美优品(v7.951)存在获取“发送短信”权限未有相关对应功能的行为;穷游(v9.2.0)存在过度获取“拨打电话”“读取联系人”权限的行为;神州租车(v6.4.4)存在“拨打电话”“监控外拨电话、重新设置外拨电话的路径”“摄取录音”等过度获取权限的行为;饿了么则过度获取“读取通话记录”权限。
日历权限风险大于便利
本次评测发现,不少网购类APP获取了日历权限。相关调查表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息可能涉及个人信息、商业机密等。
上海市消保委通过上海市消保委、上海新消费微信公众号、腾讯大申网开展的网络调查显示,69.9%的消费者关注手机APP获取个人权限问题。其中通讯录权限最受关注,占43.5%;26%的消费者关注电话、短信权限。值得注意的是,仅有0.4%的消费者关注日历权限,消费者对日历权限的重视度非常低。
手机日历具有时间提醒、行程记录等功能。其中,52.5%的消费者用手机日历功能记录个人行程。其中,24.7%的消费者选择记录日常生活行程;18.5%的消费者记录日常生活及工作等行程。
上海市消保委认为,日历权限给消费者带来的可能性风险大于便利,网购类平台使用日历权限给消费者提供的服务可以用其他技术手段替代。上海市消保委希望消费者和APP开发者都能对日历权限加以重视。
上海市消保委副秘书长唐健盛表示,如消费者经常使用手机日历记录敏感事项,则对APP的日历权限应谨慎授权;APP开发者如无十分必要,建议尽可能不使用手机日历权限。
“单次授权”建议被采纳
前期评测中,上海市消保委针对安卓系统的安全性提出,增加让消费者单次授权的功能,这一建议得到了APP开发者、手机厂商和系统开发者的重视。记者了解到,近期,谷歌发布的AndroidQbeta版新增了相关的安全性功能。如对敏感信息的访问权限、摄像头/麦克风后台访问控制,以及给予用户更多地理位置控制等权限,除了原有的拒绝和永久授权之外,增加了仅在使用期间(运行时)授权选项。
唐健盛表示,个人信息保护的关键是规范收集和使用。当前,APP已成为消费重要的入口之一。在数字化时代,出于商业竞争必要性,获取消费者的数据可能是企业不得不去做的事,如何保护消费者的个人信息安全,依然是一道难题。
上海市消保委副主任兼秘书长陶爱莲表示,上海市消保委近年来持续关注APP对个人信息的获取情况,去年以来,上海市消保委已开展了3期手机APP涉及个人信息权限的评测,评测范围包括地图类APP和浏览器、输入法、综合视频等APP,以及此次发布的网购平台、旅游出行、生活服务等类别APP。从历次评测结果来看,个人敏感权限的收集仍是较突出的问题,而企业并不会主动反思或下线相关授权。消费者越来越关注个人隐私的保护,拼命防守但仍防不胜防。(本文图表由上海市消保委提供)
●最新进展
仍有企业整改迟缓
针对评测通报的情况,“饿了么”表示已推出更新版本,删除了“读取通话记录”权限。
3月28日,“TripAdvisor猫途鹰”向上海市消保委提交相关整改报告,表示已进行内部排查,通过升级版本的形式删除了“拨打电话”权限,新版本 (版本号29.4.3)已于3月27日晚在各大安卓系统应用市场上线。
“一嗨租车”表示,关于获取“接收讯息(短信)”权限的问题,经自查发现是开发失误,并无相应功能需要该项权限,现已在v6.2.3版本中进行修正,并于3月27日上线,目前首页已推送,应用商城因审核原因,于3月29日上午上线。
此外,“格瓦拉”相关负责人在通气会上表示已于3月26日升级版本,并删除“发送短信”“读取联系人”“录音”授权。然而,经APP评测技术团队发现,在各大应用市场并没有发现“格瓦拉”的更新版本,新版本只能通过应用内升级获得。技术团队进一步测试发现,新版本中“读取联系人”权限并未删除,与格瓦拉公司的承诺不符。“格瓦拉”3月29日再次回复称,3月26日起逐步发布的9.5.2升级版本由于测试范围不够广,没有及时发现问题,导致“读取联系人”权限仍被申请。3月29日测试9.5.3版本将删除“读取联系人”权限,3月30日在各安卓应用市场更新下载。
“神州租车”于3月29日发布安卓版本6.5.0,取消了获取手机权限,包含拨打电话、监控外拨电话等功能。
“百度糯米”表示其目前的版本为8.4.7,已不再调用相关权限,不涉及用户隐私问题,并将于4月27日全面升级API版本,保护用户信息安全。
“贝贝”APP表示其麦克风“录音”权限应用在金融服务 (尊享贷信用授权)场景。上海市消保委表示,关于“贝贝”所说的麦克风使用场景,APP评测技术团队在正常使用中无法验证。
上海市消保委认为,消费者的个人信息依法受到保护,对于存在问题的APP,改正是义务,承诺是责任,企业不应言之凿凿,实际敷衍了事。上海市消保委对相关企业的积极回应和行动表示欢迎,并督促其他应用作出改进,以维护消费者的信息安全。(刘浩)
