手機APP為何這麼“貪心”?

2019年03月29日08:23  來源:廣州日報
 
原標題:手機APP為何這麼“貪心”?

  據新華社電 不給權限就不讓用APP,競爭對手索取了權限自己也“不甘人后”。已經成為消費之痛的“過度索權”背后,是企業漠視個人信息保護心態在全行業蔓延帶來的“軍備競賽”。

  手機APP“過多索權”仍存在

  讀取聯系人和通訊錄,偷偷監控外撥電話,翻看手機通話記錄,甚至還開啟了錄音功能,你的手機也許並不“老實”,甚至即便你安裝的手機APP都來自行業領先的“大公司出品”,這些APP的安全性並不能令人完全放心。

  上海市消保委近期對網購平台、旅游出行、生活服務等39款市場佔有率領先的手機APP涉及個人信息權限評測顯示,截至3月23日,有9款手機APP存在索取的權限與功能無法對應的問題,涉及聚美、窮游、貓途鷹、神州租車、百度糯米等。

  比如,窮游APP向用戶索取“讀取聯系人”的權限,但並沒有提供相應的功能﹔神州租車APP向用戶索取“錄音”“監控外撥電話,重新設置外撥電話的路徑”等權限,但也並未能提供相應的功能。

  此次發布的測評結果,已經是上海市消保委第三次針對手機APP進行的測評,此前已經針對地圖類、瀏覽器類、輸入法類以及綜合視頻類等進行了兩輪測評,發現存在數十項無實際功能對照的權限申請,包括讀取通訊錄、電話權限、短信權限、定位權限等。

  上海市消保委秘書長陶愛蓮說,在三令五申下,APP過度索權問題依然屢禁不止,即使是來自行業領先大公司的APP問題同樣突出,已經成為消費者的新痛點。

  “過度索權”四大“怪”

  手機APP“過度索權”為何難治?記者調查發現,手機APP過度索權存在四大值得警惕的新趨勢。

  ——“就是不升級”。在多輪測評中發現,手機APP使用的目標API級別過低的問題比較明顯。在本輪測評中,百度糯米APP的用戶在安裝時,由於目標API級別過低,即便並沒有相應的使用場景,也“一攬子授權”了包括“讀取聯系人”“錄音”“讀取信息”等敏感權限,否則就無法正常使用該APP。

  ——“假裝不知道”。一些企業稱,手機APP過度索權是程序員的“鍋”。一嗨租車相關負責人表示,企業程序員“開發失誤”,“不小心上線了沒有使用場景的敏感權限,並沒有實際使用該權限”。而貓途鷹則表示企業存在失察的情況,沒有主動去檢查是否存在索取已經不存在應用場景的權限的問題。

  北京捷興信源信息技術有限公司技術支撐部總經理盛大江指出,當目標API級別低於23時,安卓對於權限會採用一攬子授權的模式,存在可規避系統安全機制的漏洞,安全風險比較大。“是否提升API級別、檢查索權是否與使用場景對應,是企業的自主選擇。盡管工信部在內的監管部門都在提倡提升目標API級別到28,讓用戶的信息更加安全,但一些企業可能並沒有太多的動力主動去提升。”

  ——“千年用一次,也得索個權。”記者梳理和採訪專家發現,以讀取短信權限為例,企業認為索取這一權限可以方便消費者讀取短信驗証碼,但除了高頻發送驗証碼的金融類等少量APP外,大量的APP需要讀取驗証碼的情形“百裡挑一”,但卻因此獲得了如此敏感的權限,消費者的“隱私讓渡回報”明顯不足。還有一些手機APP在使用過程中不停“騷擾”消費者獲取錄音權限,但提供的功能卻是少有人使用的“語音播報”。

  ——“用不上,創造條件也要上。”不少手機APP存在索取“非必要權限”的問題。以日歷權限為例,測評顯示,有10多家手機APP尤其是網購類平台存在獲取用戶日歷的問題。

  相關企業在回應消保委時表示,日歷權限的索取可以方便消費者了解大促信息,但專家指出,相應的功能完全可以通過后台推送的方式實現,並不需要額外獲取和調用日歷權限,涉嫌濫用使用場景。“萬一明天用上了呢?競爭對手有了我也要有。一些企業覺得,就算現在用不上,無法即時對消費者的數據進行商業化的運用,也要先創造條件佔上,‘以備后患’,甚至對標競爭對手‘他要我也要’。”

  自我加壓 索權“明明白白”

  陶愛蓮指出,希望開發者增強誠信意識,主動作為,更好保護消費者個人信息安全,“上海市消保委將對手機APP過度索權問題密切關注、持續關注。”

  一些互聯網公司已經在“自我加壓”,主動把索取的權限和消費者“說個明白”。比如,最新更新的手機淘寶APP,不僅將向用戶索取的權限以及其使用場景一一說明,還明明白白地告訴消費者如果不願意索取該項權限、可能影響使用的功能,方便消費者做出選擇。

(責編:易瀟、楊波)