极棒实验室:手机APP超范围收集用户隐私致隐患

2017年03月16日13:37  来源:中国网
 
原标题:极棒实验室:手机APP超范围收集用户隐私致隐患

近日,大量公民隐私泄露案件被曝光,个人信息保护也成为两会和315关注的焦点。随着智能产品无孔不入地进入我们的生活,用户隐私安全问题成为悬在公民头上的达摩克利斯之剑。2016年互联网数据中心发布的《2016年中国安卓手机隐私报告》显示,超过20%以上的用户曾泄露过涉及隐私的视频、图片、账号密码和联系人信息。

专注智能安全的极棒实验室(GeekPwn Lab)在近期发布的《APP个人隐私研究报告》显示,超功能范围申请、收集、上传用户信息仍是目前手机APP存在的普遍现象。

根据下载使用量、知名度作为参考,GeekPwn实验室在电子市场中挑选100多个手机APP(安卓), 根据个人隐私信息的敏感性选择“读取通讯录”、“读取短信”、“读取日程”、“读取通话记录”等作为重点分析对象进行技术分析,并发现以下问题:

超功能范围申请权限 驾考信息类APP调取通话记录?

根据《公共及商用服务信息系统个人信息保护指南》,APP在使用个人信息时需要对个人信息主体尽到告知、说明和警示的义务,以及如实向个人信息主体告知个人信息的收集和使用范围、个人信息的保护措施等。处理个人信息时要遵循“最小够用”原则,要征得个人信息主体同意等原则。

在此次研究中上百APP中约有80%申请了通讯录的阅读权限(包括联系人姓名、电话、邮箱等信息),另外还有超过20%的APP申请了通话记录的阅读权限。然而极棒实验室专家经过对其代码的深入分析后发现,很多权限申请超出了APP的功能范围。根据报告统计图可以看出,使用率最低的日程权限在授权后只有约五分之一得到了真正使用。

极棒实验室通过对一款提供驾考、汽车信息的APP代码进行了深入分析,发现该APP申请并调用了“读取通话记录”的权限,并直接将该信息上传至厂商服务器。

分析者表示:市场上多数APP所收集的信息范围十分广泛,不仅包括个人信息,同时还会涉及健康数据、地理位置数据在内的很多敏感信息。

明文传输用户信息增加被截获风险 用户告知声明不规范

此次极棒实验室的报告中还针对一款在Google paly上下载量超一千万的传输类APP进行了分析,发现注册用户首次登陆时,该APP会将用户手机中的通讯录信息(包括联系人姓名、电话号码信息)直接上传至服务器,且采用明文http上传,未对通讯录信息进行加密传输,极大增加了被监听截获的风险。

报告还指出:在该APP的《协议条款》中也未出现对收集用户手机通讯录信息内容及如何处理使用的描述,即未向用户明示并获得同意。

根据调查发现,在部分APP中未发现对涉及个人信息的告知说明,部分APP在完成用户信息采集之后才出现《用户协议》,在APP的告知声明中也存在对个人信息的描述不准确、不清晰的现象。大部分关于个人信息保护的说明并不容易被发现,用户经常需要经过两次及以上的点击次数才能找到相关内容。

保护用户隐私安全立法时机已成熟 企业更需承担社会责任

当前互联网发展个人信息经济价值也逐渐成为不法分子的重要目标。据了解,目前针对信息泄露问题世界上已有超过一百个国家和地区制定了《个人信息保护法》或《隐私法》用来保护个人信息。 全国人大财经委员会副主任吴晓灵表示,从长远来看,个人信息保护不足对公民个人权益、互联网及信息行业发展和我国参与国际竞争都会产生不利影响,制定符合中国实际情况的《个人信息保护法》的时机已经成熟。

同时,网络空间公民隐私的保护更需要企业承担社会责任,遵循个人信息保护的规范及指南,运用技术手段增强产品的安全性,切实做到保护用户隐私和保障数据安全。

(责编:易潇、杨虞波罗)

推荐阅读