被濫用的手機權(quán)限
共同打造高質(zhì)量的生活,歡迎收看《每周質(zhì)量報告》。根據(jù)相關(guān)統(tǒng)計,目前我國智能手機的用戶已經(jīng)超過了4個億,可以說我們現(xiàn)在已經(jīng)進入了一個移動互聯(lián)的時代。手機上網(wǎng)在給我們帶來了巨大便利的同時,也帶來了一些新的隱患和問題,而且有很多隱患可能是我們作為用戶平常并沒有注意到的。比如所我們在使用手機下載軟件的時候,有很多軟件要求我們開放通訊錄、短信、圖片、地理信息等涉及到隱私信息的手機權(quán)限,否則就無法正常下載和使用這些軟件。那么,這種近似強制性的要求開放隱私權(quán)限的目的到底是什么呢?來看今天的記者調(diào)查。
撥打電話權(quán)限、發(fā)送短信權(quán)限、獲取手機號權(quán)限、訪問聯(lián)系人權(quán)限、讀取地理位置信息權(quán)限,如今智能手機用戶下載更新一款軟件時,常常會遇到這樣的要求,而這些權(quán)限正是廣大手機用戶需要保護的隱私內(nèi)容。
手機用戶 王冰:
“一共有10個,10個選項。”
手機用戶小王在下載一款團購網(wǎng)站時,發(fā)現(xiàn)這款軟件要求開放10多個手機權(quán)限,其中包括撥打電話、讀取通訊錄等隱私權(quán)限,這讓她感到十分感到擔憂。
手機用戶 王冰:
“涉及到通訊錄啊還有個人信息什么的。而且有的里面,像剛才說到有一款(軟件)里面有一個敏感日志、數(shù)據(jù)之類的(權(quán)限),這些有可能就會涉及到我們的隱私?!?/p>
小王發(fā)現(xiàn),一些僅僅起到閱讀、購物等功能的軟件,也像導航、通訊軟件一樣,要求用戶開放編輯短信、精確地理位置等權(quán)限。這樣的權(quán)限要求讓小王感到難以理解。
手機用戶 王冰:
“如果這款軟件不是特別必要的話,它要求過多的權(quán)限,可能我就不會選擇這款軟件,我就覺得可能會泄露我的隱私?!?/p>
記者了解到,目前我國安卓系統(tǒng)的手機應用軟件已經(jīng)接近70萬個,由于安卓系統(tǒng)極端開放的特性,大量的金融、購物、視頻閱讀、工具以及游戲軟件,大都要求手機用戶開放各類手機權(quán)限,其中涉及隱私的權(quán)限就達30多個,其中撥打電話、發(fā)送短信、獲取手機號碼、讀取手機通訊錄、讀取短信記錄、讀取通話記錄、讀取地理位置信息、獲取設(shè)備信息這8項,是涉及隱私信息的核心權(quán)限。
那么大量的手機軟件應用時都會要求一些什么權(quán)限呢?什么樣的手機軟件會要求開放短信、通話等個人隱私信息呢?在一家手機安全機構(gòu)技術(shù)人員的幫助下,記者進行了抽樣試驗。記者在手機上下載了這款閱讀軟件,發(fā)現(xiàn)讀取手機狀態(tài)和身份、直接撥打電話號碼、讀取編輯信息、讀取發(fā)送短信信息、拍攝照片和視頻、要求精確位置、讀取通訊錄等手機權(quán)限,都在這款軟件獲取的內(nèi)容。
手機安全工程師 孫煜:
申請了23權(quán)限。發(fā)短信呀,獲取聯(lián)系人 位置信息算敏感的危險權(quán)限。
記者隨后對工具類、金融購物類、閱讀類、游戲類等手機軟件進行了同類下載比較,發(fā)現(xiàn)包括短信、聯(lián)系人信息和精確位置等隱私信息大都被軟件獲取。其中工具類和視頻閱讀類軟件更多的是獲取位置信息;游戲類軟件更多獲取發(fā)送短信權(quán)限;而金融類和購物類軟件則大多獲取聯(lián)系人信息和精確位置信息。
而在不同類別的手機軟件要求權(quán)限數(shù)量上,記者發(fā)現(xiàn)一般的軟件要求權(quán)限都在10幾項左右,最多的竟然獲取了50多個權(quán)限。
手機安全工程師在對100多個手機軟件要求的權(quán)限進行了統(tǒng)計,記者看到在這些安卓系統(tǒng)的敏感權(quán)限當中,讀取電話狀態(tài)占到第一位,達到95.51%,其余分別是地址定位54.04%,收發(fā)短信45.71%,撥打電話33.71%,讀取聯(lián)系人31.16%,錄音28.09%。另外,與手機用戶個人隱私密切相關(guān)的獲取運行應用也占到了將近63%。
手機安全工程師告訴記者,在他們看來,被手機軟件獲取的各類手機權(quán)限,相當一部分并不是軟件功能所必需的。相對于通訊軟件獲取聯(lián)系人信息,導航地圖軟件要求精確地址信息,一些游戲類軟件要求短信權(quán)限,閱讀類軟件要求地址信息和讀取通訊錄權(quán)限,很難讓人理解。
手機安全工程師 孫煜:
作為一款閱讀軟件來說,它讀取用戶的通訊錄是沒有辦法解釋的一個行為。
記者:缺這些權(quán)限的話,這個軟件還可以運行對嗎?
還可以運行。
經(jīng)過初步調(diào)查記者了解到,大量的手機軟件獲取手機的各類權(quán)限并不是一個罕見的現(xiàn)象,有的軟件獲取的權(quán)限還高達50多個。而涉及手機用戶隱私的權(quán)限被獲取也十分普遍。
獲取短信、通信錄、地理位置等隱私權(quán)限是否是手機軟件功能上的要求呢?在手機安全技術(shù)人員幫助下,記者進行了進一步調(diào)查。
記者發(fā)現(xiàn),像微信等通信類軟件也獲取了手機用戶的聯(lián)系人、短信記錄、地理位置等信息,但技術(shù)人員通過專業(yè)的工具進行逆向分析發(fā)現(xiàn),這些權(quán)限確實在軟件應用中發(fā)揮了作用,最終實現(xiàn)了通信錄好友添加、搖一搖、附近的人等軟件功能。手機安全技術(shù)人員在另外10幾款手機軟件中發(fā)現(xiàn),這些軟件都要求了讀取編輯短信、讀取聯(lián)系人,甚至攔截撥打電話的權(quán)限,但其中5個軟件根本沒有使用這些權(quán)限。
手機安全工程師 彭大偉:
有一些就是不必要的權(quán)限它也申請了,有些它申請了這項權(quán)限,其實從現(xiàn)在來看它沒有代碼去實現(xiàn)這樣的功能。
調(diào)查顯示,這幾個軟件在運行中根本沒有使用讀取聯(lián)系人、收發(fā)短信等功能,但是依然也要求獲取手機用戶的這些隱私權(quán)限。
記者了解到,目前的手機操作系統(tǒng)中,安卓系統(tǒng)對手機權(quán)限幾乎是沒有限制的,這種開放性雖然吸引了大量的應用軟件開發(fā),但也造成了權(quán)限獲取的無序現(xiàn)象。調(diào)查發(fā)現(xiàn),很多軟件商就是利用這個漏洞,不管有些權(quán)限根本用不到,也盡可能地大量獲取包括隱私權(quán)限在內(nèi)的各類權(quán)限,卻絲毫不顧忌手機用戶個人隱私面臨的巨大威脅。
手機安全專家 闞志剛:
我想大部分的這種軟件有這么幾項5、6項、7、8項就足夠了,你要是超過20項或者30項那個(軟件)呢,就是很明顯的一種權(quán)限濫用的這么一個嫌疑了。
調(diào)查中記者發(fā)現(xiàn),幾乎全部手機軟件在其下載安裝頁面上,只提供了“安裝”和“取消”兩個選項,而手機用戶對軟件所要求的各種權(quán)限不能選擇。也就是說,手機用戶只能選擇默認安裝,或者放棄使用。而有的軟件安裝頁面雖然提供了選項,但是記者試驗之后發(fā)現(xiàn),只要取消其中一項權(quán)限,就會不斷提示重新設(shè)置權(quán)限,否則這個軟件就不能安裝,直到全部同意其要求的全部權(quán)限為止。
手機安全工程師 彭大偉:
記者調(diào)查發(fā)現(xiàn),不管用不用,獲取過多的手機權(quán)限已經(jīng)是普遍現(xiàn)象。那么開放給軟件商的個人隱私僅僅是用于軟件實現(xiàn)功能嗎?記者進行了進一步調(diào)查。
這款名為“聊天360電話”的手機軟件是一個能夠節(jié)省通話費用的軟件,記者下載了這個手機軟件,發(fā)現(xiàn)其安裝界面要求獲取手機聯(lián)系人,讀取通話記錄等權(quán)限。隨后記者聯(lián)系到了這個軟件的工作人員。
聊天360電話軟件 工作人:
記者:就是說要求我開放手機通訊錄,這是為什么啊?
就是說你用我們軟件撥打電話呢,就比較方便的這個意思,是沒有其他意思的
記者:那我那個通訊錄信息你們會看到嗎?
看不到的, 你私人的一些什么隱私問題(信息)是不會透露的,你可以放心。
按照這位工作人員的說法,這款“聊天360電話”的手機軟件要求獲取聯(lián)系人信息是為了將記者的手機通訊錄同步到軟件頁面,以方便查詢和撥打。如果真是這樣,這款軟件對讀取聯(lián)系人權(quán)限的要求確實是功能上的需要。但事實會像這位工作人員所說的,手機里的聯(lián)系人信息不會被軟件商看到嗎?手機安全工程師登陸了該軟件并進行了數(shù)據(jù)包抓取,結(jié)果發(fā)現(xiàn),在登陸這款軟件的同時,他手機里的所有聯(lián)系人信息就傳送到了該軟件的網(wǎng)站后臺。
手機安全工程師 彭大偉:
可以看到這邊,其實它上傳了我個人的這個聯(lián)系人的信息,就會直接把我(的隱私信息)上傳到服務(wù)器上面去了。
記者看到,手機中的聯(lián)系人姓名和電話號碼,分毫不差地顯示在這款軟件傳往后臺的數(shù)據(jù)包當中,也就是說,這些聯(lián)系人信息已經(jīng)被軟件后臺獲取。記者查閱了2011年發(fā)布的《移動互聯(lián)網(wǎng)惡意代碼描述規(guī)范》,其中關(guān)于隱私竊取的描述中規(guī)定,“在用戶不知情或未授權(quán)的情況下,獲取通訊錄內(nèi)容”的行為屬于隱私竊取屬性。
手機安全工程師 彭大偉:
你在本地去操作是可以的,但是你不能把我(的隱私信息)上傳到服務(wù)器上面去。把這個聯(lián)系人(信息)獲取之后,然后再偷偷地上傳到遠程的后臺服務(wù)器,那這種行為就是肯定是非常惡意竊取用戶隱私的這種行為。
通過進一步調(diào)查記者發(fā)現(xiàn),要求獲取通信錄等隱私信息的手機軟件,有的并不像軟件商宣稱的不會讀取、傳送這些隱私內(nèi)容,而是在手機用戶毫不知情的情況下,悄悄竊取了手機中的聯(lián)系人信息。
調(diào)查中記者發(fā)現(xiàn),除了聯(lián)系人信息、通話記錄等隱私內(nèi)容被軟件商竊取之外,手機當中的所有應用軟件竟然也可以傳到軟件商的后臺服務(wù)器。手機安全工程師打開了這款名為“愛聊”的手機通訊軟件,這款軟件也需要一些讀取個人的信息,還要求獲取手機正在運行的應用程序信息。登陸之后記者發(fā)現(xiàn),手機中近百個應用程序毫無遺漏地也被傳到該軟件的服務(wù)器后臺。
手機安全工程師 彭大偉:
我裝了什么東西都上傳上去了。
記者:就是你這個手機上所有的應用全給你上傳了是嗎?
對對,我裝的所有應用,都已經(jīng)被上傳到后臺服務(wù)器了。
記者看到,手機中的新浪微博、支付錢包等手機應用軟件,在傳往軟件后臺的數(shù)據(jù)包中都能一一找到,所有的手機應用軟件已經(jīng)被打包傳送出去,而記者卻毫無察覺。手機安全工程師告訴記者,這意味著手機用戶的愛好、習慣應經(jīng)被惡意竊取者通過這些軟件摸得一清二楚。特別是一些炒股、金融和支付等軟件的賬號和密碼,如果被惡意監(jiān)視,則會帶來更大大的財產(chǎn)損失隱患。
記者發(fā)現(xiàn),除了能夠通過隱私權(quán)限違規(guī)傳送通訊錄、應用軟件等內(nèi)容,一些軟件特別是游戲軟件還能夠通過收發(fā)短信權(quán)限實現(xiàn)惡意扣費。而這款軟件被點擊的同時,還悄悄地自動下載其他應用,推銷其他軟件,暗中損耗了手機用戶的流量。
在調(diào)查過程中我們發(fā)現(xiàn),有些軟件要求開放一些隱私權(quán)限確實是軟件本身功能上的需要,比如說導航軟件要求用戶開放準確的位置信息是合理的,但是有更多的軟件要求用戶開放與軟件功能無關(guān)的隱私信息權(quán)限顯然就是不合理的了,而用戶一旦開放了這些權(quán)限,自己的隱私信息就可能被軟件開發(fā)商和運營商掌握,留下很大的安全隱患,而如果不開放呢,對不起,就不能使用這些軟件了。對于用戶來說,這些軟件提出了這種近乎無理的要求就這樣成了一個難解的困局,那么到底有沒有破解這個困局的出路和辦法呢?繼續(xù)來看記者的調(diào)查。
通過大量的調(diào)查記者發(fā)現(xiàn),安卓系統(tǒng)手機權(quán)限的無限開放和管理缺失,使得眾多的軟件商任意獲取手機用戶隱私權(quán)限成為了一種普遍現(xiàn)象。業(yè)內(nèi)人士告訴記者,隨著移動網(wǎng)絡(luò)競爭愈加激烈,精準營銷成為趨勢,一些軟件開發(fā)者即使暫時用不上相關(guān)權(quán)限,也樂于獲取能夠體現(xiàn)手機用戶身份、交際特點、活動軌跡等特點的各類隱私信息。
手機安全專家 闞志剛:
這些信息呢雖然現(xiàn)在沒有發(fā)揮作用,有可能以后呢會賣到很多很多的這個錢,所以說大家呢都是懷著一種儲備信息的這么一個概念,來去做這個事情。這個開發(fā)者為什么用過多地用這些權(quán)限的一個最根本的原因,我想呢還是有這種商業(yè)利益來驅(qū)使的。
而不容忽視的是,手機權(quán)限濫用還帶來了更為嚴重的資費損失和隱私外泄。專家分析認為,有的軟件是通過自身獲取的權(quán)限竊取隱私,暗中扣費。有的軟件被惡意程序或病毒利用,被二次打包之后投放市場,同樣暗中竊取隱私,甚至通過竊取賬號和密碼獲利。不管通過什么途徑,手機權(quán)限濫用帶來的嚴重威脅已經(jīng)潛伏每一個手機用戶身邊。
目前,我國智能手機用戶已經(jīng)超過4億,安卓系統(tǒng)智能手機的用戶也已超過2億。在這樣一個數(shù)字面前,手機權(quán)限的隨意濫用以及帶來的危害值得警惕。專家認為,手機權(quán)限的審核、分級勢在必行。
手機安全專家 闞志剛:
也就是有多大碗裝多大(少)飯,你干什么活呢,你就是需要什么樣的這個權(quán)限如果你是安全類的,那就能夠給你對應著安全類有幾個權(quán)限,視頻類的有八個權(quán)限你就可以用這八個權(quán)限就可以 ,什么應用什么類別,每個類別對應的什么權(quán)限,對于每一個開發(fā)者來講呢都是一目了然的,對于來百姓來講呢也是一目了然的。
專家提示,瀏覽器歷史記錄和書簽、手機聯(lián)系人資料和日歷活動、本機號碼等個人隱私信息,一般會被系統(tǒng)優(yōu)化、系統(tǒng)安全、地圖、輸入法、瀏覽器等系統(tǒng)管理應用獲取權(quán)限,而小游戲之類的安卓應用需要獲取該項權(quán)限,有短信扣費風險;信息權(quán)限一般是短信管理應用軟件應用才需要獲取該權(quán)限。游戲需要這個權(quán)限也可能有扣費隱患。位置權(quán)限一般使用在地圖、生活服務(wù)等安卓軟件應用中。
下載手機軟件就必須按照要求開放隱私信息權(quán)限,否則就不能下載和使用,這樣的要求可真是夠霸道的。專家分析之后指出,之所以會出現(xiàn)這種現(xiàn)象,一個重要的原因,是現(xiàn)在移動互聯(lián)網(wǎng)的世界,過分強調(diào)開放性而忽視了必要的規(guī)范性,如果能針對不同種類軟件的功能,制定出相應的開放隱私權(quán)限的標準,其實就能改變這種霸道的不公平現(xiàn)象。從這個角度來看,加強規(guī)范性的要求和引導,對于移動互聯(lián)網(wǎng)的健康成長無疑是非常必要的。好,感謝收看《每周質(zhì)量報告》,下周同一時間再見。
?
相關(guān)鏈接
安卓手機曝先天隱私缺陷 全球8億用戶受影響?
·凡注明來源為“??诰W(wǎng)”的所有文字、圖片、音視頻、美術(shù)設(shè)計等作品,版權(quán)均屬??诰W(wǎng)所有。未經(jīng)本網(wǎng)書面授權(quán),不得進行一切形式的下載、轉(zhuǎn)載或建立鏡像。
·凡注明為其它來源的信息,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責。
網(wǎng)絡(luò)內(nèi)容從業(yè)人員違法違規(guī)行為舉報郵箱:jb66822333@126.com