被濫用的手機(jī)權(quán)限
共同打造高質(zhì)量的生活,歡迎收看《每周質(zhì)量報(bào)告》。根據(jù)相關(guān)統(tǒng)計(jì),目前我國智能手機(jī)的用戶已經(jīng)超過了4個(gè)億,可以說我們現(xiàn)在已經(jīng)進(jìn)入了一個(gè)移動(dòng)互聯(lián)的時(shí)代。手機(jī)上網(wǎng)在給我們帶來了巨大便利的同時(shí),也帶來了一些新的隱患和問題,而且有很多隱患可能是我們作為用戶平常并沒有注意到的。比如所我們?cè)谑褂檬謾C(jī)下載軟件的時(shí)候,有很多軟件要求我們開放通訊錄、短信、圖片、地理信息等涉及到隱私信息的手機(jī)權(quán)限,否則就無法正常下載和使用這些軟件。那么,這種近似強(qiáng)制性的要求開放隱私權(quán)限的目的到底是什么呢?來看今天的記者調(diào)查。
撥打電話權(quán)限、發(fā)送短信權(quán)限、獲取手機(jī)號(hào)權(quán)限、訪問聯(lián)系人權(quán)限、讀取地理位置信息權(quán)限,如今智能手機(jī)用戶下載更新一款軟件時(shí),常常會(huì)遇到這樣的要求,而這些權(quán)限正是廣大手機(jī)用戶需要保護(hù)的隱私內(nèi)容。
手機(jī)用戶 王冰:
“一共有10個(gè),10個(gè)選項(xiàng)?!?/p>
手機(jī)用戶小王在下載一款團(tuán)購網(wǎng)站時(shí),發(fā)現(xiàn)這款軟件要求開放10多個(gè)手機(jī)權(quán)限,其中包括撥打電話、讀取通訊錄等隱私權(quán)限,這讓她感到十分感到擔(dān)憂。
手機(jī)用戶 王冰:
“涉及到通訊錄啊還有個(gè)人信息什么的。而且有的里面,像剛才說到有一款(軟件)里面有一個(gè)敏感日志、數(shù)據(jù)之類的(權(quán)限),這些有可能就會(huì)涉及到我們的隱私?!?/p>
小王發(fā)現(xiàn),一些僅僅起到閱讀、購物等功能的軟件,也像導(dǎo)航、通訊軟件一樣,要求用戶開放編輯短信、精確地理位置等權(quán)限。這樣的權(quán)限要求讓小王感到難以理解。
手機(jī)用戶 王冰:
“如果這款軟件不是特別必要的話,它要求過多的權(quán)限,可能我就不會(huì)選擇這款軟件,我就覺得可能會(huì)泄露我的隱私?!?/p>
記者了解到,目前我國安卓系統(tǒng)的手機(jī)應(yīng)用軟件已經(jīng)接近70萬個(gè),由于安卓系統(tǒng)極端開放的特性,大量的金融、購物、視頻閱讀、工具以及游戲軟件,大都要求手機(jī)用戶開放各類手機(jī)權(quán)限,其中涉及隱私的權(quán)限就達(dá)30多個(gè),其中撥打電話、發(fā)送短信、獲取手機(jī)號(hào)碼、讀取手機(jī)通訊錄、讀取短信記錄、讀取通話記錄、讀取地理位置信息、獲取設(shè)備信息這8項(xiàng),是涉及隱私信息的核心權(quán)限。
那么大量的手機(jī)軟件應(yīng)用時(shí)都會(huì)要求一些什么權(quán)限呢?什么樣的手機(jī)軟件會(huì)要求開放短信、通話等個(gè)人隱私信息呢?在一家手機(jī)安全機(jī)構(gòu)技術(shù)人員的幫助下,記者進(jìn)行了抽樣試驗(yàn)。記者在手機(jī)上下載了這款閱讀軟件,發(fā)現(xiàn)讀取手機(jī)狀態(tài)和身份、直接撥打電話號(hào)碼、讀取編輯信息、讀取發(fā)送短信信息、拍攝照片和視頻、要求精確位置、讀取通訊錄等手機(jī)權(quán)限,都在這款軟件獲取的內(nèi)容。
手機(jī)安全工程師 孫煜:
申請(qǐng)了23權(quán)限。發(fā)短信呀,獲取聯(lián)系人 位置信息算敏感的危險(xiǎn)權(quán)限。
記者隨后對(duì)工具類、金融購物類、閱讀類、游戲類等手機(jī)軟件進(jìn)行了同類下載比較,發(fā)現(xiàn)包括短信、聯(lián)系人信息和精確位置等隱私信息大都被軟件獲取。其中工具類和視頻閱讀類軟件更多的是獲取位置信息;游戲類軟件更多獲取發(fā)送短信權(quán)限;而金融類和購物類軟件則大多獲取聯(lián)系人信息和精確位置信息。
而在不同類別的手機(jī)軟件要求權(quán)限數(shù)量上,記者發(fā)現(xiàn)一般的軟件要求權(quán)限都在10幾項(xiàng)左右,最多的竟然獲取了50多個(gè)權(quán)限。
手機(jī)安全工程師在對(duì)100多個(gè)手機(jī)軟件要求的權(quán)限進(jìn)行了統(tǒng)計(jì),記者看到在這些安卓系統(tǒng)的敏感權(quán)限當(dāng)中,讀取電話狀態(tài)占到第一位,達(dá)到95.51%,其余分別是地址定位54.04%,收發(fā)短信45.71%,撥打電話33.71%,讀取聯(lián)系人31.16%,錄音28.09%。另外,與手機(jī)用戶個(gè)人隱私密切相關(guān)的獲取運(yùn)行應(yīng)用也占到了將近63%。
手機(jī)安全工程師告訴記者,在他們看來,被手機(jī)軟件獲取的各類手機(jī)權(quán)限,相當(dāng)一部分并不是軟件功能所必需的。相對(duì)于通訊軟件獲取聯(lián)系人信息,導(dǎo)航地圖軟件要求精確地址信息,一些游戲類軟件要求短信權(quán)限,閱讀類軟件要求地址信息和讀取通訊錄權(quán)限,很難讓人理解。
手機(jī)安全工程師 孫煜:
作為一款閱讀軟件來說,它讀取用戶的通訊錄是沒有辦法解釋的一個(gè)行為。
記者:缺這些權(quán)限的話,這個(gè)軟件還可以運(yùn)行對(duì)嗎?
還可以運(yùn)行。
經(jīng)過初步調(diào)查記者了解到,大量的手機(jī)軟件獲取手機(jī)的各類權(quán)限并不是一個(gè)罕見的現(xiàn)象,有的軟件獲取的權(quán)限還高達(dá)50多個(gè)。而涉及手機(jī)用戶隱私的權(quán)限被獲取也十分普遍。
獲取短信、通信錄、地理位置等隱私權(quán)限是否是手機(jī)軟件功能上的要求呢?在手機(jī)安全技術(shù)人員幫助下,記者進(jìn)行了進(jìn)一步調(diào)查。
記者發(fā)現(xiàn),像微信等通信類軟件也獲取了手機(jī)用戶的聯(lián)系人、短信記錄、地理位置等信息,但技術(shù)人員通過專業(yè)的工具進(jìn)行逆向分析發(fā)現(xiàn),這些權(quán)限確實(shí)在軟件應(yīng)用中發(fā)揮了作用,最終實(shí)現(xiàn)了通信錄好友添加、搖一搖、附近的人等軟件功能。手機(jī)安全技術(shù)人員在另外10幾款手機(jī)軟件中發(fā)現(xiàn),這些軟件都要求了讀取編輯短信、讀取聯(lián)系人,甚至攔截?fù)艽螂娫挼臋?quán)限,但其中5個(gè)軟件根本沒有使用這些權(quán)限。
手機(jī)安全工程師 彭大偉:
有一些就是不必要的權(quán)限它也申請(qǐng)了,有些它申請(qǐng)了這項(xiàng)權(quán)限,其實(shí)從現(xiàn)在來看它沒有代碼去實(shí)現(xiàn)這樣的功能。
調(diào)查顯示,這幾個(gè)軟件在運(yùn)行中根本沒有使用讀取聯(lián)系人、收發(fā)短信等功能,但是依然也要求獲取手機(jī)用戶的這些隱私權(quán)限。
記者了解到,目前的手機(jī)操作系統(tǒng)中,安卓系統(tǒng)對(duì)手機(jī)權(quán)限幾乎是沒有限制的,這種開放性雖然吸引了大量的應(yīng)用軟件開發(fā),但也造成了權(quán)限獲取的無序現(xiàn)象。調(diào)查發(fā)現(xiàn),很多軟件商就是利用這個(gè)漏洞,不管有些權(quán)限根本用不到,也盡可能地大量獲取包括隱私權(quán)限在內(nèi)的各類權(quán)限,卻絲毫不顧忌手機(jī)用戶個(gè)人隱私面臨的巨大威脅。
手機(jī)安全專家 闞志剛:
我想大部分的這種軟件有這么幾項(xiàng)5、6項(xiàng)、7、8項(xiàng)就足夠了,你要是超過20項(xiàng)或者30項(xiàng)那個(gè)(軟件)呢,就是很明顯的一種權(quán)限濫用的這么一個(gè)嫌疑了。
調(diào)查中記者發(fā)現(xiàn),幾乎全部手機(jī)軟件在其下載安裝頁面上,只提供了“安裝”和“取消”兩個(gè)選項(xiàng),而手機(jī)用戶對(duì)軟件所要求的各種權(quán)限不能選擇。也就是說,手機(jī)用戶只能選擇默認(rèn)安裝,或者放棄使用。而有的軟件安裝頁面雖然提供了選項(xiàng),但是記者試驗(yàn)之后發(fā)現(xiàn),只要取消其中一項(xiàng)權(quán)限,就會(huì)不斷提示重新設(shè)置權(quán)限,否則這個(gè)軟件就不能安裝,直到全部同意其要求的全部權(quán)限為止。
手機(jī)安全工程師 彭大偉:
記者調(diào)查發(fā)現(xiàn),不管用不用,獲取過多的手機(jī)權(quán)限已經(jīng)是普遍現(xiàn)象。那么開放給軟件商的個(gè)人隱私僅僅是用于軟件實(shí)現(xiàn)功能嗎?記者進(jìn)行了進(jìn)一步調(diào)查。
這款名為“聊天360電話”的手機(jī)軟件是一個(gè)能夠節(jié)省通話費(fèi)用的軟件,記者下載了這個(gè)手機(jī)軟件,發(fā)現(xiàn)其安裝界面要求獲取手機(jī)聯(lián)系人,讀取通話記錄等權(quán)限。隨后記者聯(lián)系到了這個(gè)軟件的工作人員。
聊天360電話軟件 工作人:
記者:就是說要求我開放手機(jī)通訊錄,這是為什么???
就是說你用我們軟件撥打電話呢,就比較方便的這個(gè)意思,是沒有其他意思的
記者:那我那個(gè)通訊錄信息你們會(huì)看到嗎?
看不到的, 你私人的一些什么隱私問題(信息)是不會(huì)透露的,你可以放心。
按照這位工作人員的說法,這款“聊天360電話”的手機(jī)軟件要求獲取聯(lián)系人信息是為了將記者的手機(jī)通訊錄同步到軟件頁面,以方便查詢和撥打。如果真是這樣,這款軟件對(duì)讀取聯(lián)系人權(quán)限的要求確實(shí)是功能上的需要。但事實(shí)會(huì)像這位工作人員所說的,手機(jī)里的聯(lián)系人信息不會(huì)被軟件商看到嗎?手機(jī)安全工程師登陸了該軟件并進(jìn)行了數(shù)據(jù)包抓取,結(jié)果發(fā)現(xiàn),在登陸這款軟件的同時(shí),他手機(jī)里的所有聯(lián)系人信息就傳送到了該軟件的網(wǎng)站后臺(tái)。
手機(jī)安全工程師 彭大偉:
可以看到這邊,其實(shí)它上傳了我個(gè)人的這個(gè)聯(lián)系人的信息,就會(huì)直接把我(的隱私信息)上傳到服務(wù)器上面去了。
記者看到,手機(jī)中的聯(lián)系人姓名和電話號(hào)碼,分毫不差地顯示在這款軟件傳往后臺(tái)的數(shù)據(jù)包當(dāng)中,也就是說,這些聯(lián)系人信息已經(jīng)被軟件后臺(tái)獲取。記者查閱了2011年發(fā)布的《移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范》,其中關(guān)于隱私竊取的描述中規(guī)定,“在用戶不知情或未授權(quán)的情況下,獲取通訊錄內(nèi)容”的行為屬于隱私竊取屬性。
手機(jī)安全工程師 彭大偉:
你在本地去操作是可以的,但是你不能把我(的隱私信息)上傳到服務(wù)器上面去。把這個(gè)聯(lián)系人(信息)獲取之后,然后再偷偷地上傳到遠(yuǎn)程的后臺(tái)服務(wù)器,那這種行為就是肯定是非常惡意竊取用戶隱私的這種行為。
通過進(jìn)一步調(diào)查記者發(fā)現(xiàn),要求獲取通信錄等隱私信息的手機(jī)軟件,有的并不像軟件商宣稱的不會(huì)讀取、傳送這些隱私內(nèi)容,而是在手機(jī)用戶毫不知情的情況下,悄悄竊取了手機(jī)中的聯(lián)系人信息。
調(diào)查中記者發(fā)現(xiàn),除了聯(lián)系人信息、通話記錄等隱私內(nèi)容被軟件商竊取之外,手機(jī)當(dāng)中的所有應(yīng)用軟件竟然也可以傳到軟件商的后臺(tái)服務(wù)器。手機(jī)安全工程師打開了這款名為“愛聊”的手機(jī)通訊軟件,這款軟件也需要一些讀取個(gè)人的信息,還要求獲取手機(jī)正在運(yùn)行的應(yīng)用程序信息。登陸之后記者發(fā)現(xiàn),手機(jī)中近百個(gè)應(yīng)用程序毫無遺漏地也被傳到該軟件的服務(wù)器后臺(tái)。
手機(jī)安全工程師 彭大偉:
我裝了什么東西都上傳上去了。
記者:就是你這個(gè)手機(jī)上所有的應(yīng)用全給你上傳了是嗎?
對(duì)對(duì),我裝的所有應(yīng)用,都已經(jīng)被上傳到后臺(tái)服務(wù)器了。
記者看到,手機(jī)中的新浪微博、支付錢包等手機(jī)應(yīng)用軟件,在傳往軟件后臺(tái)的數(shù)據(jù)包中都能一一找到,所有的手機(jī)應(yīng)用軟件已經(jīng)被打包傳送出去,而記者卻毫無察覺。手機(jī)安全工程師告訴記者,這意味著手機(jī)用戶的愛好、習(xí)慣應(yīng)經(jīng)被惡意竊取者通過這些軟件摸得一清二楚。特別是一些炒股、金融和支付等軟件的賬號(hào)和密碼,如果被惡意監(jiān)視,則會(huì)帶來更大大的財(cái)產(chǎn)損失隱患。
記者發(fā)現(xiàn),除了能夠通過隱私權(quán)限違規(guī)傳送通訊錄、應(yīng)用軟件等內(nèi)容,一些軟件特別是游戲軟件還能夠通過收發(fā)短信權(quán)限實(shí)現(xiàn)惡意扣費(fèi)。而這款軟件被點(diǎn)擊的同時(shí),還悄悄地自動(dòng)下載其他應(yīng)用,推銷其他軟件,暗中損耗了手機(jī)用戶的流量。
在調(diào)查過程中我們發(fā)現(xiàn),有些軟件要求開放一些隱私權(quán)限確實(shí)是軟件本身功能上的需要,比如說導(dǎo)航軟件要求用戶開放準(zhǔn)確的位置信息是合理的,但是有更多的軟件要求用戶開放與軟件功能無關(guān)的隱私信息權(quán)限顯然就是不合理的了,而用戶一旦開放了這些權(quán)限,自己的隱私信息就可能被軟件開發(fā)商和運(yùn)營商掌握,留下很大的安全隱患,而如果不開放呢,對(duì)不起,就不能使用這些軟件了。對(duì)于用戶來說,這些軟件提出了這種近乎無理的要求就這樣成了一個(gè)難解的困局,那么到底有沒有破解這個(gè)困局的出路和辦法呢?繼續(xù)來看記者的調(diào)查。
通過大量的調(diào)查記者發(fā)現(xiàn),安卓系統(tǒng)手機(jī)權(quán)限的無限開放和管理缺失,使得眾多的軟件商任意獲取手機(jī)用戶隱私權(quán)限成為了一種普遍現(xiàn)象。業(yè)內(nèi)人士告訴記者,隨著移動(dòng)網(wǎng)絡(luò)競(jìng)爭(zhēng)愈加激烈,精準(zhǔn)營銷成為趨勢(shì),一些軟件開發(fā)者即使暫時(shí)用不上相關(guān)權(quán)限,也樂于獲取能夠體現(xiàn)手機(jī)用戶身份、交際特點(diǎn)、活動(dòng)軌跡等特點(diǎn)的各類隱私信息。
手機(jī)安全專家 闞志剛:
這些信息呢雖然現(xiàn)在沒有發(fā)揮作用,有可能以后呢會(huì)賣到很多很多的這個(gè)錢,所以說大家呢都是懷著一種儲(chǔ)備信息的這么一個(gè)概念,來去做這個(gè)事情。這個(gè)開發(fā)者為什么用過多地用這些權(quán)限的一個(gè)最根本的原因,我想呢還是有這種商業(yè)利益來驅(qū)使的。
而不容忽視的是,手機(jī)權(quán)限濫用還帶來了更為嚴(yán)重的資費(fèi)損失和隱私外泄。專家分析認(rèn)為,有的軟件是通過自身獲取的權(quán)限竊取隱私,暗中扣費(fèi)。有的軟件被惡意程序或病毒利用,被二次打包之后投放市場(chǎng),同樣暗中竊取隱私,甚至通過竊取賬號(hào)和密碼獲利。不管通過什么途徑,手機(jī)權(quán)限濫用帶來的嚴(yán)重威脅已經(jīng)潛伏每一個(gè)手機(jī)用戶身邊。
目前,我國智能手機(jī)用戶已經(jīng)超過4億,安卓系統(tǒng)智能手機(jī)的用戶也已超過2億。在這樣一個(gè)數(shù)字面前,手機(jī)權(quán)限的隨意濫用以及帶來的危害值得警惕。專家認(rèn)為,手機(jī)權(quán)限的審核、分級(jí)勢(shì)在必行。
手機(jī)安全專家 闞志剛:
也就是有多大碗裝多大(少)飯,你干什么活呢,你就是需要什么樣的這個(gè)權(quán)限如果你是安全類的,那就能夠給你對(duì)應(yīng)著安全類有幾個(gè)權(quán)限,視頻類的有八個(gè)權(quán)限你就可以用這八個(gè)權(quán)限就可以 ,什么應(yīng)用什么類別,每個(gè)類別對(duì)應(yīng)的什么權(quán)限,對(duì)于每一個(gè)開發(fā)者來講呢都是一目了然的,對(duì)于來百姓來講呢也是一目了然的。
專家提示,瀏覽器歷史記錄和書簽、手機(jī)聯(lián)系人資料和日歷活動(dòng)、本機(jī)號(hào)碼等個(gè)人隱私信息,一般會(huì)被系統(tǒng)優(yōu)化、系統(tǒng)安全、地圖、輸入法、瀏覽器等系統(tǒng)管理應(yīng)用獲取權(quán)限,而小游戲之類的安卓應(yīng)用需要獲取該項(xiàng)權(quán)限,有短信扣費(fèi)風(fēng)險(xiǎn);信息權(quán)限一般是短信管理應(yīng)用軟件應(yīng)用才需要獲取該權(quán)限。游戲需要這個(gè)權(quán)限也可能有扣費(fèi)隱患。位置權(quán)限一般使用在地圖、生活服務(wù)等安卓軟件應(yīng)用中。
下載手機(jī)軟件就必須按照要求開放隱私信息權(quán)限,否則就不能下載和使用,這樣的要求可真是夠霸道的。專家分析之后指出,之所以會(huì)出現(xiàn)這種現(xiàn)象,一個(gè)重要的原因,是現(xiàn)在移動(dòng)互聯(lián)網(wǎng)的世界,過分強(qiáng)調(diào)開放性而忽視了必要的規(guī)范性,如果能針對(duì)不同種類軟件的功能,制定出相應(yīng)的開放隱私權(quán)限的標(biāo)準(zhǔn),其實(shí)就能改變這種霸道的不公平現(xiàn)象。從這個(gè)角度來看,加強(qiáng)規(guī)范性的要求和引導(dǎo),對(duì)于移動(dòng)互聯(lián)網(wǎng)的健康成長無疑是非常必要的。好,感謝收看《每周質(zhì)量報(bào)告》,下周同一時(shí)間再見。
?
相關(guān)鏈接
安卓手機(jī)曝先天隱私缺陷 全球8億用戶受影響?
·凡注明來源為“??诰W(wǎng)”的所有文字、圖片、音視頻、美術(shù)設(shè)計(jì)等作品,版權(quán)均屬海口網(wǎng)所有。未經(jīng)本網(wǎng)書面授權(quán),不得進(jìn)行一切形式的下載、轉(zhuǎn)載或建立鏡像。
·凡注明為其它來源的信息,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。
網(wǎng)絡(luò)內(nèi)容從業(yè)人員違法違規(guī)行為舉報(bào)郵箱:jb66822333@126.com