知識星球來自:新華網
一款普通的手機瀏覽器,不開啟定位許可權就無法正常使用;一個普通的手機輸入法,拒絕它收集你的信用卡號和密碼等個人資訊就不給你用……
繼手機App被媒體曝光過度獲取使用者許可權後,一些軟體開發者不僅沒有改正錯誤,還耍起了“強制索權”的蠻橫。是使用者真的“對隱私不敏感”,還是沒有選擇餘地?新華社“中國網事”記者對時下流行的一些App進行了隨機測試。
App嗑著“猛藥”玩套路:不授權不給用
“我想掌握自己的流量使用情況,所以下載了一個電信營業廳App,結果要使用它我還得授權它讀取我的通話記錄,允許它撥打電話,甚至允許他修改我的通話記錄。”提到新近下載的這款掌上營業廳,杭州的胡先生顯得非常生氣。
記者在華為應用商城中搜索這款名為“電信營業廳”的App時發現,該App有1億次的安裝數量,綜合評分為兩星半。在下載該軟體並安裝完成後,App彈窗提示記者:……應用程式將訪問傳輸手機號碼、IMSI、IMEI、MEID、手機型號等裝置資訊,系統驗證透過後提供安全免密登陸、讀取使用者位置資訊、讀取手機通訊錄、獲取通話記錄、撥打電話、發簡訊、修改聯絡人、呼叫攝像頭、改變WLAN狀態及錄音等許可權。如使用者點選不同意,則自動退出該應用。
在記者點選同意後,該應用又提出四項使用者授權,分別是:儲存、電話、通訊錄和位置資訊,在申請電話許可權時,對話方塊下方小字註明“具體包括:讀取本機識別碼、讀取通話記錄、撥打電話、新建/修改/刪除通話記錄等許可權。”在記者點選“禁止”按鈕後,該App彈出對話方塊顯示“請在應用資訊-許可權中開啟電話許可權,以正常使用。”也就是說,使用者一旦拒絕授予該許可權,則整個應用都無法使用。
同樣的問題也出現在申請通訊錄使用許可權上,系統提示該許可權包括:讀取聯絡人、新建/修改/刪除聯絡人等許可權。
網路安全專家在對該App進行檢測時發現,雖然使用者在初次安裝使用該App時僅有4項許可權提示,但是其向用戶主張了70項子許可權。較為敏感的子許可權包含修改通訊錄、讀取聯絡人、錄音、修改通話記錄、撥打電話、傳送簡訊以及下載檔案並不顯示通知等。
網路安全專家認為,作為一款掌上營業廳App,向用戶索取諸多與主功能不相關的隱私許可權並不恰當。而諸如撥打電話等許可權,一旦被惡意程式利用,有可能在使用者不知情的情況下撥打付費電話,給使用者帶來財產損失。
“強制授權”成常態,折射行業“資料之爭”
記者就上述“強制授權”的技術問題採訪了四葉草安全移動安全專家田銘。田銘認為,某些強制授權存在一定的必要性,例如基於位置服務的交友軟體必須開啟定位功能才可以正常使用,電商類軟體則需要獲取使用者裝置的唯一ID,來控制優惠券的發放範圍。
田銘說,對一些企業而言,強制授權雖是一種必需行為,但也是一項風險行為。在大資料時代,獲取更多的使用者資訊是一個趨勢,例如透過“獲取裝置安裝軟體串列”許可權瞭解到使用者的手機中同時安裝了哪些軟體,既可以瞭解競爭對手產品的市場佔有率,還可以實現對該使用者標簽化,可應用在之後推廣營銷資訊的分發中。
專家指出,在“大資料決勝”的背景下,一些網際網路企業將線上消費者視為大資料掠奪的重要資源,超範圍攫取使用者隱私已成為行業潛規則。上海資訊保安行業協會專委會副主任張威表示,除手機App主動索權外,一些企業利用“格式條款”將諸多索權隱匿在連篇累牘的使用者協議中,這樣的做法也已是行業內“公開的秘密”。張威說,獲取的消費者資訊越多,能繪製的消費者畫像越精準,從而達到流量變現的目的。
360企業安全研究院院長裴智勇認為,企業透過索權在取得消費者資訊後,資料儲存和利用也存在安全隱患。一些企業的缺乏有力的安全防護,在遭遇網路攻擊時容易造成使用者資料的洩露。裴智勇指出,企業內部對資料查詢、輸出的授權也存有安全隱患,近年來也多次出現知名網際網路企業“內鬼”洩露消費者隱私事件。
不可聽之任之,對“強制索權”說不
專家認為,針對網際網路企業線上侵權形式日益多樣化,有關部門可透過落實監管、細化法律法規、提高行業準入門檻等方式維護消費者合法權益。
張威建議,在網路安全法已經對線上消費者的隱私資訊、使用者權益等內容作出原則性規定的基礎上,有關部門可結合當前線上消費者權益遭受侵害的新情況進行調研分析,細化相關法律法規,明確監管責任。
張威表示,在一些國家,企業如侵害使用者合法權益,可能面臨“天價”集體訴訟,因此不敢貿然逾越雷池。在現行法律框架下,有關監管機構理應對企業違法違規行為作出處罰,以在行業內起到警示作用。
福建瀛坤律師事務所張翼騰律師則對“格式條款”中可能涉及的“霸王條款”提供瞭解決方案。他認為,網際網路企業雖然在運作方式上有別於傳統產業,但是依然沿用了傳統行業的格式條款來約定雙方權利義務,不利於消費者的權益保護。他建議,未來可指導行業對合同進行“可變化定製”,告別“一攬子授權”樣式,由消費者根據需求自行決定是否讓渡相關權益。
田銘建議使用者,在初次使用某款App時,審慎對待該App聲索的每一項授權。在下載相關軟體時,應在正規安卓市場選取,不要隨意點選來路不明的連結。
●編號309,輸入編號直達本文
●輸入m獲取文章目錄
Java程式設計
更多推薦《18個技術類公眾微信》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。
