爱收集资源网

新京报记者测试20款APP,赶集网等4款未明示提醒涉及隐私权限

网络整理 2022-05-19 00:01

爱奇艺优酷开通了与主营业务无关的隐私权限。新京报记者测试了20款APP,赶集网等4款APP均未明确提醒涉及隐私权限,美团外卖也未明示隐私协议。

1月11日,工业和信息化部信息通信管理局约谈百度、支付宝、今日头条,指出根据《网络安全法》等相关规定,《中华人民共和国个人信息保护条例》电信、互联网用户等。各公司对用户个人信息的收集、使用规则及使用目的等信息不充分,要求三公司整改。

1月12日至17日,新京报记者使用Android手机测试了市面上广泛使用的20款APP,发现16款APP对读取位置、通讯录等权限敏感;多个应用开放的权限与其主营业务无关; 4个应用在没有明确提醒的情况下开启了包括摄像头和录音在内的多项敏感权限。

根据《网络安全法》第四十一条,网络运营者在收集、使用个人信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息。收集的目的、方式和范围,并征得被收集人的同意。

“APP收集个人信息应遵循我国《信息安全技术-个人信息安全规范》。个人信息的收集和使用一是保证所收集信息的合法性,二是满足收集个人信息的要求。比如原APP提示用户开启定位权限。因此,APP还隐式启用了录音、阅读通讯录或其他权限来获取个人信息或资源,这不符合个人信息安全的最低要求。”联合主任马兆峰博士北京邮电大学移动互联网与大数据安全实验室表示,个人信息的使用、保存、委托处理、共享、转让或公开披露,必须符合个人信息安全的基本原则和规定,不正当获取、使用、处理个人信息,涉嫌犯罪应追究法律责任。

部分APP的权限访问记录

5个APP隐私权限提示不全

今天的头条饿了,“存储”和“位置”是不是隐式开启了?

用户在安装APP时,经常会弹窗提示用户启用某个权限,用户可以选择启用或禁用。

“APP软件,包括PC程序,用户行使知情权时弹出的提示均为‘明示同意’。通过强制用户同意获取用户个人信息,属于不当使用个人信息的行为。”马兆峰博士说。

新京报记者从华为应用商店安装了20个主流应用,发现14个应用在首次安装和使用时弹窗提示可能涉及敏感权限,但有5个应用对隐私敏感担忧。权限提示有“遗漏”。

在这 5 个应用程序中,“存储”权限是请求最多的权限,但“位置”权限是默认启用最多的。

例如,今日头条、喜马拉雅FM、饿了么都在第一次使用时提示用户打开手机和存储权限,而携程仅在使用时提示用户打开存储权限第一次。点击同意后,在后台发现上面的应用确实开启了位置权限。

百度浏览器在首次安装时提示用户开启“存储”、“位置”和“手机状态”三个权限,但其实除了上述三个权限外,还开启了麦克风录音权限.

对于这种现象,百度手机高级经理田彪曾表示,部分系统会授予其认为安全的应用一些权限。 Android系统的权限授予非常复杂,权限的授予完全取决于手机系统本身。 ,而不是由APP自己判断和决定。

在邦邦安全研发中心副总裁方宁看来,这种说法确实是有道理的。 “通过原生安卓系统安装时,谷歌规定安装APP时必须提示所有权限。但是,当用户在品牌手机自带的应用商店安装APP时,如果APP在手机中厂商的白名单,有时候应用商店本身会为你忽略这个过程。”

但是,在专家看来,“白名单”不能作为应用不明确提醒敏感权限的理由。

马兆峰表示,部分APP产品厂商与软件商店合作,以白名单方式发布应提示用户知晓的选择权,因此没有提示“明示同意”,不符合个人信息。安全使用规范和要求。

新京报记者在对20个APP进行测试时发现,蘑菇街在没有提示的情况下,在后台开启了“读取本地识别码”权限。 “很多app需要从手机读取标识符来识别用户,相当于在用户未登录的情况下让服务器知道用户的身份,是比较常见的权限要求,相对‘无害’。因为手机厂商可以对安卓系统进行二次定制开发,具有厂商的权限,所以如果手机厂商认为某些权限是安全的,可能不会提示用户。”方宁说。

“定位功能是比较敏感的权限。”西安邮电大学副教授任芳表示,“一般情况下,系统不会直接无条件打开APP,而是因为有些APP开发者在软件设计的时候就设置了这样的条件,如果不这样做”不打开就不会安装,用户也别无选择。”

在互联网安全专家刘海(化名)看来,无论APP是否进入了厂商的“白名单”,都由APP开发者决定可以启用哪些权限。

“目前,Android平台上普遍存在滥用权限的现象,很多应用经常申请不必要的敏感权限,使用户隐私面临被泄露的风险。除了“滥用”权限的现象,Android系统本身除了APP的开放性,也是APP不克制自身行为的原因之一。”刘海说。

优酷开启位置、运动数据等权限

多个应用启用与主营业务无关的敏感权限

优酷开启位置权限,爱奇艺读取运动数据

在1月15日的测试中,记者发现,除上述不完整外,赶集、滴滴出行、拼多多、优酷、爱奇艺、蘑菇街6款APP在首次安装使用时均未表达任何用户权限.

其中,滴滴出行、赶集网、拼多多、优酷直接开启了包括后台录音在内的多项敏感权限。

用户李彦表示,部分应用开放敏感权限情有可原,有些则不合理。 “比如微信需要发语音开启录音权限,滴滴需要定位并开启位置权限,我可以理解,但有些购物和视频网站也需要定位,没有意义。”

在实际评测中,记者发现,不少APP开放的权限与自身核心业务并无重叠。例如,主营业务为视频播放的腾讯视频,在首次使用时向用户表达使用协议,仅启用“读取本地识别码”。爱奇艺APP在打开软件时没有提示弹窗,还开启了使用呼叫转移和读取运动数据的权限,并在记者安装后立即尝试读取位置信息。

优酷启用了许多与视频观看没有深度交织的敏感权限,例如位置、运动数据和访问浏览器冲浪记录。记者打开优酷和爱奇艺应用后,均未发现任何与读取位置或拨打电话相关的选项。

也有很多APP有明确的理由启用与主营业务无关的功能。比如今日头条新闻APP推出“发布小视频”功能后,开启摄像头和麦克风录制权限是有原因的。对此,曾有用户质疑今日头条“通过麦克风窃取用户隐私”,但今日头条回应称“今日头条旗下所有产品均不存在未经用户许可获取用户隐私的行为”。

在方宁看来,虽然现行相关法律法规中有“不收集用户个人信息,除服务所必需的信息,不将信息用于提供服务以外的目的”等声明,但实际上,这个说法还是有很多漏洞的。 “什么是‘非必要服务’?比如优酷,我们认为它只提供视频播放服务,但也可以说我获取用户信息进行大数据分析,比如根据用户喜好推荐视频观看,我习惯做用户画像分析等,其实APP可以把它的服务装饰成很多维度,然后就可以通过这种方式获取主业务之外的权限,也就是找个合适的理由收集您的信息。”

1月18日,记者在后台“权限访问记录”中发现,从搜狗输入法、爱奇艺、蜻蜓FM等与主营业务完全不一致的应用中读取了部分敏感权限。尝试在安装后不久读取位置信息。访问最多的权限之一是“读取已安装的应用程序列表”。方宁介绍,这是APP做运营分析或者用户画像的一种很常见的方式。

拼多多在未经明确许可的情况下启用了多项隐私相关权限

权限会泄露隐私吗?

技术上可以读取隐私,但很难判断是否泄露

在刘海看来,随着市面上APP的功能越来越丰富搜狗输入法说我没有权限安装怎么办,申请权限的应用也越来越多,这也说明恶意APP的应用以窃取、泄露用户信息为目的,仅提供服务的非恶意APP的权限重叠较大。 “比如目前很多APP都有‘语音搜索’功能,即使这不是它的核心功能,开启与否也没有太大的区别,但一旦开启,就意味着APP具有窥探用户隐私的能力。”

他认为只要开启录音权限,APP在技术上就可以获得用户的录音;并且打开通讯录权限后,APP在技术上可以获取你的通讯录。也就是说,只要获得相关权限,APP就可以在正常提供相关服务的同时“顺利”获取用户的隐私数据,而不管数据是否“超出服务要求”。

例如,为了方便用户导入联系人姓名,有些输入法需要读取用户的通讯录,但这也意味着它会获取通讯录的个人信息(包括姓名、号码,甚至家庭住址) , ETC。) 。对此,马兆峰分析,如果输入法获取通讯录信息只是为了方便本地使用,并没有上传数据或进一步用于其他目的,那么获得许可的理由也是有效的,那么,很大程度上,不一定如此。可能涉及隐私泄露。

“事实上,如果某些应用涉嫌非法收集、使用和处理用户隐私信息,可以通过深度数据分析、网络通信行为分析、相关操作访问等技术手段进行检测,甚至在互联网。传输层面是加密的,但在本地数据分析和数据结构层面,也可以分析监控用户是否涉嫌侵犯隐私。因此,软件开发商、公司或机构对个人信息的使用必须遵守相关法律法规,否则,一旦涉嫌不当使用用户信息,我们必须承担相应的后果。”马兆峰指出。

方宁表示,通过逆向分析、渗透测试等,可以检测出一个应用是否上传了用户隐私数据,但这需要专业的技术能力,普通人做不到。 “目前主要依靠企业行为自律或寻找专业安全公司合作,为用户提供安全的使用环境。”

在任芳看来,由于取证困难,目前还没有有效的惩罚机制来约束APP的隐私窃取行为,用户无法证明APP是否真的窃取了隐私。

赶集网请求移动权限

20个APP仅限京东、苏宁易购、腾讯视频、支付宝弹窗提示隐私协议

百度赶集网等不表示隐私协议

根据我国《信息安全技术——个人信息安全规范》的要求,在收集个人敏感信息时,应取得个人信息主体的明确声明。同意,以确保他们在充分知情的基础上自愿给出具体、清晰、明确的意愿表达,并允许个人信息主体选择是否提供或同意自动收集。

为了解决权限安全问题,谷歌曾建议开发者在上传应用时公布隐私规定搜狗输入法说我没有权限安装怎么办,即开发者需要声明如何使用、收集或分享与用户相关的隐私信息。了解如何使用私人信息来更好地保护用户隐私。

但目前很多APP都没有明示隐私协议,并赋予用户选择是否同意的权利。

1月17日,新京报记者测试的20款APP中,京东、苏宁易购、腾讯视频首次安装时弹出隐私协议提示,用户可选择同意与否,支付宝安装后不会立即提示隐私协议,而是会在用户登录时提示弹窗。

相比之下,滴滴出行、百度浏览器、赶集网、一号店、携程旅行、美团外卖、西瓜视频等众多应用并未明确提醒用户隐私协议。

此前,南都电源个人信息保护研究中心发布的《关于收集个人信息“明示同意”的评估报告及建议》显示,100款常用APP中,用户注册前“默认勾选”。 “同意企业用户协议和隐私政策的情况并不少见,有的甚至存在用户无法选择是否同意的问题。只有11%的应用在符合法律法规的情况下实现了“明示同意”。

新京报记者发现,大部分APP的隐私协议都隐藏在“设置”选项中。今天,今日头条在“设置”底部有一条小线可以看到“今日头条用户协议”。百度浏览器的相关隐私协议可在“设置”-“关于浏览器”中找到。

在相关隐私条款中,今日头条和百度浏览器均声明“使用本APP即视为同意条款”。百度浏览器还专门列出了免责声明,称“您可以选择不使用百度,但如果您使用百度,您的使用行为将被视为对本声明全部内容的认可。”这意味着当用户安装您使用本APP时,您已默认同意上述条款。

在最近的支付宝“年费”事件中,也出现了隐私协议被默认勾选的事件。

对此,华东政法大学教授、大数据政策法研究中心主任高福平曾发表文章称,有效同意的条件需要明确。

在他看来,我国现行法律将同意作为收集和使用个人信息的一般规则,但在实践中,“同意”的使用广泛,难以保护个人权利。 这主要是因为在实践中,大部分的同意都是与服务捆绑在一起的,而用户协议的同意是接受服务的前提。用户协议涵盖了运营商可能列举的各种情况,包括向所有相关方、业务合作伙伴等提供信息。这也称为“一般协议”。该通用协议中有各种不合理的条款。

高福平认为,法律尚未明确否定普遍同意,实践中的做法并不违法。但是,涉及具体案件纠纷的,法院有权对不合理条款进行实质性审查,并否认其有效性。 “什么是有效同意,未来需要法律来明确。”

“通过APP或网站提供的相关协议是标准合同,APP方肯定会削弱用户在标准合同中的权利。”盈科律师事务所律师方超强对新京报记者表示,“该格式条款是否属于用户承诺值得商榷。事实上,如果格式条款对用户权益的限制过大,也可以考虑例如,目前很多APP在隐私协议中都声明会将用户信息提供给合作伙伴或第三方,但并未提及第三方的身份,在这种情况下,默认的标准条款用户的‘同意’涉嫌侵犯用户权益。”

新京报 信息安全 app测试
相关文章