27日,上海市消保委發布了針對39款網購平臺、旅遊出行、生活服務等手機App涉及個人信息權限的評測結果通報,發現有25款存在問題,其中9款至今未整改,而「日曆」權限的過度申請和隨意授權更令人擔憂。
9款App仍在收集敏感權限
本次主要評測四個方面,包括App所使用的目標API級別、App敏感權限的數量、敏感權限的授權方式(即是否存在一攬子授權),及查看是否存在無實際功能對應用的權限申請。
結果發現,15款網購平臺類App中10款存在問題,13款旅遊平臺類APP中7款有問題,11款生活平臺類App中8款有問題。截至3月23日,仍有9款App尚在收集敏感個人權限,包括:
聚美(v7.951)、貝貝(v8.2.01)、窮遊(v9.2.0)、TripAdvisor貓途鷹(v29.4.1)、神州租車(v6.4.4)、一嗨租車(v6.2.1)、餓了麼(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)等。
這些App的主要問題在於,申請了發送簡訊、錄音、撥打電話、讀取聯繫人、監控外撥電話、重新設置外撥電話的路徑、讀取通話記錄等敏感權限,卻未在應用中進行使用。
餓了麼涉嫌讀取通話記錄
涉及的39款App,共有37家來到現場,部分企業代表做出了回應。「一嗨租車」表示,「簡訊權限是開發時的失誤造成的,但並未去用,也沒有運用的場景,在新版本中已去除」。
「餓了麼」則申請了11個權限,包括撥打電話、日曆等。在測試新版本時,專家發現舊版中的撥打電話和日曆權限已刪除,但又新增了「讀取通話記錄」權限。在現場,餓了麼回應稱,該權限「在不知情的情況下上線,3月22日已下線」。
而「格瓦拉」申請的簡訊、通訊錄、麥克風3個權限並未找到對應功能。格瓦拉回應稱,在3月26日發布的新版本中,已取消了上述3個權限。
「聚美」申請了12個權限,但專家認為通訊錄和日曆權限並不必要。
「貝貝」申請的8個權限中,麥克風權限在實際運用中並未發現。
而「窮遊」申請的電話、通訊錄權限,「貓途鷹」申請的電話權限,「神州租車」申請的電話、監控外撥電話和重新設置外撥電話的路徑、麥克風等權限,也未在對應功能中發現。
「日曆」讓生活工作都暴露
發布會上,上海市消保委特別對「日曆」權限進行了提示。調查發現,52.5%的消費者用手機日曆記錄重要行程。其中,27.5%會記錄日常生活行程,18.5%會記錄生活及工作等。雖然常用日曆記錄行程,但只有0.4%的消費者關注「日曆」權限有否被濫用。
「App為何要申請日曆權限?有些平臺告訴我們,如果平臺上有搶購,消費者點擊『關注』,就會將信息放在日曆中,搶購前可以提醒。但我們諮詢了技術專家,這個功能完全可以通過後臺的信息推送等別的途徑來實現。」上海市消保委副秘書長唐健盛說。
上海市消保委認為,日曆權限與個人隱私的密切度比通訊錄等權限還要高,將日曆權限授權給App,帶來的風險遠大於便利。消保委建議,經常用日曆來記錄敏感事項的消費者,在授權時要謹慎。而App開發者如無十分必要,建議儘可能不開發日曆權限。
上海市消保委秘書長陶愛蓮表示,滬消保委近年來持續關注App對於個人信息的獲取,此次發布的調查已是第三期。但從發布情況來看,個人敏感權限的收集仍是較突出的問題,而企業並不會主動反思或下線。消費者越來越關注個人隱私的保護,拼命防守但防不勝防。政府和企業應創造放心安全的消費環境,讓消費者更「敢」消費。
中消協開通App舉報通道
3月28日,中國消費者協會官方公號發表文章稱,由全國信息安全標準化技術委員會、中國消費者協會、中國網際網路協會、中國網絡空間安全協會成立的App專項治理工作組,目前已經初步建成「App個人信息舉報」微信公眾號,公眾號受理對App違法違規收集使用個人信息的舉報,發布對App隱私政策和個人信息收集情況的評估及處置結果。關注公眾號,通過點擊公眾號舉報按鈕進行舉報,舉報後會將被舉報的App納入評估範圍。
新京報記者發現,「App個人信息舉報」公號顯示,其受理民眾對App違法違規收集個人信息的行為進行舉報。具體來看,舉報人可以選擇匿名或實名舉報,而舉報問題包括「App無隱私政策」、「超範圍收集與業務功能無關個人信息」、「強制或頻繁索要業務功能非必需權限」等10個選項。
消費者協會稱,該公號目前收到了許多高質量的舉報信息,其中被舉報的最多的App類型有金融借貸類、社區社交類、學習教育類。而在舉報問題上,「超範圍收集與業務功能無關個人信息」佔所有舉報信息的20%,排行首位。
來源 新華視點
編輯 王劍青
值班主編 寇青