2019-03-28 15:20圖文來源:新民晚報
25款App收集個人敏感信息 市消保委提示:「日曆」權限隨意授權風險大
你有在手機「日曆」上記錄重要行程、事件的習慣嗎?殊不知,你的隱私會被手機App「偷窺」。昨天,上海市消保委發布了針對39款網購平臺、旅遊出行、生活服務等手機App涉及個人信息權限的評測結果通報,發現有25款存在問題,其中9款至今未整改,而「日曆」權限的過度申請和隨意授權更令人擔憂。
9款App仍在收集敏感權限
本次主要評測四個方面,包括App所使用的目標API級別、App敏感權限的數量、敏感權限的授權方式(即是否存在一攬子授權),及查看是否存在無實際功能對應用的權限申請。
結果發現,15款網購平臺類App中10款存在問題,13款旅遊平臺類APP中7款有問題,11款生活平臺類App中8款有問題。截至3月23日,仍有9款App尚在收集敏感個人權限,包括聚美(v7.951)、貝貝(v8.2.01)、窮遊(v9.2.0)、TripAdvisor貓途鷹(v29.4.1)、神州租車(v6.4.4)、一嗨租車(v6.2.1)、餓了麼(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)等。
這些App的主要問題在於,申請了發送簡訊、錄音、撥打電話、讀取聯繫人、監控外撥電話、重新設置外撥電話的路徑、讀取通話記錄等敏感權限,卻未在應用中進行使用。
餓了麼涉嫌讀取通話記錄
涉及的39款App,共有37家來到現場,部分企業代表做出了回應。「一嗨租車」表示,「簡訊權限是開發時的失誤造成的,但並未去用,也沒有運用的場景,在新版本中已去除」。
「餓了麼」則申請了11個權限,包括撥打電話、日曆等。在測試新版本時,專家發現舊版中的撥打電話和日曆權限已刪除,但又新增了「讀取通話記錄」權限。在現場,餓了麼回應稱,該權限「在不知情的情況下上線,3月22日已下線」。
而「格瓦拉」申請的簡訊、通訊錄、麥克風3個權限並未找到對應功能。格瓦拉回應稱,在3月26日發布的新版本中,已取消了上述3個權限。「聚美」申請了12個權限,但專家認為通訊錄和日曆權限並不必要。「貝貝」申請的8個權限中,麥克風權限在實際運用中並未發現。而「窮遊」申請的電話、通訊錄權限,「貓途鷹」申請的電話權限,「神州租車」申請的電話、監控外撥電話和重新設置外撥電話的路徑、麥克風等權限,也未在對應功能中發現。
「日曆」讓生活工作都暴露
發布會上,上海市消保委特別對「日曆」權限進行了提示。調查發現,52.5%的消費者用手機日曆記錄重要行程。其中,27.5%會記錄日常生活行程,18.5%會記錄生活及工作等。雖然常用日曆記錄行程,但只有0.4%的消費者關注「日曆」權限有否被濫用。
「App為何要申請日曆權限?有些平臺告訴我們,如果平臺上有搶購,消費者點擊『關注』,就會將信息放在日曆中,搶購前可以提醒。但我們諮詢了技術專家,這個功能完全可以通過後臺的信息推送等別的途徑來實現。」上海市消保委副秘書長唐健盛說。
市消保委認為,日曆權限與個人隱私的密切度比通訊錄等權限還要高,將日曆權限授權給App,帶來的風險遠大於便利。消保委建議,經常用日曆來記錄敏感事項的消費者,在授權時要謹慎。而App開發者如無十分必要,建議儘可能不開發日曆權限。
上海市消保委秘書長陶愛蓮表示,滬消保委近年來持續關注App對於個人信息的獲取,此次發布的調查已是第三期。但從發布情況來看,個人敏感權限的收集仍是較突出的問題,而企業並不會主動反思或下線。消費者越來越關注個人隱私的保護,拼命防守但防不勝防。政府和企業應創造放心安全的消費環境,讓消費者更「敢」消費。