看小說的APP要讀取用戶簡訊、貸款類APP要訪問攝像頭並拍照、上網類APP要讀取用戶通訊錄……伴隨著移動網際網路的飛速發展,大量APP在不知不覺中收集了一些與自身業務無關的信息,個人信息在網絡空間中「裸奔」的現象屢禁不絕。
8億用戶的APP被曝超範圍收集用戶信息
一款號稱可「一鍵連接WiFi」的APP WiFi萬能鑰匙已成為不少人的手機必備。公開數據顯示,其月活躍用戶已經達到8億。然而,這款被視為「蹭網利器」的APP,近期卻被曝光存在超範圍收集用戶信息的行為。
廣東省公安廳近日公布,2019年一季度,廣東警方共監測發現1670餘款APP存在超範圍收集用戶信息行為。其中WiFi萬能鑰匙、錢聚易等10款APP問題突出,特別是WiFi萬能鑰匙問題最多,共超範圍收集了7類信息。據通報,WiFi萬能鑰匙(4.3.56版本)存在讀取用戶簡訊或彩信、聯繫人,收集用戶設備上已知帳號,使用用戶設備攝像頭或麥克風等問題。
APP超範圍收集用戶信息現象並不少見。根據愛加密大數據中心提供的數據,截至2019年3月底,該中心已收錄安卓應用270多萬個,iOS應用190多萬個,30%以上的APP存在不同程度的越權、超範圍收集等行為。
「這麼做多是為了收集用戶的經濟狀況、消費偏好、活動區域等信息,對用戶進行精細的人物畫像,以支持產品研發更新,或精準推送廣告。」廣東省公安廳網警總隊案件科副科長黃建邦說。
暨南大學網絡空間安全學院院長翁健表示,「獲取用戶設備上已知帳號列表」易洩露用戶隱私。攻擊者有可能利用掌握的帳號,實行撞庫等網絡攻擊,即從安全性較弱的帳號中獲取的用戶名密碼,來推測強安全措施的帳號和密碼。
此外,調用權限發送簡訊也是手機木馬的主要傳播方式之一。翁健介紹,應用程式可通過該種方式將帶有病毒的連結放入簡訊中,並依次發送給用戶相關聯繫人,一旦有人點擊該連結,則會感染病毒。
過度索權套路多 「迷魂陣」裡走不出
一款主打便捷連網的APP為啥要索取這些「八竿子打不著」的信息權限?
記者在安卓手機應用市場上下載該APP後發現,頁面彈出的窗口詢問「WiFi萬能鑰匙需要以下權限,是否允許?」包括用戶位置、電話、信息、通訊錄、相機等權限,但只有點擊「允許」才可下載。
該產品有關負責人表示,目前,WiFi萬能鑰匙除了提供WiFi連接以外,產品中也提供資訊、社交等其他服務,廣東警方提到的額外獲取的權限,是所有社交軟體都會需要獲取的正常權限。
記者發現,安卓版本的WiFi萬能鑰匙產品內,確有所謂的社交功能「附近的人」,然而記者點擊後發現,使用「附近的人」功能需要另外下載「連信」APP。不僅如此,該APP的下載安裝並未經過應用市場。截至記者發稿時,「連信」APP在安卓應用市場內仍無法通過關鍵字搜索出來。
業內人士表示,此舉意味著WiFi萬能鑰匙的相關產品「連信」APP未經過安卓應用市場的審核,即使用戶可以自主選擇提供或不提供相應權限,但用戶下載使用仍存在一定的風險。
此外,WiFi萬能鑰匙調用的權限實際上是為另一款APP使用,這是為其他APP規避監管「打掩護」,既侵犯了用戶的知情權,同時也把用戶拉進了「迷魂陣」——難以辨別哪一類信息權限是與產品服務直接相關的。
那麼是否關掉所有的權限即可保護用戶個人信息呢?事實上並不容易。
翁健表示,有的權限看似與APP運行無關,其實後臺的服務需要這些權限。然而,有的開發者故意將APP的超範圍權限與正常權限的模塊「打包」,導致在阻隔了APP的超範圍權限後,正常程序無法運行。