個人隱私安全愈發受到威脅的當下,手機APP上「日曆」權限的開放都有可能加重這一趨勢,是否令你更擔心自己的信息安全?
3月27日,上海市消費者權益保護委員會(下稱「消保委」)公布針對39款網購平臺、旅遊出行、生活服務等手機APP涉及個人信息權限的評測結果,共有25款存在問題,其中9款仍未整改。
此次評測結果顯示,手機APP端「日曆」權限存在過度申請情況,且消費者對日曆權限的重視度非常低。
四維評測
據第一財經記者了解,此次上海市消保委評測主要從四個維度進行:
一是APP所使用的目標API級別:當目標API級別低於23時,安卓對於權限會採用一攬子授權的模式 ,存在可規避系統安全機制的漏洞;
二是APP敏感權限的數量:重點關注安卓系統中與個人信息密切相關的有29權限的申請和使用;
三是注敏感權限的授權方式:是否存在一攬子授權的模式,如何向用戶提出授權請求;
四是查看是否存在無實際功能對應用的權限申請。
為推動相關問題的解決,上海消保委與手機APP企業進行技術溝通,相關企業也在排查後對存在的問題作出解釋和優化意見。截止到3月23日,30款應用全部實現在敏感權限的申請、使用方面做到了合理申請、自主授權。
在前期溝通確認中,有8款應用第一時間進行溝通,並通過刪除敏感權限、升級版本等方式快速對存在的問題作出解釋和優化,此後又有8款應用完成了改進。
截至3月23日,仍有9款應用未能就其權限和功能無法對應的問題進行改進。聚美(v7.951)、貝貝(v8.2.01)、窮遊(v9.2.0)、TripAdvisor貓途鷹(v29.4.1神州租車(v6.4.4)、一嗨租車(v6.2.1)、餓了麼(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)。
問題涉及發送簡訊、錄音、撥打電話、讀取聯繫人、「監控外撥電話,重新設置外撥電話的路徑」、接收訊息(簡訊)、讀取通話記錄等敏感權限未找到對應功能及目標API級別低等。
日曆風險
網絡調查數據顯示,69.9%消費者關注手機APP獲取個人權限問題。其中,通訊錄權限最為關注,佔43.5%;26%的消費者關注電話、簡訊權限,僅有0.4%的消費者關注日曆權限。
實際上,手機日曆中記錄行程的功能使用頻度高,其具有時間提醒、行程記錄等功能。網絡調查顯示,52.5%的消費者用手機日曆功能記錄個人行程。其中,24.7%的消費者選擇記錄日常生活行程;18.5%的消費者記錄日常生活及工作等行程。
市消保委認為,日曆權限給消費者帶來的可能性風險大於給消費者帶來的便利,網購類平臺使用日曆權限給消費者帶來的場景可以用其他技術手段加以替代。據此,希望消費者和APP開發者都能對日曆權限加以重視。
並對消費者建議稱,一方面,如消費者經常使用日曆記錄敏感事項,對APP的日曆權限應謹慎授權;其次,APP開發者如無十分必要,建議儘可能不使用手機日曆權限。
除了日記之外,據第一財經記者了解,上海消保委早於去年即從多維度關注過手機APP上個人信息安全問題。
2018年7月18日,上海市消保委發布《地圖類手機APP涉及個人信息權限評測結果》,反映出的申請敏感權限與實際功能不完全對應,缺少讓消費者「一次性授權」的選項等問題得到相關企業重視。企業通過緊急下線、取消獲取、功能優化、版本更新等形式進行改進。
在地圖APP基礎之上,上海消保委對消費者反映集中及用戶使用頻度較高的 「輸入法、瀏覽器、綜合視頻」三類18款應用進行了評測,測評內容涉及應用敏感權限的授權請求方式、申請的敏感權限是否存在與之對的服務功能兩方面。
評測結果顯示,18款手機APP的問題主要集中在部分應用所申請的敏感權限存在無實際對應功能,以及部分應用所採用的Android目標API版本過低方面。
過低的API目標版本存在多方面危害,一是在權限管理方面存在用戶可知而不可控的問題,二是存在可規避系統安全機制的漏洞,容易造成用戶個人信息洩漏,引發大量終端安全和個人信息保護風險。
上海市消保委稱,個人信息保護的關鍵是規範收集和使用,重視個人信息保護是APP開發者誠信度的體現。