一小時內某&&獲取位置16次 讀取及修改照片和文件121次
頻繁調取個人數據 軟體後&在幹啥
11月1日,個人信息保護法正式實施,個人隱私安全問題又重回大眾視線。此前,就有博主曬出iPhone手機更新系統後,發現很多主流軟體都在後&頻繁獲取用戶信息,對用戶隱私安全造成威脅。北京青年報記者實測發現,確實有不少軟體頻繁調用個人位置和圖片信息,甚至有社交軟體一小時獲取定位達到75次,如此頻繁調用隱私信息,他們到底想幹啥?
現象
個人App授權後被頻繁調取信息?
市民劉女士向北青報記者爆料,10月30日,她在某App購物後,因頻繁被推送“附近商品推薦”,於是便關閉了應用的位置權限。但沒想到系統提示“需要同意該隱私權政策才能繼續使用”。劉女士選擇了“仍不同意”按鈕,沒想到軟體閃退且無法再繼續使用。當她再次嘗試,並在頁面點擊“查看協議”,才發現上面寫着:“基於您的明示授權,我們可能會獲取您的位置,為您提供附近的商品、店舖……您有權拒絕或取消授權”。當她點下不同意該協議按鈕時,軟體依舊無法使用。
不過,針對App過度索取手機權限的問題,網上就一直詬病不斷,10月8日,就有用戶貼出截圖稱“iOS版微信在後&反復讀取用戶相冊”。根據用戶描述,新版iOS15的“隱私”功能有“記錄App活動”,可以存儲7天內App訪問位置或麥克風等數據。上述用戶發現,某社交&&App在用戶未主動激活應用的情況下,在後&數次讀取相冊,每次讀取時間長達40秒至1分鐘不等。
該用戶同時&&,發現多款國産軟體也存在後&頻繁讀取用戶相冊的行為。如此頻繁地調取隱私數據,讓很多網友開始擔心自己的隱私安全問題。
體驗
一小時測試:微信要定位75次
美團讀改照片121次
針對劉女士“不授權不能使用App”的情況,11月2日,記者進行體驗,不過,在系統權限管理一欄中,“允許訪問位置信息權限”頁面發生了改變,與此前劉女士的情況不同,記者在選擇“禁止”後,軟體依舊能正常使用。
但調用隱私信息的情況卻依然明顯,記者利用能夠監測App行為記錄的手機,在開放權限的情況下,記錄了微信、微博、抖音、美團、釘釘、淘寶、高德地圖共七款常用軟體的用戶信息調用情況。
經過一小時的觀察,在七款軟體皆處於後&狀況下,記者發現,高德獲取位置信息32次,修改系統設置8次;釘釘獲取位置18次,讀取剪貼板10次;美團獲取位置16次,讀取及修改照片和文件121次;抖音獲取位置11次,讀取及修改照片24次;淘寶獲取位置24次;微博獲取位置32次,讀取及修改照片和文件16次;微信獲取位置75次,修改系統設置9次,讀取及修改照片和文件22次,讀取剪貼板5次。
而此前的5月26日,記者也曾做過類似測試,在拒絕定位權限的情況下,微信曾有過6分鐘索取定位信息800余次的情況。
此前微信回應稱,iOS系統為App開發者提供相冊更新通知標準能力,相冊發生內容更新時會通知到App,提醒App可以提前做準備,App的該準備行為會被記錄成讀取系統相冊。
當用戶授權微信可以讀取“系統相冊權限”後,為便於用戶在微信聊天中按“+”時可以快速發圖,微信使用了該系統能力,使用戶發送圖片體驗更快速流暢。
微信&&,上述行為均僅在手機本地完成,最新版本中將取消對該系統能力的使用,優化快速發圖功能。
揭秘
軟體在後&調用權限是正常需求嗎?
奇安盤古隱私安全業務負責人趙帥&&,在個人信息保護方面,操作系統的權限設計是為了讓App收集使用個人信息的行為受到限制,讓用戶能夠主動去控制App能否採集特定類型的個人信息,如通訊錄、地理位置等。後&調用權限的行為在特定場景下是合理的,比如我們用手機導航的場景,雖然切換到後&,但我們仍在使用這個App;也有一些場景是非必要的,比如我們將App切換到後&,暫時不用這個App提供服務,那麼這種情況下的後&調用權限可能就已經超出正常需求的範圍。
民間互聯網安全組織網絡尖刀創始人曲子龍認為,從技術角度來講,調用次數其實並不能直接説明問題,還是以它的應用場景實際做了什麼才能確認是否合規。
軟體收集用戶隱私權限的邊界在哪?
關於App手機用戶數據,趙帥&&,從技術角度上看應分為幾種不同的情況:包括系統權限保護的個人信息,如通訊錄、錄音、定位等;未受用戶權限保護的個人信息,如用戶主動錄入的身份證號碼、病歷、婚姻狀況等;用戶在使用App過程中産生的一些使用偏好信息,這些可能由App主動記錄産生,如喜歡聽的歌曲、經常去的餐館等。
對於系統權限保護的個人信息,軟體應充分明示並徵得用戶同意後,才能調用這些權限獲取個人信息,並應確保獲取的範圍、頻率、方式符合最小必要的原則。對於用戶主動錄入的信息,應當充分説明錄入的合理性及可能造成的影響,給予用戶選擇是否錄入的權利。對於軟體使用過程中收集的數據,應該做到明確告知用戶,並説明後續的用處。
用戶信息被收集有哪些風險?
曲子龍説,隱私洩露之後被精準推送廣告並不是最大的風險,不良企業會通過大數據殺熟,甚至不法軟體裝入手機後獲取通訊錄及相冊權限,經過分析提取用於實現“個人身份信息盜用”、“定向網絡詐騙”等用途。建議用戶不要輕易讓第三方軟體獲取通訊錄及相冊權限,相冊中也盡量不要存放身份證、銀行卡等包含敏感信息的照片內容。
曲子龍認為,必要權限按照行業區分,法律上國家已經規定得很明確了,大部分産生爭議的是一些個性化的內容,比如支付寶是一個支付軟體,但是裏面加了小程序後就變成了“公眾應用&&”,屬性發生變化獲取的權限也自然跟着發生變化,最好的方式是應用內的第三方服務如果僅是偶爾使用的應用,都採用二次授權,並且即用即授權原則,如果長期使用的應用則制定權限開關,用戶隨時可以手動關閉停止授權,可能會是一個較好的解決方案。
説法
調權限屬正常行為 但&&要掌握好度
中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲&&,此前權限強制、濫用的問題突出,用戶不想用這個功能,&&卻強制使用,個人信息保護法&&以後,這個問題基本解決了,用戶可以自由選擇。他&&,如果權限被開通後,獲取的信息是否在合理範圍內使用,是需要考慮的問題。
App索要相機權限一般是為了拍照、掃二維碼,要地理位置就是定位導航,這些在相關隱私協議裏都寫得很清楚。但目前仍有些細節確實存在問題,比如讀取的次數,本來可能只需要10次,最後獲取了20次。
此前的情況更嚴重,讀取次數能達到幾百次上千次,如今次數只是個位數和十位數之間,這在檢測過程中一般不會被判定成違規,“需要調權限有很多是因為安全風控的問題,比如賬戶異地登錄,&&會拿這個去判斷,原因非常複雜,只要控制在十幾次內,基本上都不是什麼問題。”何延哲&&,後&讀取也是同樣的道理,也是需要看頻率,如果賬戶存在異常會通過後&讀取進行探測,不一定會將數據讀走。“這要看是單純驗證位置,還是上傳數據,後&的事情不合理因素更多,需要具體問題具體分析。”(記者 董振傑 宋霞)
