新華網 正文
手機APP過度索取權限何時休?劫持背後是經濟利益驅動
2019-05-21 08:01:23 來源: 人民日報
關注新華網
微博
Qzone
評論
圖集

  記者在調查瀏覽器主頁劫持現象的過程中發現,手機APP(應用程序)也是互聯網技術霸淩的重災區。“災情”如何?記者進行了調查。

  ■安裝時要求權限過多、收集信息過度,APP技術霸淩時有發生

  “我的手機APP一打開網頁,就彈出各種抽獎小廣告”“看個視頻,卻要求獲取我的通訊錄權限,不打開權限就無法觀看”“下載後安裝APP,需要獲取我的地理位置信息,不同意就裝不了”……手機APP要求權限過多、過度收集信息非常普遍,也是被吐槽和投訴的技術霸淩“重災區”。

  記者在百度搜索框敲入“APP權限”,馬上就自動顯示“APP權限過大”和“APP權限哪些需要禁止”的搜索提示。“APP權限過大”的百度相關搜索結果量超過400萬個,“APP權限哪些需要禁止”的搜索結果量也超過200萬個。

  在對40多萬款APP進行調查後,中國人民大學信息學院教授孟小峰團隊發現,目前APP的各類權限接近40個,但大部分權限跟APP實現功能的正常需求並不匹配。

  前不久,上海市消費者權益保護委員會對39款手機APP涉及個人信息權限的測評顯示:超過六成APP在用戶安裝時申請了很多敏感權限,卻不提供實際功能,包括讀取通訊錄、電話權限、短信權限、定位權限等。

  DCCI互聯網研究院首席專家胡延平告訴記者,為了提供服務、提升體驗,一些APP要求權限、收集信息是合理的,但應該有邊界。“大多數用戶並不知道APP要這些權限做什麼,也不會仔細了解每個權限的風險,很容易不知不覺地掉進風險盲區。”

  安裝APP時,在用戶不知情的情況下,違規捆綁無關軟件、違規搜集用戶個人信息……手機APP中的“惡意分子”所引發的技術侵害則更加難以防范。據中國科學院信息工程研究所副研究員劉奇旭介紹,這類APP技術入侵主要通過3種方式實現——

  一是將正常的APP安裝包替換成攻擊者的安裝包,或是在用戶正常安裝時,關聯安裝惡意APP,“操作者”通常是第三方應用商店或者手機中的惡意軟件;

  二是手機中的惡意軟件監測手機APP的運行狀態並進行攻擊。例如,當用戶打開某個APP的界面時,被惡意軟件探知後,啟動其倣冒界面來覆蓋原界面,導致用戶在倣冒界面中輸入自己的賬號信息,並被攻擊者獲取;

  三是手機中的惡意軟件會中途“劫持”用戶對某個頁面的訪問,代之以返回錯誤或含有惡意代碼的頁面。例如用戶在使用APP時會被插入不良廣告,操作者通常是不良運營商和手機中的惡意軟件。

  ■影響體驗,泄露隱私,APP劫持的背後是經濟利益驅動

  安全專家表示,APP存在的過度要求權限等技術霸淩行為,不僅影響用戶使用體驗,還可能導致隱私泄露,甚至造成財産損失。騰訊發布的《2018年手機隱私權限及網絡欺詐行為研究分析報告》顯示,手機APP是重要的隱私泄露渠道之一。

  智能手機是人們目前常用的移動互聯網終端,存放著用戶的社會交往、行為喜好、生活規律、賬號密碼、照片視頻等隱私數據,甚至還包括商業機密文件。胡延平説,一些APP越界獲取權限,用戶不小心就掉進“天羅地網”,手機裏的個人信息隨時處于“裸奔”狀態,無異于被APP“數據劫持”。

  一些權限如果被惡意APP獲取,會引發更大的風險。比如,APP要求的日歷權限允許讀取、分享或保存日歷數據,如果該權限被惡意APP利用,可能用來追蹤用戶每天的行程;電話權限被惡意APP利用,可能會産生額外的電話費用、泄露智能設備的獨有編碼信息;通訊錄權限被惡意APP軟件獲取後,不僅聯係人信息被泄露,還很有可能被傳播垃圾郵件、短信或電話的人利用,輕則給日常生活帶來騷擾,重則還會引發詐騙、勒索等後果。

  “APP技術霸淩給用戶的手機帶來了新隱患,使其可能成為攻擊者攻擊其他目標的跳板。尤其是獲取高權限的APP,更是能夠隨心所欲地控制用戶手機。”劉奇旭説。

  面對APP的技術霸淩,用戶缺少選擇權,整體上處于任人宰割的弱勢地位。

  APP運營方為什麼要獲取這麼多的權限和數據?專家分析説,大數據的應用,讓個人數據變得越來越有價值。一些APP運營方通過各種手段,甚至在沒有獲得用戶同意的情況下收集用戶信息,主要是大數據背後的經濟利益驅動。

  “比如,APP抓取廣大用戶的手機通訊錄後,會將通訊錄上所有人的電話、姓名、地址等信息匯聚形成一個用戶數據庫,借此給用戶精準‘畫像’,通過推送廣告等獲取收益。”胡延平説,“這些信息和數據甚至會被反復、多次出售,被網絡黑色産業鏈利用。”

  ■專家呼吁完善相關法律,為APP獲取個人信息劃定邊界

  針對APP過度和越界索求手機權限,安全專家表示,APP獲取個人信息應遵循3個原則:一是最小必要原則,即APP獲取的信息是不是服務的必要數據;二是用戶知情原則,即第一次使用APP時,需要提示用戶是否開啟某項服務,即使選擇不開啟,也不能影響APP其他功能的正常使用;三是必要保護原則,即APP合規收集用戶的數據時,要保證數據安全,確保不被泄露、販賣和濫用。

  “應該通過法律規范明確個人信息的收集邊界,除特定情況並徵得用戶授權外,用戶本人應絕對掌控自己的個人數據,信息採集方也無權違規使用。”北京師范大學網絡法治國際中心執行主任吳沈括説。

  吳沈括認為,與個人隱私相關的信息重點在于保護,與個人隱私不相關的個人數據重點在防止濫用,“維護數字生態健康發展,必須區分哪些數據是企業可以收集的,哪些數據的收集是要徵得用戶同意的。”

  避免個人信息泄露,用戶也有必要逐步提高自身安全意識。專家建議,用戶要選擇正規的渠道下載APP,同時要重視手機隱私權限管理,及時關閉不必要的APP權限。

  對互聯網技術霸淩現象,記者將繼續跟蹤報道。(記者 喻思南 吳月輝 劉詩瑤 谷業凱 馮 華 余建斌)

+1
【糾錯】 責任編輯: 薛濤
新聞評論
加載更多
相約紅門,愛在消防
相約紅門,愛在消防
拉薩“花房”——羅布林卡
拉薩“花房”——羅布林卡
“小滿小滿 麥粒漸滿”
“小滿小滿 麥粒漸滿”
生態中國·天遼地寧紅灘舞
生態中國·天遼地寧紅灘舞

010020010010000000000000011101301124520703