夜雨聆风
【软件测评】用百度糯米、饿了么等APP注意了,授权“日历权限”需谨慎!
上海市消保委副主任兼秘书长陶爱莲表示,沪消保委近年来持续关注APP对于个人信息的获取,此次发布的调查已是第三期。从结果来看,个人敏感权限的收集仍是较突出的问题,而企业并不会主动反思或下线。消费者越来越关注个人隐私的保护,拼命防守但防不胜防。政府和企业应创造放心安全的消费环境,让消费者更“敢”消费。
随着移动互联网的快速发展,“手机”已经成为我们生活中必不可少的一部分。不同的消费需求和习惯,催生了大量手机应用软件。然而,“个人信息泄露,合法权益被侵犯”等问题突出,尤其因“手机应用权限过度申请”引发各种争议。
前期情况及进展
2018年3月-7月,上海市消保委开展第一期地图类手机APP涉及个人信息权限评测,反映出申请的敏感权限与实际功能不完全对应的问题。5款头部应用相关企业积极回应,并提交情况说明及整改报告,通过取消获取、功能优化、版本更新等形式进行改进,相关问题得到解决。
2018年8月-11月,上海市消保委又开展第二期针对浏览器、输入法、综合视频等手机APP涉及个人信息权限评测,再次引起社会广泛关注。问题主要集中在部分应用所申请的敏感权限存在无实际对应功能以及部分应用所采用的Android目标 API版本过低方面。18家头部应用相关企业积极跟进问题,在敏感权限的申请、使用方面均做到了合理申请、自主授权,充分保证了用户的知情权、选择权。
APP信息安全问题得到多家行业监管单位高度重视。去年12月,中消协对100款App开展隐私政策情况开展调查。今年1月25日,网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,将针对APP强制授权、过度索权、超范围收集个人信息问题进行专项检查。今年央视315晚会也对手机APP个人信息问题重点关注。
上海市消保委根据APP个人信息权限的评测结果,针对安卓系统的安全性专门提出建议,希望安卓系统可以增加让消费者单次授权的功能。该建议得到了APP开发者、手机厂商和系统开发者的重视。
近期,谷歌发布的Android Q beta版新增加了相关的安全性功能。如对敏感信息的访问权限、摄像头/麦克风后台访问控制、以及给予用户更多地理位置控制等权限,除了原有的拒绝和永久授权之外,增加了仅在使用期间 (运行时)授权选项。此举在保护消费者个人信息方面十分重要,上海市消保委表示高度赞许。
本次评测情况
上海市消保委认为,个人信息保护的关键是规范收集和使用。《网络信息安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
对于网购类、社交类、旅游类、生活类手机APP,涉及用户日常生活的各个方面,需获取用户较多个人信息完成相应功能。为此,在前两次测评的基础上,上海市消保委广泛听取消费者意见,积极满足消费者诉求,并联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,于2019年1月继续对网购平台、旅游出行、生活服务等39款手机用开展第三期手机APP涉及个人信息权限评测。
本次评测主要从四个维度进行:
APP所使用的目标API级别。当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式 ,存在可规避系统安全机制的漏洞;
APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;
注敏感权限的授权方式。是否存在一揽子授权的模式,如何向用户提出授权请求;
查看是否存在无实际功能对应用的权限申请。
本次评测发现,有14款应用敏感权限与实际功能均能对应。
为推动相关问题的解决,上海市消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。截止到3月23日,30款应用全部实现在敏感权限的申请、使用方面做到了合理申请、自主授权。
在前期沟通确认中,有8款应用第一时间进行沟通,并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。
在本次会议前(截止到3月23日),上海市消保委再次进行了测试,又有8款应用完成了改进。
目前(截止到3月23日),仍有9款应用未能就其权限和功能无法对应的问题进行改进。
问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
(截至2019年3月23日)
关于日历权限
本次评测发现,不少网购类APP获取了日历权限,而调查也表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
为此,上海市消保委通过上海市消保委、上海新消费微信公众号和腾讯大申网开展了网络调查。
手机APP获取个人权限问题得到关注。网络调查数据显示,69.9%的消费者关注手机APP获取个人权限问题。其中,通讯录权限最为关注,占43.5%;26%的消费者关注电话、短信权限。值得关注的是,仅有0.4%的消费者关注日历权限。
用手机日历功能记录行程使用频度高。手机日历具有时间提醒、行程记录等功能。网络调查显示,52.5%的消费者用手机日历功能记录个人行程。其中,24.7费者选择记录日常生活行程;18.5%的消费者记录日常生活及工作等行程。
近五成消费者重视手机APP涉及个人权限问题。个人信息保护成为消费者关注的焦点。网络调查显示,49.9重视手机APP涉及个人权限问题。其中,33.7%的消费者“关注过,并越来越重视”;还有19.9%的消费者表示“不关注”。
上海市消保委认为,日历权限给消费者带来的可能性风险大于给消费者带来的便利,网购类平台使用日历权限给消费者带来的场景可以用其他技术手段加以替代。据此,上海市消保委希望消费者和APP开发者都能对日历权限加以重视。消保委建议:
后续跟踪情况通报之一
针对评测会通报情况,饿了么表示已在会前推出更新版本,删除“读取通话记录”权限。
3月28日,TripAdvisor猫途鹰、一嗨租车向上海市消保委提交相关整改报告。
TripAdvisor猫途鹰表示,高度重视测评结果,并第一时间进行内部排查并解决,已通过升级版本的形式删除“拨打电话”权限。目前,新版本(版本号29.4.3)已于3月27日晚在各大安卓系统应用市场上线。
一嗨租车表示,关于获取“接收讯息(短信)”权限的问题,经自查发现是开发失误,并未有相应功能需要该项权限,现已在v6.2.3版本中进行修正,3月27日当天已经上线。目前首页已推送,应用商城因审核原因,最晚将于3月29日上午上线。
此外,格瓦拉相关负责人在通气会上当众表示已于3月26日升级版本,并删除“发送短信”“读取联系人”“录音”。然而,经APP评测技术团队发现,在各大应用市场并没有发现格瓦拉的更新版本。格瓦拉所说的“新版本”只能通过应用内升级获得。
技术团队进一步测试发现,新版本中“读取联系人”权限并未删除,与格瓦拉公司的公开承诺不符。
上海市消保委认为,消费者的个人信息依法受到保护。对于存在问题的APP,改正是义务,承诺是责任。企业不应该言之凿凿,实际上敷衍了事。
4月1日,另外6家APP格瓦拉、百度糯米、神州租车、聚美优品、穷游、贝贝也向上海市消保委提交报告,其中5家通过版本更新、删除权限等方式完成整改。
贝贝书面反馈:“麦克风录音”权限应用在金融服务(尊享贷信用授权)场景。有关于贝贝回复的使用场景,APP评测技术团队尚无法验证。
为对消费者和企业负责,上海市消保委将邀请企业进行现场演示,并就相关问题进行沟通说明。
为保证整改措施落实到位,除贝贝外,本次评测技术团队已就企业反馈进行验证。
上海市消保委表示,保护消费者权益是全社会的共同责任,相关企业要正视问题,积极进行自查修改,真正承担起保护消费者个人信息的责任和义务。
来源:上海市消保委
