記者在百度搜索框敲入“App權(quán)限”,馬上就自動(dòng)顯示“App權(quán)限過大”和“App權(quán)限哪些需要禁止”的搜索提示���?���!癆pp權(quán)限過大”的百度相關(guān)搜索結(jié)果量超過400萬個(gè)����,“App權(quán)限哪些需要禁止”的搜索結(jié)果量也超過200萬個(gè)��。
在對40多萬款A(yù)pp進(jìn)行調(diào)查后��,中國人民大學(xué)信息學(xué)院教授孟小峰團(tuán)隊(duì)發(fā)現(xiàn)��,目前App的各類權(quán)限接近40個(gè)��,但大部分權(quán)限跟App實(shí)現(xiàn)功能的正常需求并不匹配�����。
前不久����,上海市消費(fèi)者權(quán)益保護(hù)委員會對39款手機(jī)App涉及個(gè)人信息權(quán)限的測評顯示:超過六成App在用戶安裝時(shí)申請了很多敏感權(quán)限�,卻不提供實(shí)際功能,包括讀取通訊錄�、電話權(quán)限、短信權(quán)限��、定位權(quán)限等�����。
DCCI互聯(lián)網(wǎng)研究院首席專家胡延平告訴記者����,為了提供服務(wù)、提升體驗(yàn)��,一些App要求權(quán)限�����、收集信息是合理的��,但應(yīng)該有邊界����。“大多數(shù)用戶并不知道App要這些權(quán)限做什么���,也不會仔細(xì)了解每個(gè)權(quán)限的風(fēng)險(xiǎn)����,很容易不知不覺地掉進(jìn)風(fēng)險(xiǎn)盲區(qū)��?����!?
安裝App時(shí),在用戶不知情的情況下��,違規(guī)捆綁無關(guān)軟件�、違規(guī)搜集用戶個(gè)人信息……手機(jī)App中的“惡意分子”所引發(fā)的技術(shù)侵害則更加難以防范。據(jù)中國科學(xué)院信息工程研究所副研究員劉奇旭介紹����,這類App技術(shù)入侵主要通過3種方式實(shí)現(xiàn)——
一是將正常的App安裝包替換成攻擊者的安裝包,或是在用戶正常安裝時(shí)����,關(guān)聯(lián)安裝惡意App,“操作者”通常是第三方應(yīng)用商店或者手機(jī)中的惡意軟件���;
二是手機(jī)中的惡意軟件監(jiān)測手機(jī)App的運(yùn)行狀態(tài)并進(jìn)行攻擊��。例如�,當(dāng)用戶打開某個(gè)App的界面時(shí)�����,被惡意軟件探知后���,啟動(dòng)其仿冒界面來覆蓋原界面����,導(dǎo)致用戶在仿冒界面中輸入自己的賬號信息�����,并被攻擊者獲?����?��;
三是手機(jī)中的惡意軟件會中途“劫持”用戶對某個(gè)頁面的訪問�����,代之以返回錯(cuò)誤或含有惡意代碼的頁面��。例如用戶在使用App時(shí)會被插入不良廣告����,操作者通常是不良運(yùn)營商和手機(jī)中的惡意軟件���。
■影響體驗(yàn)�,泄露隱私,App劫持的背后是經(jīng)濟(jì)利益驅(qū)動(dòng)
安全專家表示���,App存在的過度要求權(quán)限等技術(shù)霸凌行為�,不僅影響用戶使用體驗(yàn)��,還可能導(dǎo)致隱私泄露�����,甚至造成財(cái)產(chǎn)損失�����。騰訊發(fā)布的《2018年手機(jī)隱私權(quán)限及網(wǎng)絡(luò)欺詐行為研究分析報(bào)告》顯示��,手機(jī)App是重要的隱私泄露渠道之一�。
智能手機(jī)是人們目前常用的移動(dòng)互聯(lián)網(wǎng)終端,存放著用戶的社會交往�����、行為喜好�、生活規(guī)律、賬號密碼、照片視頻等隱私數(shù)據(jù)����,甚至還包括商業(yè)機(jī)密文件�����。胡延平說�,一些App越界獲取權(quán)限,用戶不小心就掉進(jìn)“天羅地網(wǎng)”��,手機(jī)里的個(gè)人信息隨時(shí)處于“裸奔”狀態(tài)���,無異于被App“數(shù)據(jù)劫持”�。
一些權(quán)限如果被惡意App獲取�����,會引發(fā)更大的風(fēng)險(xiǎn)����。比如,App要求的日歷權(quán)限允許讀取��、分享或保存日歷數(shù)據(jù),如果該權(quán)限被惡意App利用�,可能用來追蹤用戶每天的行程;電話權(quán)限被惡意App利用��,可能會產(chǎn)生額外的電話費(fèi)用��、泄露智能設(shè)備的獨(dú)有編碼信息��;通訊錄權(quán)限被惡意App軟件獲取后����,不僅聯(lián)系人信息被泄露,還很有可能被傳播垃圾郵件�����、短信或電話的人利用�����,輕則給日常生活帶來騷擾���,重則還會引發(fā)詐騙�、勒索等后果���。
“App技術(shù)霸凌給用戶的手機(jī)帶來了新隱患���,使其可能成為攻擊者攻擊其他目標(biāo)的跳板��。尤其是獲取高權(quán)限的App�,更是能夠隨心所欲地控制用戶手機(jī)��?!眲⑵嫘裾f�。
面對App的技術(shù)霸凌,用戶缺少選擇權(quán)��,整體上處于任人宰割的弱勢地位���。
App運(yùn)營方為什么要獲取這么多的權(quán)限和數(shù)據(jù)�����?專家分析說��,大數(shù)據(jù)的應(yīng)用��,讓個(gè)人數(shù)據(jù)變得越來越有價(jià)值�。一些App運(yùn)營方通過各種手段,甚至在沒有獲得用戶同意的情況下收集用戶信息����,主要是大數(shù)據(jù)背后的經(jīng)濟(jì)利益驅(qū)動(dòng)。
“比如�����,App抓取廣大用戶的手機(jī)通訊錄后�����,會將通訊錄上所有人的電話���、姓名���、地址等信息匯聚形成一個(gè)用戶數(shù)據(jù)庫,借此給用戶精準(zhǔn)‘畫像’�����,通過推送廣告等獲取收益���?!焙悠秸f,“這些信息和數(shù)據(jù)甚至?xí)环磸?fù)����、多次出售,被網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈利用��?�!?
■專家呼吁完善相關(guān)法律���,為App獲取個(gè)人信息劃定邊界
針對App過度和越界索求手機(jī)權(quán)限,安全專家表示��,App獲取個(gè)人信息應(yīng)遵循3個(gè)原則:一是最小必要原則�,即App獲取的信息是不是服務(wù)的必要數(shù)據(jù);二是用戶知情原則�,即第一次使用App時(shí),需要提示用戶是否開啟某項(xiàng)服務(wù)�,即使選擇不開啟,也不能影響App其他功能的正常使用����;三是必要保護(hù)原則,即App合規(guī)收集用戶的數(shù)據(jù)時(shí)���,要保證數(shù)據(jù)安全��,確保不被泄露�����、販賣和濫用���。
“應(yīng)該通過法律規(guī)范明確個(gè)人信息的收集邊界���,除特定情況并征得用戶授權(quán)外,用戶本人應(yīng)絕對掌控自己的個(gè)人數(shù)據(jù)��,信息采集方也無權(quán)違規(guī)使用�。”北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括說�。
吳沈括認(rèn)為,與個(gè)人隱私相關(guān)的信息重點(diǎn)在于保護(hù)�����,與個(gè)人隱私不相關(guān)的個(gè)人數(shù)據(jù)重點(diǎn)在防止濫用�,“維護(hù)數(shù)字生態(tài)健康發(fā)展,必須區(qū)分哪些數(shù)據(jù)是企業(yè)可以收集的����,哪些數(shù)據(jù)的收集是要征得用戶同意的��?!?
避免個(gè)人信息泄露�,用戶也有必要逐步提高自身安全意識。專家建議�����,用戶要選擇正規(guī)的渠道下載App�,同時(shí)要重視手機(jī)隱私權(quán)限管理,及時(shí)關(guān)閉不必要的App權(quán)限��。
對互聯(lián)網(wǎng)技術(shù)霸凌現(xiàn)象���,記者將繼續(xù)跟蹤報(bào)道。
