您所在的位置: 連江新聞網 >> 國內國際 >> 正文

APP安裝包暗藏玄機:超半數留索取用戶通訊錄“后門”

http://www.inwzyo.tw  2019-08-20 17:34:17   來源:新京報  【字號

  嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、悟空理財等10個APP申請了全部6項敏感權限;作業幫、中興智能家居、宜人貸、紅包鎖屏等7款APP安裝后自動上傳用戶位置信息

  8月13日,《2019年上半年我國互聯網網絡安全態勢》發布,報告指出,每款APP應用平均收集20項個人信息,大量APP存在探測其他APP或讀寫用戶設備文件等異常行為,這再度引發公眾對移動APP違法違規收集使用個人信息問題的熱議。

  目前,用戶判斷APP收集了哪些信息主要以其索取的權限為依據。新京報記者近兩年來持續關注APP索取權限發現,目前絕大多數APP均會明示提醒索取的權限,但APP究竟在什么時候上傳了哪些用戶信息,APP在技術層面能否窺視用戶隱私,對于普通用戶來說依然成謎。

  近日,新京報記者聯合國家計算機病毒應急處理中心,對109款APP的安裝包APK進行了引擎檢測,檢測結果發現,83.6%的APP安裝包中均含有超出其原本業務范圍之外的權限代碼。109款APP中有超過半數的APP安裝包里含有索取用戶通訊錄的代碼。

  據此新京報發布了“個人隱私報告第一期”,本次報告重點關注APP越界索取權限問題。109款APP中嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、飛嘀打車、中國工商銀行、悟空理財、平安好醫生、開心消消樂10個APP申請了全部6項敏感權限,申請的敏感權限最多。

  83.6%的APP含越界代碼,中移動旗下的和包支付“越界”嚴重

  6月18日,新京報記者對比《網絡安全實踐指南-移動互聯網應用基本業務功能必要信息規范》中劃定的不同行業APP應該索取的權限范圍,基于安裝APP后開啟的權限提示,測試了50款常用APP,發現其中有24個APP索取的權限超出范圍,占比48%。

  而6月25日至27日,新京報記者聯合國家計算機病毒應急處理中心,對109款APP的安裝包APK內含有的涉及隱私權限的代碼進行了引擎檢測,檢測結果發現,除微信、虎牙直播等18款APP外,其余83.6%的APP安裝包中均含有超出其原本業務范圍之外的權限代碼。

  根據《網絡安全法》第四十一條,網絡運營者不得收集與其提供的服務無關的個人信息;而《網絡安全實踐指南-移動互聯網應用基本業務功能必要信息規范》給出了哪一類APP收集信息的范圍標準,超出標準即為越界。

  具體來看,在讀取聯系人、錄制音頻、讀取短信、發送短信、發起電話呼叫、拍攝照片和錄制視頻六個涉敏感權限中,上述109個APP中有57款APP“越界”含有讀取聯系人的代碼,占比51.8%;有44款APP“越界”含有錄制音頻的代碼,占比40%;有30款APP“越界”含有拍攝照片和錄制視頻的代碼,占比27.2%。而讀取短信、發送短信、發起電話呼叫三項APP權限被“越界”含有的比例則在20%左右,相對較少。

  其中,和包支付的安裝包APK擁有全部上述6個涉隱私敏感權限,但依據《網絡安全實踐指南-移動互聯網應用基本業務功能必要信息規范》,和包支付所屬的金融借貸類APP基于其基本業務功能所能收集的必要信息包括手機號碼、身份信息、征信信息等,上述6個涉敏感權限與其基本業務功能無關。

  和包支付是中國移動面相個人和企業提供的一項綜合性移動支付業務,開發者為中國移動旗下子公司中移電子商務公司。截至目前,其在華為應用市場中有3340萬次安裝。

  而作為游戲類APP的開心消消樂的安裝包APK同樣擁有全部上述6個涉敏感權限,不過基于該APP的類型,錄制音頻屬于其基本業務功能之內,但讀取聯系人、讀取短信、拍攝照片和錄制視頻等其他5項權限不屬于其基本業務功能之列。

  “實際上,絕大多數用戶對APP的隱私協議是‘看都不看’的,對于權限的開啟也往往不是很在意,因此看APP到底有能力獲取哪些權限,在技術上直接看代碼是最為方便的。”8月16日,在網安部門負責APP檢測的程序員小武告訴記者,“代碼不會說謊”。

  嘀嗒出行、百合婚戀等APP安裝包申請全部6項敏感權限

  近日,新京報記者聯合國家計算機病毒應急處理中心,對109款APP的安裝包APK進行了引擎檢測。

  新京報記者查閱109個APP安裝包所申請的6個涉敏感權限列表發現,大多數APP都申請了3至4個敏感權限,而嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、飛嘀打車、中國工商銀行、悟空理財、平安好醫生、開心消消樂10個APP申請了全部6個敏感權限,申請的敏感權限最多。

  國家計算機病毒應急處理中心在發給新京報記者的檢測報告中注明,通過上傳的APP應用,自動識別出移動應用所屬的行業,并對應到《網絡安全實踐指南-移動互聯網應用基本業務功能必要信息規范》中不同行業應有的權限集合,與被檢測應用的AndroidManifest.xml文件進行比對,將多余部分的權限定義為權限濫用。

  根據APP專項治理工作組發布的《APP申請安卓系統權限機制分析與建議》,如果APP因業務功能需要申請系統權限,通常情況下,APP開發者可通過在AndroidManifest.xml配置文件中明確聲明的方式(靜態方式),以及在代碼運行階段請求的方式(動態方式)申請系統權限。

  “AndroidManifest.xml指的是APP安裝包中的配置文件,其包含了APP安裝所必要的各個組件,其中也有其申請的系統權限集合列表。”國家計算機病毒應急處理中心工作人員告訴記者,“例如,android.permission.READ_CONTACTS代表讀取通訊錄權限,擁有該代碼的APP在‘基因層面’就具備了讀取用戶通訊錄的意圖。”

  例如,嘀嗒出行具備音頻與拍照功能,擁有錄音與拍照權限較為合理,但其同時也擁有讀取聯系人權限,這與其基本業務功能不符。

  對此,也有APP設計人士向記者抱怨稱,“其實有不少APP在制作時,源代碼是復制其他APP的,有時不需要的權限也這樣一股腦兒復制過去了,并非是APP自己想要多收集。”

  宜人貸、紅包鎖屏、瑞錢包等“自動”上傳用戶位置信息

  需要注意的是,引擎檢測只能檢測APP安裝包內的權限“基因”,無法判定APP行為。

  7月9日至7月15日,新京報記者聯合國家計算機病毒應急處理中心,從109款APP中篩選出了在安裝包層面申請了多個權限的14款APP,采用“抓包”方式進行人工檢測發現,14款APP中有7款APP在首次打開授權但不進行操作后,自動上傳了用戶的GPS定位等隱私信息,一些APP的定位精確到具體的區縣。

  這14款APP包括360借條、和包支付、紅包鎖屏、看拍、球球大作戰、瑞錢包、搜狗輸入法、同花順、微鎖屏、悟空理財、宜人貸、中興智能家居、作業幫等。

  其中,球球大作戰、作業幫、中興智能家居、宜人貸、紅包鎖屏、瑞錢包等7款APP在首次打開并對彈出的提示框點擊確定,并不做任何其他操作的情況下,向網站上傳了用戶的經度和維度定位信息。其中作業幫上傳的內容精確到了檢測機構所在的天津市濱海新區。

  需要注意的是,記者并未在球球大作戰、微鎖屏等APP中直接找到需要使用地理位置的功能,但其仍然向用戶申請了相關權限,并在安裝完后立刻上傳了用戶的定位信息。

  中國人民大學法學院教授劉俊海認為,自由和權利是有邊界的,APP若貪得無厭,索取權限超過法定范圍就構成侵權,侵犯了消費者的隱私權與個人信息權,此時APP應該“懸崖勒馬”。

  《APP申請安卓系統權限機制分析與建議》也顯示,APP應遵循“最少夠用”原則,即APP應只申請實現業務功能所必需的系統權限。選擇系統權限時應選取能滿足業務功能所需的“最少夠用”的權限,比如,使用“粗略地理位置”即可達到業務目的,完成業務功能的,避免使用“精確地理位置”。

  不過,什么是“最少夠用”,APP顯然有不同的理解。有網安部門的公安干警對新京報記者表示,其在執法時常常遇到APP對索取權限辯解的各種理由,“比如我去問一家游戲APP,你們要地理位置干什么?對方表示是為了‘觀察哪個位置的玩家較多,此后可以在該位置架設服務器,更好地提升用戶體驗’”。

  對此,APP專項治理工作組成員何延哲對記者表示,以提升服務體驗為借口多索取權限也是不合理的,“比如游戲類APP如果想要根據用戶位置架設服務器,只要看用戶IP就可以了,為什么要獲取地理位置權限?”

  未發現APP竊聽用戶談話

  《2019年上半年我國互聯網網絡安全態勢》指出,在目前下載量較大的千余款移動APP中,每款應用平均申請25項權限,其中申請了與業務無關的撥打電話權限的APP數量占比超過30%;每款應用平均收集20項個人信息和設備信息,包括社交、出行、招聘、辦公、影音等;大量APP存在探測其他APP或讀寫用戶設備文件等異常行為,對用戶的個人信息安全造成潛在威脅。

  這引起了不少用戶的共鳴,“我覺得我說話都能被淘寶和小紅書聽見。”8月16日,有接受問卷調查的用戶向新京報記者抱怨,其有時會出現上午和朋友閑聊某商品,下午APP就推送了該商品廣告的情況,“APP一定偷聽了我的談話。”

  近期,蘋果、臉書、亞馬遜、微軟四個國外互聯網巨頭也分別曝出“竊聽門”,臉書官方承認其存在人工轉錄用戶語音記錄的行為。

  不過,新京報記者7月9日至7月15日對14款APP進行“抓包”分析發現,APP上傳最多的用戶數據是手機的設備型號、IMEI號(國際移動設備識別碼,相當于移動電話的身份證)、安卓版本、mac地址等,其次就是地理位置信息。但在此期間并未有APP上傳用戶的語音與圖片數據。

  “用戶的錯覺來自定向推送,實際上,語音竊聽與定向推送完全不同。”8月8日,何延哲對新京報記者表示,“通過語音竊聽是一種成本最高、效率最低的方法,但當APP通過社會關系、喜好習慣、WiFi場景等各種方式進行定推,就會給民眾‘遭到竊聽’的錯覺”。

  問題1

  為何92%的人認為APP會泄露個人隱私?

  8月16日至19日,新京報以“你覺得APP會不會泄露你的個人隱私信息”為題在微博、今日頭條以及微信朋友圈進行了問卷調查,匯總調查結果顯示,200個回復的手機用戶中,有184人認為“會泄露”,有16人認為“不會泄露”,認為APP會泄露隱私的用戶占到了調查總數的92%。

  與之形成鮮明對比的是,在新京報記者測試的109個APP中,幾乎所有APP均可找到隱私協議,且協議中有類似“會遵循隱私政策收集使用信息”的表述。此外,由于APP專項治理工作的推進,APP對索取權限進行明示提醒幾乎普及了所有主流APP,有網信辦相關工作人員對記者表示,對APP“主要抓合規性,制定法律法規,標準規范,并督促APP落實”。

  是什么造成了用戶認知與APP規范的“割裂”?安全專家劉海(化名)對記者表示,在技術上,APP確實擁有探尋用戶隱私的能力,且由于用戶數據上傳至企業后,對于公眾而言就屬于數據進入了“黑箱”狀態,企業拿去做什么,只要不被曝光,用戶是毫不知情的,再加上用戶日常會接到針對其畫像的定向推送,所以不信任感會大大增加。

  問題2

  你的通訊錄是否已被你用的APP讀取?

  109個APP中有57款APP“越界”含有讀取聯系人的代碼,占比51.8%。

  國家計算機病毒應急處理中心工作人員稱,“android.permission.READ_CONTACTS代表讀取通訊錄權限,擁有該代碼的APP在‘基因層面’就具備了讀取用戶通訊錄的意圖。”

  國家計算機病毒應急處理中心工作人員將代碼比喻為APP的“武器庫”,“檢測出來了就說明APP有‘武器’,但APP是否拿出這個‘武器’并予以使用,還要看后續具體用戶是否同意權限申請。”

  劉海對記者表示,一般來說APP只要在具體操作行為上彈窗提示征得了用戶同意,即便權限越界也無不可,“但安裝包上搭載越界代碼的行為也值得討論,APP的主要功能明明不需要這一權限,為什么還要搭載這個代碼?這是否就屬于對用戶安全的‘潛在威脅’”?

  梆梆安全CTO方寧表示,要檢測APP是否上傳了用戶隱私數據,需要通過做逆向分析、滲透測試等方式,但這需要具備專業的技術能力,普通老百姓不可能做到。

  問題3

  APP會否竊聽你的談話?

  業內人士稱,竊聽性價比不高。APP專項治理工作組曾發文稱,“偷聽”的性價比確實不高。因為APP要克服識別環境噪音、是否是非本人購物意向等,相比用戶平時的搜索、瀏覽、訂單歷史習慣,“竊聽”錄音的行為屬于舍近求遠,避簡就繁,不符合商業邏輯。

  此外,竊聽行為違反《網絡安全法》第四十一條“網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度;網絡運營者必須公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意”的相關規定,企業如果存在使用技術手段“偷聽”語音并上傳的行為,對企業聲譽的影響是致命的。

网球比分