手機應用索取許可權貪得無厭 | 滋養網路黑灰產業

日前, 有關中國電信旗下一APP索要70多項許可權並修改通訊錄的報道再次引發了人們對APP過度索權, 隱私泄露話題的關注.

隨後, 中國電信回應稱, '在用戶同意的前提下, 遵循合法, 正當, 必要的原則, 該APP採用統一申請用戶授權的方式, 以便根據用戶需要及時提供所需服務. ' 當用戶同意授權後, 該APP才能使用這些許可權. '

'不管是手機APP還是PC端, 一些企業肆無忌憚地收集大量的用戶資訊, 但是用這些資訊就能有效實現商業價值嗎?也未必, 有可能它(企業)也不知道真的能做什麼, 或者一直沒用上. ' 火絨安全聯合創始人馬剛在接受第一財經記者採訪時表示.

在數據是石油的時代背景下, 不少企業認為數據越多越好, 過度獲取用戶數據. 一方面, 是企業對用戶數據的極度渴望;另一方面, 企業並未妥善保管這些數據, 甚至進行地下交易, 導致網路黑灰產業已相當龐大.

提防過度獲取許可權

從年初今日頭條麥克風許可權 '偷聽' 隱私事件, 支付寶2017年度賬單預設勾選《芝麻信用協議》, 到微信是否會存儲, 讀取聊天記錄的探討, 一次次事件不斷刺激著用戶敏感的神經.

中國用戶真的不在乎隱私嗎?

清研智庫最近的一份調查顯示, 近七成受訪者 '用隱私換便捷' 是 '被自願' , 七成以上的人認為網路平台在尊重和保護用戶隱私方面做得不好. 北京市消費者協會3月7日發布的手機APP個人資訊安全調查報告也顯示, 有近九成的人認為手機APP存在過度採集個人資訊, 近八成的人認為手機APP上的個人資訊不安全.

為何是 '被自願' ?以安卓市場手機APP索權為例, 用戶在下載安裝APP時, 多會被要求開通多項許可權, 包括使用電話許可權, 使用位置許可權, 使用通訊錄許可權等. 如果不同意, 則無法使用APP.

手機APP過度獲取用戶許可權與APP開發者的立場和企業商業邏輯有關. 一位業內人士對記者表示, 很多剛開發的APP只提供相對簡單的功能, 發展到一定階段會提供更多功能和服務, 需要一些新許可權. '很多開發者不知道未來這個軟體需要哪些許可權, 在開發第一個版本時就會申請很多許可權, 方便以後升級更新. 但是很多功能, 它即使申請許可權也不一定用, 這種占坑的情況非常普遍. '

今年年初, 騰訊社會研究中心與DCCI互聯網數據中心聯合發布了《2017年度網路隱私安全及網路欺詐行為分析報告》(下稱《報告》). 《報告》顯示, 通過手機應用獲取用戶隱私現象十分普遍. 2017年下半年, 有98.5%的安卓應用在獲取用戶隱私許可權. 其中, 有9%的手機應用存在越界獲取用戶隱私許可權的現象.

如何界定過度獲取資訊?馬剛對記者表示, '夠用就好, 不能收集更多' . 對於有些軟體而言, 強制授權有一定合理性, 如地圖類, 出行類軟體需要獲取用戶的位置資訊.

但是更多的情況是, APP在初次安裝開啟時只通知用戶一些敏感許可權, 實際會獲取更多的許可權. 記者查看手機許可權管理時發現, 絕大部分已下載的APP都會預設讀取已安裝應用列表. 據悉, 目前不少大數據公司都通過獲取已安裝應用列表許可權, 掌握用戶同時安裝的其他軟體, 藉此分析競品的市場份額, 並對用戶標籤化, 為商業企業提供精準營銷服務.

一位網路安全專家告訴記者, 在判斷手機APP是否過度申請許可權時, 用戶需要結合自己的需求, '假如一個非常簡單的工具類APP, 如手電筒, 小遊戲要獲取較多許可權, 就可以把較為敏感的許可權, 如聯繫人, 定位等關了. ' 在應對強制授權問題時, 該專家表示, 目前這需要手機系統層面解決. 對於用戶而言, 在安裝時如果被迫選擇授權, 彌補措施是, 安裝後再用許可權管理軟體關閉相應的許可權.

打響個人資訊保衛戰

獲取許可權不是作惡的第一步, 判斷一個軟體是否真的惡意不能僅看許可權.

造成用戶資訊泄露原因眾多, APP只是其中的一個入口, 還涉及到資訊數據的管理, 網站本身的原因, 或者黑客攻擊等, '其實手機APP過度索權問題沒有想的那麼嚴重, 如果大家都把眼光只看到APP行為本身, 或者是只盯著APP的許可權上這個是不夠的. ' 上述網路安全專家表示.

2017年6月1日起, 《中華人民共和國網路安全法》正式開始實施. 國家公務人員或者某些掌握數據的人員泄露用戶數據, 已經可以通過法律制裁, 但個人隱私保護的相關法律不夠完善, '相關的草案(《中華人民共和國個人資訊保護法(草案)》)已經公布了, 但是目前也沒有定下來' , 而要靠行業規範難度也不小, '各個廠商, 各個APP開發者對APP申請許可權都有自己的理由. 你很難讓各家公司或相應的開發者達成共識. 現有的這種情況下, 可能還是需要依靠作業系統本身的改進來解決這個問題. ' 該專家表示.

網民在無意中泄露自己資訊的情況也極其普遍. 以現金貸為例, 一些現金貸企業對資訊的獲取沒有指定, 也完全沒有底限. 參與現金貸的人毫無隱私可言. 由此衍生的黑灰色產業已相當龐大. 此前, 阿里巴巴集團安全部副總裁杜躍進曾對媒體表示, 中國現在網路黑灰產業一年的產值已達千億, 而網路安全的全部產值不到300億, 其中黑灰產業造成的損失至少乘以20倍. 他稱, 很多黑灰產業從業者利用大數據的能力甚至超過一些知名互聯網企業, 能夠精準獲取數據, 進行精確詐騙.

資訊的售賣對象包括詐騙, 盜竊等行業, 以及金融, 精準營銷等. 被兜售最多的資訊便是用戶的聯繫方式, 賬號密碼.

馬剛告訴記者, 通過賬號密碼等個人資訊真正盜取用戶的資金或財產的情況比較少, '這些明顯違法的很少, 一般大家都不敢幹, 更多的主要就是用來推銷, 做廣告. ' 由於目前法律法規的不完善, 很多所謂向用戶推送商業資訊, 廣告的精準營銷處於灰色地帶. '雖然知道這好像不對, 或者涉嫌侵權, 但是沒有明確規定, 處罰也不是很明確, 處於灰色地帶, 就會放開了幹. '

為防止個人隱私資訊泄露, 《報告》建議, 用戶可從以下五點著手: 一是下載軟體選擇正規渠道, 如安卓市場等;二是謹慎填寫個人隱私資訊, 防止資訊被無謂地採集;三是管理手機軟體中的隱私許可權, 了解軟體許可權行為, 關閉不必要的授權;四是防範公共WiFi, 轉賬與支付時改用數據流量;五是通過 '恢複出廠設置-格式化-反覆拷入大檔案並刪除' 三步驟, 徹底清理舊手機資訊.

2016 GoodChinaBrand | ICP: 12011751 | China Exports