上海频道: 安装时要求权限过多、收集信息过度，APP技术霸凌时有发生

上海频道 上海频道

安装时要求权限过多、收集信息过度，APP技术霸凌时有发生 May 21st 2019, 00:00, by 人民网 　　"我的手机APP一打开网页，就弹出各种抽奖小广告""看个视频，却要求获取我的通讯录权限，不打开权限就无法观看""下载后安装APP，需要获取我的地理位置信息，不同意就装不了"……手机APP要求权限过多、过度收集信息非常普遍，也是被吐槽和投诉的技术霸凌"重灾区"。 　　记者在百度搜索框敲入"APP权限"，马上就自动显示"APP权限过大"和"APP权限哪些需要禁止"的搜索提示。"APP权限过大"的百度相关搜索结果量超过400万个，"APP权限哪些需要禁止"的搜索结果量也超过200万个。 　　在对40多万款APP进行调查后，中国人民大学信息学院教授孟小峰团队发现，目前APP的各类权限接近40个，但大部分权限跟APP实现功能的正常需求并不匹配。 　　前不久，上海市消费者权益保护委员会对39款手机APP涉及个人信息权限的测评显示：超过六成APP在用户安装时申请了很多敏感权限，却不提供实际功能，包括读取通讯录、电话权限、短信权限、定位权限等。 　　DCCI互联网研究院首席专家胡延平告诉记者，为了提供服务、提升体验，一些APP要求权限、收集信息是合理的，但应该有边界。"大多数用户并不知道APP要这些权限做什么，也不会仔细了解每个权限的风险，很容易不知不觉地掉进风险盲区。" 　　安装APP时，在用户不知情的情况下，违规捆绑无关软件、违规搜集用户个人信息……手机APP中的"恶意分子"所引发的技术侵害则更加难以防范。据中国科学院信息工程研究所副研究员刘奇旭介绍，这类APP技术入侵主要通过3种方式实现—— 　　一是将正常的APP安装包替换成攻击者的安装包，或是在用户正常安装时，关联安装恶意APP，"操作者"通常是第三方应用商店或者手机中的恶意软件； 　　二是手机中的恶意软件监测手机APP的运行状态并进行攻击。例如，当用户打开某个APP的界面时，被恶意软件探知后，启动其仿冒界面来覆盖原界面，导致用户在仿冒界面中输入自己的账号信息，并被攻击者获取； 　　三是手机中的恶意软件会中途"劫持"用户对某个页面的访问，代之以返回错误或含有恶意代码的页面。例如用户在使用APP时会被插入不良广告，操作者通常是不良运营商和手机中的恶意软件。 　　影响体验，泄露隐私，APP劫持的背后是经济利益驱动 　　安全专家表示，APP存在的过度要求权限等技术霸凌行为，不仅影响用户使用体验，还可能导致隐私泄露，甚至造成财产损失。腾讯发布的《2018年手机隐私权限及网络欺诈行为研究分析报告》显示，手机APP是重要的隐私泄露渠道之一。 　　智能手机是人们目前常用的移动互联网终端，存放着用户的社会交往、行为喜好、生活规律、账号密码、照片视频等隐私数据，甚至还包括商业机密文件。胡延平说，一些APP越界获取权限，用户不小心就掉进"天罗地网"，手机里的个人信息随时处于"裸奔"状态，无异于被APP"数据劫持"。 　　一些权限如果被恶意APP获取，会引发更大的风险。比如，APP要求的日历权限允许读取、分享或保存日历数据，如果该权限被恶意APP利用，可能用来追踪用户每天的行程；电话权限被恶意APP利用，可能会产生额外的电话费用、泄露智能设备的独有编码信息；通讯录权限被恶意APP软件获取后，不仅联系人信息被泄露，还很有可能被传播垃圾邮件、短信或电话的人利用，轻则给日常生活带来骚扰，重则还会引发诈骗、勒索等后果。 　　"APP技术霸凌给用户的手机带来了新隐患，使其可能成为攻击者攻击其他目标的跳板。尤其是获取高权限的APP，更是能够随心所欲地控制用户手机。"刘奇旭说。 　　面对APP的技术霸凌，用户缺少选择权，整体上处于任人宰割的弱势地位。 　　APP运营方为什么要获取这么多的权限和数据？专家分析说，大数据的应用，让个人数据变得越来越有价值。一些APP运营方通过各种手段，甚至在没有获得用户同意的情况下收集用户信息，主要是大数据背后的经济利益驱动。 　　"比如，APP抓取广大用户的手机通讯录后，会将通讯录上所有人的电话、姓名、地址等信息汇聚形成一个用户数据库，借此给用户精准'画像'，通过推送广告等获取收益。"胡延平说，"这些信息和数据甚至会被反复、多次出售，被网络黑色产业链利用。" 　　专家呼吁完善相关法律，为APP获取个人信息划定边界 　　针对APP过度和越界索求手机权限，安全专家表示，APP获取个人信息应遵循3个原则：一是最小必要原则，即APP获取的信息是不是服务的必要数据；二是用户知情原则，即第一次使用APP时，需要提示用户是否开启某项服务，即使选择不开启，也不能影响APP其他功能的正常使用；三是必要保护原则，即APP合规收集用户的数据时，要保证数据安全，确保不被泄露、贩卖和滥用。 　　"应该通过法律规范明确个人信息的收集边界，除特定情况并征得用户授权外，用户本人应绝对掌控自己的个人数据，信息采集方也无权违规使用。"北京师范大学网络法治国际中心执行主任吴沈括说。 　　吴沈括认为，与个人隐私相关的信息重点在于保护，与个人隐私不相关的个人数据重点在防止滥用，"维护数字生态健康发展，必须区分哪些数据是企业可以收集的，哪些数据的收集是要征得用户同意的。" 　　避免个人信息泄露，用户也有必要逐步提高自身安全意识。专家建议，用户要选择正规的渠道下载APP，同时要重视手机隐私权限管理，及时关闭不必要的APP权限。 　　对互联网技术霸凌现象，记者将继续跟踪报道。

You are receiving this email because you subscribed to this feed at blogtrottr.com. By using Blogtrottr, you agree to our policies, terms and conditions. If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions.