聚美、貝貝等9款App涉嫌過度獲取權限!當心你的“日曆”被偷看……
裝個地圖APP
卻要授權通訊錄和短信?
這種情況你遇到過嗎
今年1月,上海市消保委聯合《中國消費者報》上海記者站委託北京捷興信源信息技術有限公司,對網購平臺、旅遊出行、生活服務等39款手機APP開展涉及個人信息權限評測。
而截止到3月23日,仍有9款應用未能就其權限和功能無法對應的問題進行改進。
39款手機APP涉及網購平臺、旅遊出行類平臺、生活服務類平臺。
本次評測主要從四個維度進行:
1
APP所使用的目標API級別。當目標API級別低於23時,安卓對於權限會採用一攬子授權的模式 ,存在可規避系統安全機制的漏洞;
2
APP敏感權限的數量。重點關注安卓系統中與個人信息密切相關的有29權限的申請和使用;
3
注敏感權限的授權方式。是否存在一攬子授權的模式,如何向用戶提出授權請求;
4
查看是否存在無實際功能對應用的權限申請。
評測結果
-1-
本次評測發現
14款應用敏感權限與實際功能
均能對應
-2-
上海市消保委與
手機APP企業進行溝通
16款應用完成改進
爲推動相關問題的解決,上海市消保委與手機APP企業進行技術溝通,相關企業也在排查後對存在的問題作出解釋和優化意見。
在前期溝通確認中,有8款應用第一時間進行溝通,並通過刪除敏感權限、升級版本等方式快速對存在的問題作出解釋和優化。
在本次會議前(截止到3月23日),上海市消保委再次進行了測試,又有8款應用完成了改進。
-3-
仍有9款應用
未能就其權限和功能
無法對應的問題進行改進
截止到3月23日,仍有9款應用未能就其權限和功能無法對應的問題進行改進。問題涉及發送短信、錄音、撥打電話、讀取聯繫人、“監控外撥電話,重新設置外撥電話的路徑”、接收訊息(短信)、讀取通話記錄等敏感權限未找到對應功能及目標API級別低等。
(截至2019年3月23日)
提醒!關於日曆權限
本次評測發現,不少網購類APP獲取了日曆權限,而調查也表明,超過半數的消費者在使用日曆功能記錄工作和個人日常安排等信息。這些信息涉及個人信息、商業機密等,而消費者對日曆權限的重視度非常低。
上海市消保委通過上海市消保委、上海新消費微信公衆號和騰訊大申網開展的網絡調查顯示:
69.9%的消費者關注手機APP獲取個人權限問題。其中,通訊錄權限最爲關注,佔43.5%;26%的消費者關注電話、短信權限。值得關注的是,僅有0.4%的消費者關注日曆權限。
而52.5%的消費者用手機日曆功能記錄個人行程。其中,24.7費者選擇記錄日常生活行程;18.5%的消費者記錄日常生活及工作等行程。
重要提醒!
網購類平臺使用日曆權限
給消費者帶來的場景
可以用其他技術手段加以替代
上海市消保委建議
如消費者經常使用日曆記錄敏感事項,對APP的日曆權限應謹慎授權;
APP開發者如無十分必要,建議儘可能不使用手機日曆權限。