日历权限随意授权风险大 25款App收集个人敏感信息
25款App收集个人敏感信息
市消保委提示:“日历”权限随意授权风险大
市消保委提供 (截至2019年3月23日)
你有在手机“日历”上记录重要行程、事件的习惯吗?殊不知,你的隐私会被手机App“偷窥”。昨天,上海市消保委发布了针对39款网购平台、旅游出行、生活服务等手机App涉及个人信息权限的评测结果通报,发现有25款存在问题,其中9款至今未整改,而“日历”权限的过度申请和随意授权更令人担忧。
9款App仍在收集敏感权限
本次主要评测四个方面,包括App所使用的目标API级别、App敏感权限的数量、敏感权限的授权方式(即是否存在一揽子授权),及查看是否存在无实际功能对应用的权限申请。
结果发现,15款网购平台类App中10款存在问题,13款旅游平台类APP中7款有问题,11款生活平台类App中8款有问题。截至3月23日,仍有9款App尚在收集敏感个人权限,包括聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1)、神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)等。
这些App的主要问题在于,申请了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限,却未在应用中进行使用。
饿了么涉嫌读取通话记录
涉及的39款App,共有37家来到现场,部分企业代表做出了回应。“一嗨租车”表示,“短信权限是开发时的失误造成的,但并未去用,也没有运用的场景,在新版本中已去除”。
“饿了么”则申请了11个权限,包括拨打电话、日历等。在测试新版本时,专家发现旧版中的拨打电话和日历权限已删除,但又新增了“读取通话记录”权限。在现场,饿了么回应称,该权限“在不知情的情况下上线,3月22日已下线”。
而“格瓦拉”申请的短信、通讯录、麦克风3个权限并未找到对应功能。格瓦拉回应称,在3月26日发布的新版本中,已取消了上述3个权限。“聚美”申请了12个权限,但专家认为通讯录和日历权限并不必要。“贝贝”申请的8个权限中,麦克风权限在实际运用中并未发现。而“穷游”申请的电话、通讯录权限,“猫途鹰”申请的电话权限,“神州租车”申请的电话、监控外拨电话和重新设置外拨电话的路径、麦克风等权限,也未在对应功能中发现。
“日历”让生活工作都暴露
发布会上,上海市消保委特别对“日历”权限进行了提示。调查发现,52.5%的消费者用手机日历记录重要行程。其中,27.5%会记录日常生活行程,18.5%会记录生活及工作等。虽然常用日历记录行程,但只有0.4%的消费者关注“日历”权限有否被滥用。
“App为何要申请日历权限?有些平台告诉我们,如果平台上有抢购,消费者点击‘关注’,就会将信息放在日历中,抢购前可以提醒。但我们咨询了技术专家,这个功能完全可以通过后台的信息推送等别的途径来实现。”上海市消保委副秘书长唐健盛说。
市消保委认为,日历权限与个人隐私的密切度比通讯录等权限还要高,将日历权限授权给App,带来的风险远大于便利。消保委建议,经常用日历来记录敏感事项的消费者,在授权时要谨慎。而App开发者如无十分必要,建议尽可能不开发日历权限。
上海市消保委秘书长陶爱莲表示,沪消保委近年来持续关注App对于个人信息的获取,此次发布的调查已是第三期。但从发布情况来看,个人敏感权限的收集仍是较突出的问题,而企业并不会主动反思或下线。消费者越来越关注个人隐私的保护,拼命防守但防不胜防。政府和企业应创造放心安全的消费环境,让消费者更“敢”消费。
本报记者 金旻矣
中国观察