看小說的APP要讀取用戶短信、貸款類APP要拜訪攝像頭并拍照、上網(wǎng)類APP要讀取用戶通訊錄……伴隨著移動互聯(lián)網(wǎng)的飛速發(fā)展,大量APP在不知不覺中搜集了一些與本身業(yè)務(wù)無關(guān)的信息,個人信息在網(wǎng)絡(luò)空間中“裸奔”的現(xiàn)象屢禁不絕。
8億用戶的APP被曝超范圍搜集用戶信息
一款號稱可“一鍵連接WiFi”的APP WiFi萬能鑰匙已成為不少人的手機必備。揭露數(shù)據(jù)顯示,其月活躍用戶現(xiàn)已到達8億。但是,這款被視為“蹭網(wǎng)利器”的APP,近期卻被曝光存在超范圍搜集用戶信息的行為。
廣東省公安廳近來公布,2019年一季度,廣東警方共監(jiān)測發(fā)現(xiàn)1670余款A(yù)PP存在超范圍搜集用戶信息行為。其中WiFi萬能鑰匙、錢聚易等10款A(yù)PP問題杰出,特別是WiFi萬能鑰匙問題最多,共超范圍搜集了7類信息。據(jù)通報,WiFi萬能鑰匙(4.3.56版別)存在讀取用戶短信或彩信、聯(lián)系人,搜集用戶設(shè)備上已知賬號,運用用戶設(shè)備攝像頭或麥克風(fēng)等問題。
APP超范圍搜集用戶信息現(xiàn)象并不少見。根據(jù)愛加密大數(shù)據(jù)中心供給的數(shù)據(jù),到2019年3月底,該中心已錄入安卓運用270多萬個,iOS運用190多萬個,30%以上的APP存在不同程度的越權(quán)、超范圍搜集等行為。
“這么做多是為了搜集用戶的經(jīng)濟狀況、消費偏好、活動區(qū)域等信息,對用戶進行精細的人物畫像,以支持產(chǎn)品研制更新,或精準推送廣告。”廣東省公安廳網(wǎng)警總隊案件科副科長黃建邦說。
暨南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長翁健表明,“獲取用戶設(shè)備上已知賬號列表”易走漏用戶隱私。攻擊者有或許運用把握的賬號,實行撞庫等網(wǎng)絡(luò)攻擊,即從安全性較弱的賬號中獲取的用戶名暗碼,來估測強安全措施的賬號和暗碼。
此外,調(diào)用權(quán)限發(fā)送短信也是手機木馬的主要傳播方法之一。翁健介紹,運用程序可通過該種方法將帶有病毒的鏈接放入短信中,并順次發(fā)送給用戶相關(guān)聯(lián)系人,一旦有人點擊該鏈接,則會感染病毒。
過度索權(quán)套路多 “迷魂陣”里走不出
一款主打快捷連網(wǎng)的APP為啥要討取這些“八棍子撂不著”的信息權(quán)限?
記者在安卓手機運用商場上下載該APP后發(fā)現(xiàn),頁面彈出的窗口詢問“WiFi萬能鑰匙需求以下權(quán)限,是否答應(yīng)?”包括用戶方位、電話、信息、通訊錄、相機等權(quán)限,但只要點擊“答應(yīng)”才可下載。
該產(chǎn)品有關(guān)負責(zé)人表明,目前,WiFi萬能鑰匙除了供給WiFi連接以外,產(chǎn)品中也供給資訊、社交等其他服務(wù),廣東警方提到的額定獲取的權(quán)限,是一切社交軟件都會需求獲取的正常權(quán)限。
記者發(fā)現(xiàn),安卓版別的WiFi萬能鑰匙產(chǎn)品內(nèi),確有所謂的社交功用“鄰近的人”,但是記者點擊后發(fā)現(xiàn),運用“鄰近的人”功用需求別的下載“連信”APP。不僅如此,該APP的下載安裝并未通過運用商場。到記者發(fā)稿時,“連信”APP在安卓運用商場內(nèi)仍無法通過關(guān)鍵字搜索出來。
業(yè)內(nèi)人士表明,此舉意味著WiFi萬能鑰匙的相關(guān)產(chǎn)品“連信”APP未通過安卓運用商場的審閱,即運用戶能夠自主選擇供給或不供給相應(yīng)權(quán)限,但用戶下載運用仍存在必定的風(fēng)險。
此外,WiFi萬能鑰匙調(diào)用的權(quán)限實際上是為另一款A(yù)PP運用,這是為其他APP躲避監(jiān)管“打掩護”,既侵犯了用戶的知情權(quán),同時也把用戶拉進了“迷魂陣”——難以辨別哪一類信息權(quán)限是與產(chǎn)品服務(wù)直接相關(guān)的。
那么是否關(guān)掉一切的權(quán)限即可維護用戶個人信息呢?事實上并不容易。
翁健表明,有的權(quán)限看似與APP運轉(zhuǎn)無關(guān),其實后臺的服務(wù)需求這些權(quán)限。但是,有的開發(fā)者故意將APP的超范圍權(quán)限與正常權(quán)限的模塊“打包”,導(dǎo)致在阻隔了APP的超范圍權(quán)限后,正常程序無法運轉(zhuǎn)。
專家建議從源頭端加強公民個人信息維護
黃建邦表明,正因為企業(yè)搜集這些信息的本錢遠低于或許的收益,導(dǎo)致很多APP索權(quán)無度,也就有了“不論有用沒用,先搜集來再說”的心態(tài)和做法。
對于如何從源頭端維護用戶個人信息,專家建議,首要運用商店要做好把關(guān),對上架下載量大的APP要求通過人工檢測,并確立一個原則——每個APP只給最低的信息搜集權(quán)限,且每次信息搜集都要取得用戶答應(yīng)。
近來,由中央網(wǎng)信辦、工信部、公安部、商場監(jiān)管總局指導(dǎo)成立的APP專項管理工作組起草了《APP違法違規(guī)搜集運用個人信息行為認定方法(征求意見稿)》,該征求意見稿將APP違法違規(guī)搜集運用個人信息分為7種情形。翁健認為,該文件明確了違規(guī)APP行為的詳細認定規(guī)范,有助于網(wǎng)絡(luò)安全法的相關(guān)要求真實落地收效。
黃建邦呼吁,從立法的角度對用戶個人信息進行分類分級管理,明確APP搜集哪一類信息需求哪些授權(quán)程序,可探索信息搜集備案制,信息搜集只要通過法律授權(quán)而非簡單用戶授權(quán)才可行。
8億用戶的APP被曝超范圍搜集用戶信息
一款號稱可“一鍵連接WiFi”的APP WiFi萬能鑰匙已成為不少人的手機必備。揭露數(shù)據(jù)顯示,其月活躍用戶現(xiàn)已到達8億。但是,這款被視為“蹭網(wǎng)利器”的APP,近期卻被曝光存在超范圍搜集用戶信息的行為。
廣東省公安廳近來公布,2019年一季度,廣東警方共監(jiān)測發(fā)現(xiàn)1670余款A(yù)PP存在超范圍搜集用戶信息行為。其中WiFi萬能鑰匙、錢聚易等10款A(yù)PP問題杰出,特別是WiFi萬能鑰匙問題最多,共超范圍搜集了7類信息。據(jù)通報,WiFi萬能鑰匙(4.3.56版別)存在讀取用戶短信或彩信、聯(lián)系人,搜集用戶設(shè)備上已知賬號,運用用戶設(shè)備攝像頭或麥克風(fēng)等問題。
APP超范圍搜集用戶信息現(xiàn)象并不少見。根據(jù)愛加密大數(shù)據(jù)中心供給的數(shù)據(jù),到2019年3月底,該中心已錄入安卓運用270多萬個,iOS運用190多萬個,30%以上的APP存在不同程度的越權(quán)、超范圍搜集等行為。
“這么做多是為了搜集用戶的經(jīng)濟狀況、消費偏好、活動區(qū)域等信息,對用戶進行精細的人物畫像,以支持產(chǎn)品研制更新,或精準推送廣告。”廣東省公安廳網(wǎng)警總隊案件科副科長黃建邦說。
暨南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長翁健表明,“獲取用戶設(shè)備上已知賬號列表”易走漏用戶隱私。攻擊者有或許運用把握的賬號,實行撞庫等網(wǎng)絡(luò)攻擊,即從安全性較弱的賬號中獲取的用戶名暗碼,來估測強安全措施的賬號和暗碼。
此外,調(diào)用權(quán)限發(fā)送短信也是手機木馬的主要傳播方法之一。翁健介紹,運用程序可通過該種方法將帶有病毒的鏈接放入短信中,并順次發(fā)送給用戶相關(guān)聯(lián)系人,一旦有人點擊該鏈接,則會感染病毒。
過度索權(quán)套路多 “迷魂陣”里走不出
一款主打快捷連網(wǎng)的APP為啥要討取這些“八棍子撂不著”的信息權(quán)限?
記者在安卓手機運用商場上下載該APP后發(fā)現(xiàn),頁面彈出的窗口詢問“WiFi萬能鑰匙需求以下權(quán)限,是否答應(yīng)?”包括用戶方位、電話、信息、通訊錄、相機等權(quán)限,但只要點擊“答應(yīng)”才可下載。
該產(chǎn)品有關(guān)負責(zé)人表明,目前,WiFi萬能鑰匙除了供給WiFi連接以外,產(chǎn)品中也供給資訊、社交等其他服務(wù),廣東警方提到的額定獲取的權(quán)限,是一切社交軟件都會需求獲取的正常權(quán)限。
記者發(fā)現(xiàn),安卓版別的WiFi萬能鑰匙產(chǎn)品內(nèi),確有所謂的社交功用“鄰近的人”,但是記者點擊后發(fā)現(xiàn),運用“鄰近的人”功用需求別的下載“連信”APP。不僅如此,該APP的下載安裝并未通過運用商場。到記者發(fā)稿時,“連信”APP在安卓運用商場內(nèi)仍無法通過關(guān)鍵字搜索出來。
業(yè)內(nèi)人士表明,此舉意味著WiFi萬能鑰匙的相關(guān)產(chǎn)品“連信”APP未通過安卓運用商場的審閱,即運用戶能夠自主選擇供給或不供給相應(yīng)權(quán)限,但用戶下載運用仍存在必定的風(fēng)險。
此外,WiFi萬能鑰匙調(diào)用的權(quán)限實際上是為另一款A(yù)PP運用,這是為其他APP躲避監(jiān)管“打掩護”,既侵犯了用戶的知情權(quán),同時也把用戶拉進了“迷魂陣”——難以辨別哪一類信息權(quán)限是與產(chǎn)品服務(wù)直接相關(guān)的。
那么是否關(guān)掉一切的權(quán)限即可維護用戶個人信息呢?事實上并不容易。
翁健表明,有的權(quán)限看似與APP運轉(zhuǎn)無關(guān),其實后臺的服務(wù)需求這些權(quán)限。但是,有的開發(fā)者故意將APP的超范圍權(quán)限與正常權(quán)限的模塊“打包”,導(dǎo)致在阻隔了APP的超范圍權(quán)限后,正常程序無法運轉(zhuǎn)。
專家建議從源頭端加強公民個人信息維護
黃建邦表明,正因為企業(yè)搜集這些信息的本錢遠低于或許的收益,導(dǎo)致很多APP索權(quán)無度,也就有了“不論有用沒用,先搜集來再說”的心態(tài)和做法。
對于如何從源頭端維護用戶個人信息,專家建議,首要運用商店要做好把關(guān),對上架下載量大的APP要求通過人工檢測,并確立一個原則——每個APP只給最低的信息搜集權(quán)限,且每次信息搜集都要取得用戶答應(yīng)。
近來,由中央網(wǎng)信辦、工信部、公安部、商場監(jiān)管總局指導(dǎo)成立的APP專項管理工作組起草了《APP違法違規(guī)搜集運用個人信息行為認定方法(征求意見稿)》,該征求意見稿將APP違法違規(guī)搜集運用個人信息分為7種情形。翁健認為,該文件明確了違規(guī)APP行為的詳細認定規(guī)范,有助于網(wǎng)絡(luò)安全法的相關(guān)要求真實落地收效。
黃建邦呼吁,從立法的角度對用戶個人信息進行分類分級管理,明確APP搜集哪一類信息需求哪些授權(quán)程序,可探索信息搜集備案制,信息搜集只要通過法律授權(quán)而非簡單用戶授權(quán)才可行。