三令五申 手机APP“过度索权”问题仍存

　　不给权限就不让用APP，竞争对手索取了权限自己也“不甘人后”。已经成为消费之痛的“过度索权”背后，是企业漠视个人信息保护心态在全行业蔓延带来的“军备竞赛”。

　　三令五申　手机APP“过多索权”问题仍存

　　漫画：“贪心” 新华社发 徐骏 作

　　读取联系人和通讯录，偷偷监控外拨电话，翻看手机通话记录，甚至还开启了录音功能，你的手机也许并不“老实”，甚至即便你安装的手机APP都来自行业领先的“大公司出品”，这些APP的安全性并不能令人完全放心。

　　上海市消保委近期对网购平台、旅游出行、生活服务等39款市场占有率领先的手机APP涉及个人信息权限评测显示，截至3月23日，有9款手机APP存在索取的权限与功能无法对应的问题，涉及聚美、穷游、猫途鹰、神州租车、百度糯米等。

　　比如，穷游APP向用户索取“读取联系人”的权限，但并没有提供相应的功能;神州租车APP向用户索取“录音”“监控外拨电话，重新设置外拨电话的路径”等权限，但也并未能提供相应的功能。

　　此次发布的测评结果，已经是上海市消保委第三次针对手机APP进行的测评，此前已经针对地图类、浏览器类、输入法类以及综合视频类等进行了两轮测评，发现存在数十项无实际功能对照的权限申请，包括读取通讯录、电话权限、短信权限、定位权限等。

　　上海市消保委秘书长陶爱莲说，在三令五申下，APP过度索权问题依然屡禁不止，即使是来自行业领先大公司的APP问题同样突出，已经成为消费者的新痛点。

　　“你要我也要”——“过度索权”四大“怪”

　　漫画：不甘人后 新华社发 王威 作

　　手机APP“过度索权”为何难治?记者调查发现，手机APP过度索权存在四大值得警惕的新趋势，背后是企业利益驱动、诚信缺乏、对个人信息安全保护漠视心态在全行业蔓延带来的“军备竞赛”。

　　——“就是不升级”。在多轮测评中发现，手机APP使用的目标API级别过低的问题比较明显。在本轮测评中，百度糯米APP的用户在安装时，由于目标API级别过低，即便并没有相应的使用场景，也“一揽子授权”了包括“读取联系人”“录音”“读取信息”等敏感权限，否则就无法正常使用该APP。

　　——“假装不知道”。一些企业称，手机APP过度索权是程序员的“锅”。一嗨租车相关负责人表示，企业程序员“开发失误”，“不小心上线了没有使用场景的敏感权限，并没有实际使用该权限”。而猫途鹰则表示企业存在失察的情况，没有主动去检查是否存在索取已经不存在应用场景的权限的问题。

　　北京捷兴信源信息技术有限公司技术支撑部总经理盛大江指出，当目标API级别低于23时，安卓对于权限会采用一揽子授权的模式，存在可规避系统安全机制的漏洞，安全风险比较大。“是否提升API级别、检查索权是否与使用场景对应，是企业的自主选择。尽管工信部在内的监管部门都在提倡提升目标API级别到28，让用户的信息更加安全，但一些企业可能并没有太多的动力主动去提升。”

　　——“千年用一次，也得索个权。”记者梳理和采访专家发现，以读取短信权限为例，企业认为索取这一权限可以方便消费者读取短信验证码，但除了高频发送验证码的金融类等少量APP外，大量的APP需要读取验证码的情形“百里挑一”，但却因此获得了如此敏感的权限，消费者的“隐私让渡回报”明显不足。还有一些手机APP在使用过程中不停“骚扰”消费者获取录音权限，但提供的功能却是少有人使用的“语音播报”。

　　——“用不上，创造条件也要上。”不少手机APP存在索取“非必要权限”的问题。以日历权限为例，测评显示，有10多家手机APP尤其是网购类平台存在获取用户日历的问题。

　　相关企业在回应消保委时表示，日历权限的索取可以方便消费者了解大促信息，但专家指出，相应的功能完全可以通过后台推送的方式实现，并不需要额外获取和调用日历权限，涉嫌滥用使用场景。“万一明天用上了呢?竞争对手有了我也要有。一些企业觉得，就算现在用不上，无法即时对消费者的数据进行商业化的运用，也要先创造条件占上，‘以备后患’，甚至对标竞争对手‘他要我也要’。”

　　自我加压　索权“明明白白”

　　漫画：消费之痛 新华社发 朱慧卿 作

　　陶爱莲指出，希望开发者增强诚信意识，主动作为，更好保护消费者个人信息安全，“上海市消保委将对手机APP过度索权问题密切关注、持续关注。”

　　上海市消保委副秘书长唐健盛说，互联网企业应确保相关应用索取的权限与功能必须相匹配，并妥善使用这些权限，建议行业内的大型企业能尽早推出团体标准，净化市场。同时，消费者也应加强对APP索权的重视程度，谨慎授权。

　　一些互联网公司已经在“自我加压”，主动把索取的权限和消费者“说个明白”。比如，最新更新的手机淘宝APP，不仅将向用户索取的权限以及其使用场景一一说明，还明明白白地告诉消费者如果不愿意索取该项权限、可能影响使用的功能，方便消费者做出选择。

　　近期谷歌发布的Android　Q　beta版中，在原有的拒绝和永久授权两种权限选择之外，还增加了仅在使用期间(运行时)的授权选项。这一版本未来正式上线后，基于这一最新版本的手机APP将能更好保护消费者的信息安全。

免责声明：本文仅代表作者个人观点，与朝闻天下无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
    本网站有部分内容均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责，若因作品内容、知识产权、版权和其他问题，请及时提供相关证明等材料并与我们联系，本网站将在规定时间内给予删除等相关处理.