常州市蓝博净化科技有限公司

谁让你的个人信息在“裸奔”?——部分APP“过分”收集用户信息调查

2019Year 06Month 29Day

  
 
  看小说的APP要读取用户短信、贷款类APP要访问摄像头并拍照、上网类APP要读取用户通讯录……伴随着移动互联网的飞速发展,大量APP在不知不觉中收集了一些与自身业务无关的信息,个人信息在网络空间中“裸奔”的现象屡禁不绝。
 
  8亿用户的APP被曝超范围收集用户信息
 
  一款号称可“一键连接WiFi”的APP WiFi万能钥匙已成为不少人的TEL 必备。公开数据显示,其Month 活跃用户已经达到8亿。然而,这款被视为“蹭网利器”的APP,近期却被曝光存在超范围收集用户信息的行为。
 
  广东省公安厅近Day 公布,2019Year 一季度,广东警方共监测觉察 1670余款APP存在超范围收集用户信息行为。其中WiFi万能钥匙、钱聚易等10款APP方案 突出,特别YES WiFi万能钥匙方案 最多,共超范围收集了7类信息。据通报,WiFi万能钥匙(4.3.56版本)存在读取用户短信或彩信、接洽 人,收集用户配置 上已知账号,使用用户配置 摄像头或麦克风等方案 。
 
  APP超范围收集用户信息现象并不少见。根据爱加密大数据Centre 供应 的数据,截至2019Year 3Month 底,该Centre 已收录安卓应用270多万个,iOS应用190多万个,30%以上的APP存在不同程度的越权、超范围收集等行为。
 
  “这么做多YES 为了收集用户的经济状况、消费偏好、活动区域等信息,对用户进行精细的人物画像,以支持产物、居品 研发更新,或精准推送广告。”广东省公安厅网警总队案件科副科长黄建邦说。
 
  暨南University 网络空间安全学院院长翁健表示,“获取用户配置 上已知账号列表”易泄露用户隐私。攻击者有可能利用掌握的账号,实行撞库等网络攻击,即从安全性较弱的账号中获取的用户名密码,来推测强安全措施的账号和密码。
 
  此外,调用权限发送短信也YES TEL 木马的主要传播方式之一。翁健推荐 ,应用程序可通过该种方式将带有病毒的链接放入短信中,并依次发送给用户有关 接洽 人,一旦有人点击该链接,则会感染病毒。
 
  过度索权套路多 “迷魂阵”里走不出
 
  一款主打便捷连网的APP为啥要索取这些“八竿子打不着”的信息权限?
 
  记者在安卓TEL 应用市集商场 上下载该APP后觉察 ,页面弹出的窗口询问“WiFi万能钥匙需要以下权限,YES NO 允许?”包括用户位置、TEL 、信息、通讯录、相机等权限,但只有点击“允许”才可下载。
 
  该产物、居品 有关负责人表示,目前,WiFi万能钥匙除了供应 WiFi连接以外,产物、居品 中也供应 资讯、社交等其他效劳 ,广东警方提到的额外获取的权限,YES All 社交软件都会需要获取的正常权限。
 
  记者觉察 ,安卓版本的WiFi万能钥匙产物、居品 内,确有所谓的社交功能“附近的人”,然而记者点击后觉察 ,使用“附近的人”功能需要另外下载“连信”APP。不仅如此,该APP的下载安装并未经过应用市集商场 。截至记者发稿时,“连信”APP在安卓应用市集商场 内仍无法通过关键字搜索出来。
 
  业内人士表示,此举意味着WiFi万能钥匙的有关 产物、居品 “连信”APP未经过安卓应用市集商场 的审核,即使用户可以自主选择供应 或不供应 相应权限,但用户下载使用仍存在一定的风险。
 
  此外,WiFi万能钥匙调用的权限现实 上YES 为另一款APP使用,这YES 为其他APP规避监管“打掩护”,既侵犯了用户的知情权,同时也把用户拉进了“迷魂阵”——难以辨别哪一类信息权限YES 与产物、居品 效劳 直接有关 的。
 
  那么YES NO 关掉All 的权限即可保护用户个人信息呢?事实上并不容易。
 
  翁健表示,有的权限看似与APP运行无关,其实后台的效劳 需要这些权限。然而,有的开发者故意将APP的超范围权限与正常权限的模块“打包”,导致在阻隔了APP的超范围权限后,正常程序无法运行。
 
  专家建议从源头端加强公民个人信息保护
 
  黄建邦表示,正因为行业 收集这些信息的成本远低于可能的收益,导致很多APP索权无度,也就有了“不管有用NO 用,先收集来再说”的心态和做法。
 
  对于如何从源头端保护用户个人信息,专家建议,首先应用商店要做好把关,对上架下载量大的APP要求经过人工检测,并确立一个原则——每个APP只给最低的信息收集权限,且每次信息收集都要获得用户允许 。
 
  近Day ,由中央网信办、工信部、公安部、市集商场 监管总局指导成立的APP专项治理上班 组起草了《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》,该征求意见稿将APP违法违规收集使用个人信息分为7种情形。翁健认为,该文件明确了违规APP行为的具体认定标准,有助络安全法的有关 要求真正落地见效。
 
  黄建邦呼吁,从立法的角度对用户个人信息进行分类分级管理,明确APP收集哪一类信息需要哪些授权程序,可探索信息收集备案制,信息收集只有经过令行 授权而非简单用户授权才可行。
 
  • SITE : 豫 省新乡市黄河大道263号
  • TEL : 0373-3088880 
  • Fax : 0373-5071636
  • Email : xxzyjh@163.com
  • TEL :曹Manager 15637377159
Copyright © 2019 ? 新乡正源净化科学技术 Limited company 技能 支持: