APP“偷看”短信还上传 “老板给我涨工资了”明文可见

不给说“不”的权利，App强制索权遭诟病

在测评中，南都记者还发现，部分移动金融App通过捆绑甚至强制获取的方式，要求用户一次性同意多项敏感权限。

以“融360”和“钱站”为例，当使用华为手机(安卓版本8.0)在华为应用商店下载安装这两款App时，页面弹窗需要获取用户的以下权限：存储、电话、位置信息、相机、麦克风、通讯录、信息、通话记录、其他等九大类敏感权限，并要求用户一揽子选择“允许”或“取消”。

通过华为应用商店安装融360和钱站时出现的提示。

另一款名为“金信宝”的App捆绑索取的权限也较多，当初次打开应用时，要求获得“存储”权限并提示有版本更新，更新安装后申请获取用户GPS信息、读取通讯录、拍摄照片和视频等12项权限。

金信宝要求安装新版本。

一旦点击“取消”，用户即无法正常安装这款App。南都记者在测评中发现，类似的问题至少出现在16款App内，其中近一半为移动金融类App。

另有部分App存在不同意授权个别权限，无法正常使用的情况。比如“LOHAS乐活”，如果用户不同意授权摄像头、录音权限便会出现频繁弹出，无法使用的情况，“新浪有借”在用户初次打开App时要求获得存储、电话权限，拒绝后也出现无法打开的问题。

“不同意就退出”，不授予权限连打开App的可能都没有，这实际上是一种变相的强迫同意。

上海市信息安全行业息会副主任张威告诉南都记者，Android 5.0应用系统基本采用一揽子授权的方式，但随着Android版本的升高，开始对权限的管理进行区分，获取用户敏感权限需经过同意，但现阶段仍有部分App存在这种打擦边球的行为，模糊授权的界限。

根据《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循必要的原则，不得收集与其提供的服务无关的个人信息。南都记者关注到，今年2月，《个人信息安全规范》修订草案中特别新增了“不得强迫收集个人信息的要求”。

App行为测试：用户短信“老板该给我涨工资了”明文可见

在现实情况中，一款App在应用商店或首次开启后显示申请的权限并不意味着实际只调取这些权限。对用户而言，也很难知晓相关代码是否被执行，或者有无足够必要性。

为此，除了考察被测App隐私政策透明度，用户端实际操作行为合规外，在此次测评中，南都个人信息保护研究中心分别通过两个途径，利用技术手段对部分App的iOS客户端和Android客户端个人信息收集情况进行分析。这两种渠道分别是利用“直节隐私合规助手”进行测评分析，以及联合第三方测评机构中国金融认证中心(CFCA)技术检测手段进行分析。

根据中国金融认证中心(CFCA)的测试结果，Android版本号为3.4.6的“融360”存在如下问题：如果用第三方账号登录，App会将用户第三方平台上的社保与公积金查询账号密码发送至己方的业务服务器，由后台代为查询，并且使用的是明文传输。

中国金融认证中心认为，如果明文传输，黑客很容易就能通过网络嗅探和劫持的方法获得这些信息，存在安全风险。

测试结果显示融360在后台明文传输社保账号。

另一款名为“榕树贷款”的Android 3.3.3版本App，除了存在上述行为，还被检测捕捉到应用调用系统接口获取通话记录、联系人信息、短信记录等行为，并在数据流量中发现上送信息。在对“榕树贷款”的短信记录权限进行检测时，类似“老板该给我涨工资了”的短信内容明文可见。

测试结果显示榕树贷款获取了用户短信。

值得一提的是，检测显示，铁友火车票在运行过程中会不断获取系统的剪切板内容。

测试结果显示铁友火车票不断获取手机剪切板内容。

此外，这款App还存在向第三方服务器明文传输用户个人信息的行为。比如传输能够标记到个人的用户与设备之间的绑定信息，在运行中不断获取的地理位置信息不仅上传到自身服务器，还向数个第三方服务器发送，过程中包含其他隐私信息。

铁友火车票存在向第三方服务器明文传输用户的个人信息行为。

直节隐私合规助手的测试结果显示，铁友火车票App向系统申请了17个敏感权限，但安装包里存在敏感权限相关的API调用(有使用可能)则有19个，其中，读取短信、接收短信等敏感权限是App中未申请但调用API的相关权限。这意味着，这款App自身或者集成的第三方工具包代码中存在冗余代码。冗余代码具备在App版本更新时，在用户不知情的情况下调用敏感权限的可能。

铁友火车票获取多项敏感权限。

此外，直节隐私合规助手测评结果显示，一些App会使用大量的SDK(软件开发工具包，可以理解为一种植入App的第三方工具包)，这些SDK也会获取使用权限，例如铁友火车票App嵌入了56款SDK，融360也嵌入了49款SDK。不少SDK需要获取用户的网络连接、精确地理位置、手机状态与身份等用户信息。

铁友火车票A嵌入56款SDK。

融360嵌入49款SDK。

专家指出，获取权限首先应该符合必要性原则，即与一定的场景与功能相关，没有该项权限这一功能无法实现;其次应该获取用户的知情同意。但第三方SDK获取的权限往往不会在一款App的隐私政策中提及，更不用说告知用户具体使用的场景和功能，因此很难说已经获取了用户的同意。

如何破解一揽子授权？专家意见不一

不难理解，在经济利益的驱使下，网络运营者有着天然的冲动最大限度地收集个人信息。

“对厂商来讲，能拿到的用户信息越多越好，这有利于分析用户的使用习惯。而知道了用户习惯就能更好地推送产品。”中国网络空间安全人才教育联盟秘书长，广州大学鲁辉副研究员告诉南都记者，“但是绝对不能以牺牲用户的隐私为前提。”

“从根本上说，这些为了占有更多数据的不合理的权限申请是对消费者基本权益的严重侵害，也是垄断和不正当竞争无限孵化的温床。”南京信息工程大学法政学院教授蒋洁直言。

如何打破一揽子授权，解决App过度收集个人信息的问题?有观点认为，应对App调用的权限进行动态的单独授权，以达到用户信息最小化授权的效果。

南都记者注意到，这也是此次《个人信息安全规范》修订草案提出的新方案，即当产品或服务提供多项需收集个人信息的业务功能时，平台不得违背用户的自主意愿，强迫用户接受信息收集请求，不得通过捆绑各项业务功能的方式，要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求。

如何理解?鲁辉对南都记者解释，以某些需要身份识别的App为例，用户在App上办理业务时，需要用户的人脸信息或者语音信息，这时就需要获得手机的拍照和录音权限。这个听起来是合理的，使用的时候可能也是必须的。“但是问题在于，用户是否有必要一直给予这种权限，还是说只需要在用到拍照或录音功能的那几分钟临时授权就行。”

在鲁辉看来，从保护用户隐私角度，应该是临时授权，并且这在技术上实现起来并不难，但是很多App并未做到。

鲁辉还表示，用户在安装App时需要有保护隐私的意识，不要随意输入自己的姓名、证件号、住址等信息，而诸如定位、通讯录、通话记录、摄像头和录音等敏感权限，在授予平台时，需要格外谨慎。“当用户的安全意识提高了，App开发者自然不敢随便索权了。”鲁辉说。

“如果一概要求重新授权，可能会降低用户体验。但一揽子的授权方式又会给个人信息安全带来较大风险。”蒋洁对南都记者表示，目前获得较多赞同的说法是区分功能性质，对于App的基本功能或主体功能及其更新，可以进行一揽子授权，而对于拓展功能或辅助功能，则需要再次授权。

值得一提的是，App的信息安全已经引起官方重视。今年1月底，中央网信办联合工信部、公安部、市场监管总局等四部门表态，今年将在全国范围内发起专项治理活动。严重违法违规收集个人信息的App运营者，将被依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

在蒋洁看来，除了大幅提升违法违规企业的惩罚力度，还需制定App过度索权的评估标准和有力的监管体系，并健全救济机制。

鲁辉则表示，用户在安装App时需要有保护隐私的意识，不要随意输入自己的姓名、证件号信息，诸如定位、通讯录、通话记录、摄像头和录音等敏感权限在授予平台时，需格外谨慎。

“当用户的安全意识提高了，App开发者自然不敢随便索权了。”鲁辉说。

(文中小媛为化名)

统筹：南都记者 娜迪娅

采写：南都记者 李玲 蒋琳 冯群星 尤一炜 钱柳君

作者：娜迪娅

上一页 1 2 下一页

　　 原标题：APP“偷看”短信还上传 “老板给我涨工资了”明文可见