智能家居APP(应用软件)要上传用户的WiFi(无线网络)密码,阅读APP要读取用户通讯录,游戏APP要获取用户的位置……智能手机时代,丰富的手机应用为使用者的日常生活带来极大便利,但一些过度索取权限的APP,也给用户的信息安全造成不小的隐患。
治理手机应用“越位”、保护个人信息安全,不能只靠用户的“火眼金睛”,更需为APP的权限划定界限。
恶意APP数量在增长
二季度,工信部组织对55家手机应用商店的应用软件进行技术检测,发现违规软件42款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他应用软件等问题,已责令下架。
调取手机的某些权限,是手机APP正常运行的必经步骤。记者调查发现,在安卓手机中,有以下几个权限最常被调取。其一是“读取已安装应用列表”,借此可以了解和分析用户的使用习惯;其二是“读取本机识别码”,主要用来确定用户的身份;其三是“读取位置信息”,通过获取位置,搜集用户的活动范围,例如导航类软件就必须调取这一权限。
然而,并非所有的APP都能做到“安分守己”。一段时间以来,手机APP过度调用权限、获取用户信息等行为时常见诸报端。尤其是大量山寨和盗版APP,通过调用大量权限的方式,侵害用户的个人隐私和财产安全。
据统计,2016年,12321网络不良与垃圾信息举报受理中心共接到不良手机应用有效举报1085455件次,同比上升49.1%,山寨应用窃取用户信息等问题最为突出。同年,国家计算机网络应急技术处理协调中心(CNCERT)通过自主捕获和厂商交换获得移动互联网恶意程序205万余个,较2015年增长39%。
业内人士表示,类似的恶意手机应用程序,虽然在正规的网站和应用商店中受到一定的控制,但通过非正规应用商店途径传播的情况还在增长。
积累用户数据才是目的
DCCI互联网数据中心在《2016年中国安卓手机隐私安全报告》显示,非游戏类APP获取隐私权限普遍增多,越界行为增长明显。例如,高达13%的非游戏类APP越界获取“位置信息”权限,9.1%的非游戏类APP越界获取“访问联系人”权限;高达26%的APP越界获取“位置信息”权限。
除了过度获取权限外,还有的APP以更隐蔽的方式获取用户信息。近日,有文章称,京东旗下一款名为“京东微联”的智能家居应用软件,在没有明确告知用户的前提下,擅自将用户的WiFi密码上传至服务器。对此,京东技术团队回应称,虽然黑客对HTTPS(安全超文本传输协议)传输通道的劫持是比较困难的,但京东微联未来会对敏感信息进行二次加密。
因为这一行为涉嫌侵犯用户的个人信息,存在一定的安全隐患,在网络上引起了不小的争议。在事件之外,人们也在讨论,为何有如此多APP热衷“越位”,获得用户信息?
有业内人士指出,手机APP往往可以免费下载,但互联网企业要通过应用营销变现,就需要尽可能多地收集用户数据。数据越多,越有精准营销的优势。虽然未必所有的数据都有用,但在大数据时代,足量的数据就意味着更多的商机。
加强监管才能治本
数据显示,截至去年,中国的手机APP数量已超过1700万个。从聊天、吃饭到购物、出行,手机应用与日常生活的结合日益紧密。一旦过度索取权限的行为泛滥,将大大增加用户信息泄露的风险。
事实上,对于这一行为,相关部门早有规定。《移动互联网应用程序信息服务管理规定》指出,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能。今年6月1日起施行的《网络安全法》也规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息。
尽管有明确规定,但仍有互联网企业顶风作案,其中甚至不乏互联网巨头。业内人士指出,大企业尚且如此,小企业就更“上行下效”了。此外,目前对于不守法者的惩罚缺乏明确规定,缺少知名判例或罚则,由此也让互联网企业有了侥幸心理。
对于应用授权等手机安全问题,可以依靠用户自身防范加以避免,但目前的现状不容乐观。数据显示,用户对各类手机安全风险的认知仍需加强,有超过1/4的用户在遭遇手机信息安全事件后不会采取任何措施进行处理。
对此,业内人士指出,加强监管和执法力度,才是解决此类问题的治本之策。监管部门可以从应用商店入手,通过管理平台间接管理APP,加强应用商店的审核标准,不断改善APP过度索取用户信息的局面。