男子使用情趣用品時(shí)被錄音 安卓應(yīng)用存在過(guò)度授權(quán)、權(quán)限濫用

這些“越界”的權(quán)限是哪些？

　　以“王者榮耀攻略”為例，該APP由呂元飛開發(fā)，提供游戲相關(guān)圖片和視頻，基本只有展示功能，但它要求獲取修改系統(tǒng)設(shè)置、地理位置、查看手機(jī)狀態(tài)和身份等明顯與核心業(yè)務(wù)不相關(guān)的功能。

　　圓圓是一名王者榮耀玩家，她告訴南都記者，自己下載“王者榮耀攻略”就是想看看攻略，學(xué)習(xí)怎么把游戲打得更好，并未留意會(huì)收集自己哪些信息。“一般APP如果收集位置信息不是會(huì)提示么，我沒(méi)有收到提示哎。而且這個(gè)APP顯示通過(guò)安全檢測(cè)，就沒(méi)有看過(guò)其他的了”，圓圓說(shuō)。

　　事實(shí)上，多數(shù)用戶都與圓圓一樣，對(duì)于應(yīng)用普遍存在獲取 “越界”權(quán)限的問(wèn)題并不注意。

　　在南都記者查看的50款A(yù)PP中，最嚴(yán)重的當(dāng)屬“獲取精確位置”權(quán)限，有29個(gè)無(wú)相關(guān)功能的APP要求獲取，匪夷所思的是，其中還包含不少主題類和視頻類APP。

　　19個(gè)APP擁有“讀取通訊錄”的權(quán)限，其中也不乏只有幾張圖片的主題壁紙類應(yīng)用。

　　這些權(quán)限無(wú)一例外與APP的核心功能毫不相關(guān)，卻與用戶隱私有著密不可分的關(guān)系。

　　位置信息可以用來(lái)勾勒出用戶的行動(dòng)范圍和路線，從而精確定位到個(gè)人；通訊錄則包含了他人的電話號(hào)碼，一旦授權(quán)獲取并被用于商業(yè)目的，將對(duì)自己和他人都造成困擾。

　　南都記者此前就報(bào)道過(guò)，一些社交應(yīng)用強(qiáng)制要求用戶在注冊(cè)時(shí)開放通訊錄權(quán)限，并利用獲取到的聯(lián)系人信息發(fā)送推廣短信，很多人不勝其擾。

　　一些應(yīng)用強(qiáng)制獲取用戶的聯(lián)系人數(shù)據(jù)并群發(fā)廣告短信。

　　還有更“奇葩”的。豌豆莢里的“王者榮耀瀏覽器”被安裝到手機(jī)之后，除了拍照、位置信息的權(quán)限，它還要求用戶開放錄音權(quán)限。也就是說(shuō)，一個(gè)瀏覽器也可以隨時(shí)對(duì)你錄音。

　　據(jù)安卓市場(chǎng)官方簡(jiǎn)介，“王者榮耀瀏覽器”由“廣州掌闊信息科技有限公司”開發(fā)，公司地址為廣州市天河區(qū)黃村大道自編98號(hào)。

　　南都記者根據(jù)地址找到這家公司。雖然正值工作時(shí)間，但僅數(shù)平米的辦公室內(nèi)僅擺放了一張桌子，沒(méi)有一個(gè)辦公人員。類似這樣的“公司”，在同一樓層還有至少30間，都是門上貼著公司的名字，”辦公室”里卻非常狹窄，大部分連一張桌子都沒(méi)有，更沒(méi)有一位員工，并不像有人辦公的正規(guī)公司地址。

　　此外，南都記者也試圖通過(guò)電話與公司聯(lián)系，聽聞是記者，對(duì)方立即掛斷了電話并不再接聽。

　　工作日，廣州掌闊信息科技有限公司門口。

　　申請(qǐng)讀取的權(quán)限

　　與通知你的可能不同

　　如果說(shuō)應(yīng)用商店簡(jiǎn)介中列出的權(quán)限已令人擔(dān)憂，APP真正獲取的權(quán)限許可就可謂觸目驚心。

　　一款A(yù)PP中，除了應(yīng)用商店簡(jiǎn)介，通常還能從另外三處查看到獲取權(quán)限列表：第一處，是安裝應(yīng)用時(shí)（或首次打開時(shí)）跳出的權(quán)限列表，用戶直接可見。但南都記者隨機(jī)采訪了20名安卓手機(jī)用戶，其中19人都表示從來(lái)不會(huì)仔細(xì)看這個(gè)列表，“太長(zhǎng)了，不會(huì)認(rèn)真看。”

　　第二處是安裝包中的xml文件。網(wǎng)絡(luò)上的安全測(cè)試平臺(tái)多可測(cè)試出這一列表中的權(quán)限，它相當(dāng)于列明了一款應(yīng)用“向安卓系統(tǒng)申請(qǐng)?jiān)试S讀取用戶哪些權(quán)限”?

　　“這雖然不代表應(yīng)用一定會(huì)讀取列表中權(quán)限關(guān)聯(lián)的各項(xiàng)隱私，但通俗地說(shuō)，這像是拿到了打開你家門的鑰匙。”愛(ài)加密科技有限公司工作人員蕭何向南都記者介紹。

　　而第三處，則是程序中與敏感權(quán)限相關(guān)的代碼行，北京大學(xué)軟件安全小組組長(zhǎng)張漢與蕭何均向南都記者介紹，代碼行中出現(xiàn)的權(quán)限相關(guān)命令可以認(rèn)為只要條件合適就會(huì)開始讀取用戶相關(guān)權(quán)限，與實(shí)際的行為幾乎等同。

　　據(jù)此，南都記者以感融互聯(lián)網(wǎng)金融服務(wù)有限公司的“王者榮耀視頻網(wǎng)”（百度手機(jī)助手下載）為例進(jìn)行了更加詳細(xì)的測(cè)試。

　　在北京大學(xué)軟件安全小組、北京郵電大學(xué)軟件學(xué)院與愛(ài)加密科技有限公司技術(shù)幫助下，南都記者將這款應(yīng)用上述四處的權(quán)限一一列出對(duì)比：

　　王者榮耀視頻網(wǎng)明示與實(shí)際權(quán)限的對(duì)比。

　　在上圖中，王者榮耀視頻網(wǎng)在簡(jiǎn)介中稱只會(huì)讀取用戶6項(xiàng)權(quán)限，但安裝時(shí)彈出的提示中則列出了20項(xiàng)權(quán)限，在安裝包中至少向安卓系統(tǒng)申請(qǐng)了21項(xiàng)權(quán)限的許可。技術(shù)人員則從其代碼中又發(fā)現(xiàn)了“獲取手機(jī)IMEI編號(hào)”與“網(wǎng)絡(luò)下載”等10項(xiàng)敏感函數(shù)。

　　這意味著，一個(gè)APP代碼中寫入的隱私獲取命令與申請(qǐng)讀取的權(quán)限不同，申請(qǐng)讀取的權(quán)限與通知用戶的不同，通知用戶的與簡(jiǎn)介中的也不相同。

　　可以說(shuō)，一個(gè)用戶想確切獲知一款應(yīng)用究竟獲取了自己哪些權(quán)限，十分困難。