男子使用情趣用品時被錄音 安卓應用存在過度授權、權限濫用

　　越權背后，商業(yè)利益“不要白不要”

　　退一步說，即使獲得了完全的權限列表，用戶就能做出有利于自己的選擇嗎？

　　答案是否定的。正如開篇的例子中，用戶同意APP開啟麥克風，以為只是用于發(fā)送語音，誰知會卻被錄音。

　　一位從事安卓手機開發(fā)的技術人員告訴南都記者，實際上獲取大部分用戶隱私信息并不用來完成應用某項功能，而是用于進行未來業(yè)務規(guī)劃。

　　“比如說拿到用戶的位置，就知道自己的用戶在哪個省份比較活躍，未來如果公司想開線下實體店，就會優(yōu)先選擇某些省份；而拿到用戶的通訊錄，主要是為了社交聯(lián)系，推薦你通訊錄里的好友也來使用同一產(chǎn)品”。上述技術人員表示。

　　對于這一現(xiàn)象，360安全專家劉洋告訴南都記者，開發(fā)者獲取用戶隱私信息大多是為了營銷和推廣。“推送精準的廣告需要對人群精準的鎖定：會用我產(chǎn)品的人是男是女？收入什么水平？手機里都有哪些應用？……這些人群的描摹工作都是通過大量的用戶數(shù)據(jù)完成的。”

　　值得注意的是，一些應用在開發(fā)過程中還會將其中一些功能模塊交給第三方來實現(xiàn)，如接入一個云服務的模塊、插入一個流量統(tǒng)計的模塊等等，這些第三方公司也同樣可以從應用中獲取用戶權限。

　　“第三方的功能也不一定需要這些權限，但既然開了這個端口給我，大家的想法就是不要白不要……”前文中的技術人員表示。

　　可見，大多數(shù)隱私信息的獲取實際上并非為了方便用戶，而是有利于應用開發(fā)方的商業(yè)利益。

　　根據(jù)今年6月1日施行的《網(wǎng)絡安全法》第41條規(guī)定，網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息。實際上，上述行為已經(jīng)違反了法律的相關規(guī)定。

　　如此輕巧地獲取與使用用戶的隱私權限，對應的現(xiàn)實卻是安卓令人擔憂的安全現(xiàn)狀。據(jù)相關報告顯示，幾乎所有的安卓手機與應用都存在大大小小的漏洞，一旦被攻破，用戶的隱私便會“裸奔”。

　　以讀取短信的權限為例，劉洋告訴南都記者，對用戶來說，它主要的作用是收到驗證碼時懶得手動復制，需要程序自動填入時會用到，此外，還可以方便保存短信的內(nèi)容到應用中。

　　大多數(shù)用戶并未意識到，短信內(nèi)有收取驗證碼、銀行余額信息等個人隱私，安全意義重大。

　　如若不小心安裝了短信攔截木馬，就會讀取手機中的短信內(nèi)容，后臺自動回傳到木馬制作者指定的郵箱或手機上，這不但會使更多的騷擾電話跟隨你，還可能有不法分子利用攔截到的短信驗證碼，登錄支付平臺，電商網(wǎng)站進行盜刷。更有耐心的犯罪分子，會通過非法渠道購買到銀行卡賬號、交易密碼、身份證等信息，進入網(wǎng)上銀行，進行直接轉賬，甚至幫受害者申請幾筆小額貸款。

　　據(jù)360公司2017年第一季度數(shù)據(jù)統(tǒng)計，今年新增的短信攔截馬惡意程序就有56762個，在隱私竊取類的惡意程序中占了近1/3，共感染了675761部手機。

　　因此，用戶即使能夠看到權限列表，但不能清晰地知曉這些權限會帶來的影響，這種“知情”意義有限，付出的代價卻是巨大的。?

　　安卓原生系統(tǒng)多被修改

　　“明示同意”難實現(xiàn)

　　“知情”尚且如此困難，“同意”似乎更無從談起。

　　2017年6月1日起正式實施的《網(wǎng)絡安全法》第二十二條規(guī)定：

　　網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意。

　　然而，南都記者發(fā)現(xiàn)，除了常見的開啟相機、定位、麥克風彈窗提示外，很少有APP會明示告知用戶將獲取其它權限，并主動彈出窗口獲取用戶同意。

　　既然《網(wǎng)絡安全法》規(guī)定，獲取用戶信息需要“明示同意”后才能得到權限，安卓應用市場為何不能規(guī)范應用對權限的獲取行為并提供“明示同意”服務？

　　實際上，安卓系統(tǒng)早已注意到這一點。2015年5月，安卓推出6.0系統(tǒng)。在此之前，安裝應用時跳出的權限只有一個列表，要么通通同意，點擊“安裝”，要么拒絕全部，直接“取消”。這實際上是一種形式化的“明示同意”，用戶并沒有真正選擇權。

　　為了改變這一現(xiàn)狀，安卓6.0及以上的版本將權限分為兩類：一類是普通權限，不涉及用戶隱私，不需要進行授權，比如手機震動、訪問網(wǎng)絡等；另一類是危險權限，涉及到用戶隱私，在使用時需要用到此功能時進行彈窗提醒用戶授權。

　　?這一更新無疑很好地規(guī)范了權限獲取與“明示同意”的應用行為。

　　然而，南都記者試用發(fā)現(xiàn)，大陸常用的安卓手機大都不使用安卓原生系統(tǒng)，而是對安卓系統(tǒng)進行了改寫。例如，華為手機在下載華為應用市場中的應用時并不會跳出授權彈窗，小米手機也對從小米應用市場中下載的應用進行了“豁免”。

　　“手機廠商會根據(jù)自己的需要對系統(tǒng)進行改寫，他們會自己編寫想要的權限明示方式”，劉洋對南都記者說。

　　?由于手機原生應用市場會對上架應用進行安全檢查，因此豁免手機原生應用市場的應用并不是最令人擔心的。

　　更可怕的是，南都記者嘗試用系統(tǒng)已經(jīng)更新的魅族手機下載了百度手機助手，并在助手中下載了“王者榮耀論壇”，在安裝時，系統(tǒng)彈出權限列表，并允許用戶逐項選擇“開啟”、“關閉”或是“使用時詢問”，做到了明示同意。

　　在列表中，南都記者對攝像頭、音頻等功能點擊了“使用時詢問”選項。隨后，南都記者打開應用，試圖拍攝一張照片并發(fā)布，但卻發(fā)現(xiàn)系統(tǒng)沒有跳出詢問彈窗便直接使用了拍照功能。這意味著，安裝時用戶的授權形同虛設，應用繞過授權獲取了用戶的相機權限。

　　事實證明，不同手機廠商，不同應用商店都會根據(jù)自己的需求對于權限授予做出改變，用戶面對的依然是一個雜亂而無法掌握的安卓權限獲取現(xiàn)狀。