男子使用情趣用品時被錄音安卓應用存在過度授權(quán)、權(quán)限濫用

來源:南方都市報 2017-12-13 09:33 http://www.iosapp77.com/

　　“手機APP好像會在情趣用品打開時一直錄音。”

　　今年11月初，網(wǎng)友“tydoctor”在美國著名的社交新聞網(wǎng)站Reddit上曝光了這一消息。他說，自己在準備重置手機時發(fā)現(xiàn)了存儲在該應用文件夾內(nèi)的一條音頻，“時間長達6分鐘，就是上一次我用這個應用遙控情趣用品的時候錄的。”

　　tydoctor還寫道，該應用獲取了使用麥克風和照相機的權(quán)限，但他以為這些權(quán)限僅用于應用內(nèi)置的語音消息發(fā)送功能。“在任何時候，我都不希望應用錄下我使用情趣用品的全過程。”tydoctor流露出忿忿的情緒。

　　值得注意的是，tydoctor 所使用的是安卓手機系統(tǒng)，而這一事故，也使得安卓應用存在已久的過度授權(quán)、權(quán)限濫用問題再次浮出水面。不少網(wǎng)友紛紛跟帖表示，曾有類似的遭遇。

　　“很多手機應用都會在未授權(quán)的情況下錄音。”

　　“另一家情趣用品廠商也出過類似的事情，把用戶的使用習慣等數(shù)據(jù)上傳到服務器。”

　　如果你以為這只發(fā)生在國外，或只在情趣用品APP中存在，那你可能太樂觀。

　　早在2014年，央視《每周質(zhì)量報告》就曝光過大量安卓手機應用在安裝時需要開放通訊錄、地理位置等權(quán)限，從而嚴重威脅用戶隱私安全的情況。彼時有業(yè)內(nèi)人士分析，這一現(xiàn)象的背后是販賣隱私信息的利益鏈已形成，不法手機應用廠商通過手機權(quán)限獲得用戶的隱私信息后再轉(zhuǎn)賣，從而獲得不菲的灰色收入。

　　日前，南都記者通過調(diào)查和技術(shù)測試發(fā)現(xiàn)，幾年過去，上述問題并沒有得到解決，反而由于互聯(lián)網(wǎng)對大數(shù)據(jù)的需求升級，變得更為混亂。

　　50款APP，僅2款只收集必要權(quán)限

　　在各類安卓應用中，游戲一直是安全問題高發(fā)區(qū)。360聯(lián)合DCCI發(fā)布的《2016年中國手機安全生態(tài)報告》顯示，2015年，測試樣本中94.5%的游戲應用都會獲取讀取位置信息的權(quán)限；89.1%能夠讀取用戶短信，93.6%能夠讀取通訊錄，雖然這些數(shù)據(jù)在2016年有所下降，但其中多項數(shù)值仍高于非游戲類APP。

　　這份報告同時指出，獲取手機通訊錄、短信、通話記錄、位置信息等都被視為讀取用戶核心與重要隱私的行為，它們較讀取WIFI、藍牙等設(shè)備信息更加危險，用戶應給予重點關(guān)注。事實上，絕大部分安卓用戶沒有注意到這一點，遭受經(jīng)濟損失的案例時有發(fā)生。

　　2014年，寧波市警方曾破獲一起案件，3名犯罪嫌疑人用技術(shù)手段竊得游戲用戶小顧在游戲應用上注冊的名字、身份證號、手機號碼等信息，隨后利用這些信息辦理假身份證，并用假身份證去通信營業(yè)廳掛失小顧的手機號并補辦新卡，最后再用這張新的手機卡重新設(shè)置小顧在網(wǎng)絡(luò)游戲中的密碼，將價值20多萬的游戲幣竊走。

　　小顧的案例并非孤例，為了調(diào)查安卓應用越界獲取隱私權(quán)限的情況，南都記者以今年大熱的王者榮耀為例，選取了華為應用市場、應用寶、百度手機助手、360手機助手、豌豆莢、小米應用商店內(nèi)6款常用安卓應用市場，按照搜索“王者榮耀”關(guān)鍵詞排名前后的順序，選取了50款王者榮耀周邊應用作為考察對象。

　　需要注意的是，王者榮耀周邊并不是指王者榮耀官方游戲本身，而是指王者榮耀游戲風靡后，其他應用商就此主題開發(fā)的各種游戲相關(guān)的輔助或擴展類應用，例如助手、壁紙等等。它們通常會由于游戲的熱門下載量巨大。

　　南都記者首先查看了50款APP在應用商店簡介中的權(quán)限列表。在安卓系統(tǒng)的應用商店中，通常要求應用開發(fā)者填寫“權(quán)限列表”，用戶在下載前很易查看。

　　應用下載頁面的權(quán)限說明。

　　令人擔憂的是，一些開發(fā)者在簡介中就堂而皇之地列出了大量不會使用到的“越界”權(quán)限，包括使用錄音與攝像頭，讀取手機通訊錄、短信，甚至獲取你精確的地理位置。

　　在南都記者選取的50款APP中，應用簡介列出的權(quán)限總集大致有28個，包括拍攝照片和視頻、讀取通訊錄、讀取/發(fā)送短信、錄音、獲取精確位置、修改SD卡中的內(nèi)容等。

　　依據(jù)APP的自身功能，南都記者把這些權(quán)限標記為“核心”、“可選”和“越界”三種。

　　“核心”權(quán)限是指不獲取就無法正常使用APP核心功能的權(quán)限，例如視頻類APP需要調(diào)節(jié)音量大小；

　　“可選”權(quán)限是指即使用戶拒絕授權(quán)，也不影響使用APP核心功能的權(quán)限，但這些權(quán)限可能在APP的非核心功能中會使用；

　　“越界”則指APP沒有必要獲取的權(quán)限，例如主題壁紙類APP要求讀取用戶通話記錄。

　　根據(jù)APP的類型不同，它們的“核心”權(quán)限也有所差異。

　　助手類和論壇類APP主要為王者玩家提供攻略、視頻等資訊，實現(xiàn)核心功能基本無需獲取用戶隱私；主題類APP主要提供下載皮膚、壁紙等功能，核心權(quán)限可能包括將圖片存儲在 SD 卡中；視頻類APP則必須要有更改音頻設(shè)置的權(quán)限；瀏覽器類APP的核心功能是搜索，無需獲取用戶隱私。

　　50個APP覆蓋了28個隱私相關(guān)權(quán)限，但必不可少的“核心”權(quán)限不多。

　　南都記者統(tǒng)計的結(jié)果顯示，50款APP中，僅有2款APP列出的權(quán)限都是“核心”權(quán)限，卻有5款APP所列出的所有權(quán)限均 “越界”。?其他APP則或多或少都要求獲取“越界”或“可選”的權(quán)限，其中23個APP的“越界”權(quán)限占比超過50%。