实测37款App:原来我们每天被读取几千次

就在他打开“应用行为记录”的前3分钟,网易云音乐、百度网盘、快手、微信、什么值得买、支付宝先后自启动,一刻相册和网易云音乐App分别读写了手机里的照片和文件,微信和微博获取了一次手机信息。

刷了5分钟抖音后,小米“空白通行证”共向抖音返回5116次空信息。

图源:IT时报

看到这里,冯小杰感到后背发凉。生活中的他非常注意个人隐私保护,但明枪易躲,暗箭难防。十几款手机App竟然在自己毫无感知的情况下,几乎看光了他手机里的全部内容。

为何有些App没有主动告知我就偷偷自启动读写我的储存空间、照片和文件?为何一些和自身服务定位毫不相干的权限,App都想要?吊诡的是,这些App在调取手机权限时,早已在不知不觉间经过了用户允许。

半个月前,国家互联网信息办公室、工业和信息化部等四部门联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》(简称《规定》),明确对39类App划定了必要个人信息范围,5月1日起正式实施。这意味着,App、小程序运营者过度索权的行为将会得到规范,公民在网络空间的合法权益将会得到保护。

距离此项《规定》正式落地已不足一个月,《IT时报》记者对市面上包含社交、购物、出行、娱乐在内的37款主流App使用权限进行测试后发现,仍然有不少App涉嫌过度索权,其中不乏百度地图、快手、UC等知名App。

01

每部手机每天被定位3691次

今年1月,小米MIUI隐私保护能力建设研发团队公布了这样一组数据:“平均每部手机每天会被App定位3691次,相册和个人文件每天被App访问2432次,App在后台每天尝试悄悄地启动783次,有超过40万个App可以直接读取用户的剪切板。”

图源:小米

简单计算,一部手机平均每小时会被App定位154次,平均1分钟被定位2.56次。你根本无法察觉App暗中在做什么。

App对用户信息的渴望,远超用户想象。

4月7日,《IT时报》记者使用一部安卓国产手机下载了较为常用的37款App,涵盖社交、娱乐、电商、出行等领域。

从手机权限管理界面中看到,37款App都涉嫌索要定位权限、拍照、录像权限以及手机识别码(IMEI码)权限。

不仅如此,33款App索要通讯录权限,大多要求“读取联系人”,微信、QQ、脉脉、淘宝、微博5款App获取的通讯录权限还包括“新建/修改/删除联系人”;

QQ、铁路12306和微博3款App还索取“读取彩信”“读取短信记录”的权限;

番茄免费小说则需要读取用户拨打电话的权限。

一些App在其“个人信息保护政策”中对此做了解释。

美图秀秀称,收集用户位置、设备信息是为了帮助用户获得更感兴趣的社区内容,或在工具素材和广告内容推荐上呈现更符合需求的内容,减少对海量内容筛选的时间;

bilibili表示,索取设备信息权限是为了给用户提供视频展示和播放服务,索取定位是为了定向推荐、维护和改进产品之必须;

番茄免费小说申请电话权限,是为了用户看到广告页需要拨号和显示对方电话所设置⋯⋯

除上述授权要求外,有不少App还需要读取用户的剪切板、日历、存储等权限。

如果一款导航类App索取定位是为了给用户提供服务,为何爱奇艺、bilibili、脉脉、QQ音乐等App也要获取用户的定位信息?

为何读书软件也要读取用户拨打电话的权限?

社交类App启用麦克风是为了便于交流,为何餐饮订单平台要启用麦克风及录音功能?

事实上,手机里的不同权限对应不同风险。民间非企运营互联网安全组织网络尖刀创始人曲子龙告诉《IT时报》记者。

获取通讯录权限,大多用于做大数据画像,同时获得用户的“社交关系”,容易被不法分子盗取后用于诈骗;

短信权限的风险更大,如果被滥用,轻则被利用“薅羊毛”,重则被用于拦截短信验证码,控制所有的数字资产;

麦克风权限,则可以用于监听;

至于位置、相册权限,多用于建立行动轨迹和获取相册里的隐私。

至于App自动读取手机的应用列表,是通过应用列表分析用户使用什么应用、使用多少次,大多用于广告大数据分析,也有一些手机助手是为了判别用户是否安装某程序,是否需要推荐以及程序是否需要升级。

02

多款App不授权不可用

《常见类型移动互联网应用程序必要个人信息范围规定》开篇便明确,网络运营者不得收集与其提供服务无关的个人信息,移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。

但当记者对一些常用App进行测试后发现,不授权便不可用的现象,较为普遍。

图源:IT 时报

比如,《规定》对运动健身类App的要求均是无须个人信息,即可使用基本功能服务。

记者测试了部分健身类App发现,如果不登陆用户账号将无法正常使用keep、Hi运动、每日瑜伽App。

在安卓手机应用市场里下载“美腿瘦腿”App时,会跳出授权选项,需要用户授权App读取存储、电话、位置信息、麦克风、通讯录及其他权限,如果不同意,将无法下载该App。

比如,《规定》对于女性健康类App的要求是无须个人信息,即可使用基本功能服务。但当记者打开妈妈网备孕App时,必须要注册信息,否则不能正常使用。

此外,记者还发现,很多权限用户无法手动进行关闭,而一旦在开始点击了同意隐私协议,或者打开了某项权限,该权限下方所包含的更多细节也都一并处于默认打开状态。

长期专注于移动安全领域的厂商安天移动安全,近年来持续大力投入,形成了一套针对移动风险应用治理的有益体系,其中也包含了对App隐私权限问题的针对性检测,能够较好检出App违法违规收集个人信息的各类问题。

“根据目前我们检出的数据统计结果,Top3隐私权限问题为‘无隐私弹窗、弹窗前收集个人信息、强制索权’。其实目前市面上的很多应用均或多或少存在一定隐私权限方面的问题,这是普遍现象。”安天移动安全方面人士说道。

03

不同手机App授权管理不同

更令人惊讶的是,有些App的权限被用户拒绝后,却又悄悄被打开了。

记者在一台魅族手机自带的应用商店里下载了一款百度地图App,首页默认勾选开启定位、存储、麦克风、设备信息四项授权,并在屏幕最下方有“同意”和“不同意并退出”的按钮。

记者将四项授权全部取消后,点击“同意”按钮,便进入百度地图搜索页面。然而,当记者查询某条路线时,百度地图依然自动定位了“我的位置”,并提供了导航路线。

这是怎么回事?记者进入手机里百度地图“应用访问授权”设置后发现,在已经拒绝的前提下,位置信息、存储空间、日历、电话、相机、通讯录和麦克风均为开启状态。

图源:IT时报

根据《规定》,地图导航类App的基本功能服务为“定位和导航”,必要个人信息为位置信息、出发地、到达地。但如果根据记者的测试结果,这款百度地图App不仅涉嫌过度索权,而且还有欺骗用户的嫌疑。

然而,曲子龙在自己的华为手机上做了同样测试,无论是从华为应用市场还是魅族应用市场中下载的百度地图,只要在初始状态拒绝授权,其权限内默认是关闭状态。

百度地图客服人员用两款手机测试后,得到了和曲子龙同样的结论,但她也坦承,目前暂时无法确定记者测试结果不同的原因,可能是与手机型号有关。

记者分别用魅族和华为手机测试了其他App,测试发现,首次打开App的状态下,没有点击任何授权,以下App分别启动了部分权限。

记者在“应用权限管理”中看到:快手、西瓜视频、抖音、腾讯视频、keep、UC浏览器、搜狗浏览器均在自动读取应用列表。在此基础上,西瓜视频和抖音、keep、UC浏览器还在读取手机识别码;腾讯视频和搜狗浏览器均可以修改系统设置。

尽管以上App 提供的基本服务不同,但根据《规定》,短视频类、新闻资讯类、在线影音类、浏览器类、运动健身类App均无须个人信息,即可使用基本功能服务。根据记者的测试结果意味着,上述App涉嫌过度索权。

但是,记者使用华为手机用同样的方式对上述App进行测试发现,以上App的权限均为禁止状态。

为何不同手机在获取权限方面有不同的表现?记者致电抖音和西瓜视频的客服,对方表示暂未接到上述问题的反馈;Keep客服并未对此进行解释,但表示如果不想App获取权限,用户找到相应权限将其关闭即可。其余App的客服则无人接听。

业内人士猜测,这或许与不同手机厂商对App索权的限制有关,或者是某些应用市场里的特制安装包,有后门存在。

“同款App针对不同的分发渠道,即使是同一个版本也会有针对性不同的策略,可能从正规应用市场下载的App符合监管要求,用户授权前不会收集任何个人信息,但我从其他第三方分发平台下载的同名称应用就会存在问题。”安天移动安全大白鹅团队说。

碁震安全研究团队高级研究员宋宇昊认为,安卓系统原生提供了针对一部分权限的访问控制(比如通话、相机、麦克风),对于这部分访问权限的提示,在所有安卓手机上都是相同的。

但是在这部分权限以外,例如手机识别码的权限控制,并不是安卓原生提供,而是由各家手机厂商自己定制的。在这种情况下,需要控制哪些权限、默认允许禁止都是根据厂商自己对于敏感信息的理解来设计的。

在获取用户权限方面,苹果就规范许多。用户可以在设置中轻易找到App所需的定位、麦克风、相机、蓝牙、Siri权限,并将其手动关闭。iOS系统从7.0开始就停止了IMEI相关接口开放,开发者无法直接获得相关权限。4月7日,苹果宣布,未来几个星期内将实施全新的隐私采集用户披露和许可政策。

04

IMEI码也是个人信息

37款App的“个人隐私权限政策”中,基本都有类似条款:“当您使用本款应用时,我们会搜集你的设备信息,包括设备型号、唯一设备标识符、设备MAC地址、操作系统类型、屏幕分辨率、电信运营商、登录IP地址、软件版本型号、接入网络的方式、网络质量数据⋯⋯”

从《规定》对39类App详细要求来看,并没有对IMEI码、IP地址等信息有明确要求,那么,设备信息是否属于本次《规定》的监管范围?

《民法典》中规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

另外,《中华人民共和国个人信息保护法(草案)》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

IMEI码是国际移动设备识别码的简称,即通常所说的手机序列号,因其唯一不可变被称为手机的“身份证”。

图源:IT时报

上海大邦律师事务所合伙人游云庭认为,手机IMEI码是手机硬件的编号,通过识别此编号,可以识别出使用手机的个人,属于个人信息。

在互联网广告联盟生态链中,IMEI码是一个核心要素。一个IMEI码就可以在广告联盟间追踪用户的标签,互联网巨头利用庞大的生态圈收集各种类型的原始数据,为用户打上标签,最终形成一张全面精准的用户画像,帮助广告主精准匹配目标用户。

如果IMEI码也被定义为个人信息,根据《规定》,5月1日后,39类App都不得采集该信息。

“《规定》实施后,App在此前已经收集到的信息理应删除,但实践中不会有厂商这么做,他们还有可能拿着已经收集到的信息去匹配其他信息给用户画像。不过,一旦这种行为被发现,将会受到相应的惩罚。”游云庭说。

“实际上,在《通知》出台前,手机里的App早已获取到了IMEI码,存量市场的用户画像早已被利用。《通知》出台后,对00后、10后的用户画像会得到克制。但《通知》并未提及此前被App收集到的用户信息应当如何处理,用户主动搜索行为产生的画像还是无法约束。”曲子龙说。

目前国家正在加紧制定出台《数据安全法》《个人信息保护法》,《个人信息保护法》草案已提请全国人大常委会审议,对于个人信息的定义有望更加准确界定。

05

小程序也在约束范围之内

另外,《通知》特别提到,“App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序”,这意味着小程序也被纳入监管。5月1日起,任何组织和个人发现违反本规定行为的,可以向相关部门举报以维护自身权益。

不久前,《IT时报》曾报道,沪上不少餐厅要求用户扫码点餐之前,必须授权微信头像、手机号码,有的甚至要求成为会员才能点餐,根据最小必要性原则,也属于过度索权。

图源:IT时报

根据腾讯微信团队公号信息,2021年4月13日后发布的小程序新版本,将无法获取用户个人信息(头像、昵称、性别与地区),而是直接获取匿名数据,以此解决以往有些小程序总是要用户授权信息才能使用的问题。

4月6日,工业和信息化部信息通信管理局发布了《关于下架侵害用户权益APP名单的通报》,针对3月11日通报的136家存在侵害用户权益行为App企业的名单,经核查复验,发现共有60款App未按照要求完成整改,并对上述60款App进行下架处理。

记者在手机应用商场随机选择了几款App搜索发现,降温宝、美图证件照等App已经下线,天天果园、萌龙大乱斗、8684实时公交等App已经恢复上线。

4月8日,记者分别联系了淘宝、微信、京东、抖音等平台咨询5月1日后是否会调整版本,淘宝客服表示,目前尚未收到相关技术方面的公告,截至发稿前,其余平台暂未回应。

联想发布新款Legion游戏笔电 采用英特尔最新处理器以及NVIDIA最新显卡

联想周二宣布了最新Legion系列游戏笔记本电脑。新机型采用了英特尔新处理器,以及NVIDIA最新移动图形芯片。其中,Legion 7i是世界上第一台拥有16英寸WQXGA分辨率的游戏笔记本电脑。

发布于:2小时以前  |  7次阅读  |  详细内容 »

森海塞尔推出新款旗舰产品IE900耳机 标价1300美元

虽然许多移动音乐爱好者都在使用真无线耳机,但移动中的发烧友更倾向于选择有线耳机所提供的高保真度。而德国音响品牌森海塞尔推出的价值1300美元的IE 900旗舰耳机正是针对这些听众。

发布于:2小时以前  |  7次阅读  |  详细内容 »

物理学家发现开启和关闭反铁磁性新方法 将带来更快更安全的存储设备

当你把一张图片保存到你的智能手机上时,这些数据被写入微小的晶体管,这些晶体管以 "比特 "的模式被电动打开或关闭,以表示和编码该图像。今天,大多数晶体管是由硅制成的,科学家已经设法将这种元素以越来越小的规模进行转换,使数十亿比特,使数十亿位数据,以及因此而产生的大量图像和其他文件,能够被存储到一个单一的芯片上。

发布于:2小时以前  |  7次阅读  |  详细内容 »

宏碁发布新款游戏笔电 采用英特尔酷睿H系列和RTX30 GPU

宏碁在将英特尔新的第11代酷睿H系列处理器和英伟达新的GeForce RTX 30系列GPU纳入其游戏笔记本产品,发布宏碁Predator Triton 300、Predator Helios 300和Nitro 5笔记本电脑,承诺提供便携性和高性能,同时加入了雷电4和WiFi 6E支持等功能。

发布于:2小时以前  |  7次阅读  |  详细内容 »

联想扩大Legion产品线 推出时尚的5i 5i Pro和7i游戏笔电

联想宣布了一系列针对PC游戏玩家的产品,包括新的Legion 5i、Legion 5i Pro和Legion 7i型号。除其他外,这些笔记本电脑配备了英特尔最新发布的第11代英特尔酷睿H系列移动处理器。另外联想还发布了Legion Y25g-30,这是一款游戏显示器,拥有惊人的360Hz刷新率,适合快节奏的游戏。

发布于:2小时以前  |  7次阅读  |  详细内容 »

印度黑市氧气瓶卖出天价 一个50升氧气瓶竟卖8500元

随着疫情曲线不断攀升,印度各地医疗资源严重不足,很多医院氧气告急。眼下,在印度不少地方,黑市上一个10升的氧气瓶卖到8500卢比(约合人民币750元一瓶),价格暴涨了十几倍。而在疫情暴发前,一个50升氧气瓶的售价仅为人民币约510元。

发布于:2小时以前  |  7次阅读  |  详细内容 »

号称“全球最宅”的小镇 所有居民都住在一栋楼里

你能想象整个城镇的人都在一栋建筑物里生活吗?不论上班、买菜或看医生,通通都能在大楼里搞定。美国阿拉斯加州一个叫做惠提尔镇 (Whittier)的地方,被称作「屋檐下的小镇」,因为有95%的居民同住在一栋大楼里。

发布于:3小时以前  |  12次阅读  |  详细内容 »

HTC发布Vive Pro 2头显 内置5K分辨率显示屏和120Hz刷新率

HTC发布了新款Vive Pro 2,这是对其高端虚拟现实头显的一次必要的更新,增加了一系列微小但非常值得关注的改进。最大的变化是新的显示屏,它现在提供5K分辨率(或每只眼睛2448 × 2448像素),120Hz刷新率,以及120度视野。

发布于:3小时以前  |  11次阅读  |  详细内容 »

最早的M1 iPad Pro订单现在正准备发货 有望21日前准时收到

据多个Twitter用户表示,苹果将很快发货11和12.9英寸的M1 iPad Pro型号,他们的订单已经转为 "准备发货 "状态。虽然到目前为止,我们还没有看到任何发货通知,但这很可能会在不久的将来发生。苹果之前没有向订购新的M1 iPad Pro的人提供确切的交货日期,但这些平板电脑将于5月21日开始交货。

发布于:3小时以前  |  38次阅读  |  详细内容 »

HTC发布VIVE Focus 3头显 无需线缆 自带5K分辨率

HTC已经披露了其最新的独立式VR头显,VIVE Focus 3有望在速度和图形质量方面都带来巨大的提升,且仍然不需要与PC连接。不仅仅是没有线缆,VIVE Focus 3的佩戴也会更加舒适,由于改用镁合金框架,其重量减少了20%。这一改变还有另一个好处,VR头显的总体强度也得到了提高。事实上,HTC说,新模型应该比传统的塑料头显强500%。

发布于:3小时以前  |  11次阅读  |  详细内容 »

波音净订单量连续第三个月正增长 737 Max仍暂停交付

波音公司4月份的飞机订单量连续第三个月超过取消订单量,但其最畅销的737 Max机型的交付因电气接地问题仍处在暂停状态。波音公司上个月表示已暂停交付737 Max机型,该机型此前因两次次致命坠机事故停飞了20个月,直到去年11月问题修复才得以复飞。

发布于:3小时以前  |  11次阅读  |  详细内容 »

GPU-Z 2.39.0版发布:支持Intel 23年前的第一款独立显卡

TechPowerUp出品的显卡相关识别工具GPU-Z今天发布了最新的2.39.0版本,除了支持一大波新硬件、增加一大波新功能、修复一大波老Bug,其中比较特殊的一点,就是支持了Intel 23年前的第一款独立显卡i740。

发布于:3小时以前  |  20次阅读  |  详细内容 »

物理学家发明低温下通过量子流体观察涡流的新技术

兰卡斯特大学的物理学家开发了一种研究量子流体中的涡流的新技术。Andrew Guthrie、Sergey Kafanov、Theo Noble、Yuri Pashkin、George Pickett和Viktor Tsepelin与莫斯科国立大学的科学家合作,使用微型机械谐振器检测超流体氦中的单个量子涡流。他们的工作发表在当前的《自然通讯》杂志上。

发布于:5小时以前  |  15次阅读  |  详细内容 »

新专利显示苹果汽车可能将AR用于挡风玻璃平视显示器

苹果公司此前一直在研究如何将平视显示器(HUD)的信息投射到 "苹果汽车 "的挡风玻璃上。现在,根据苹果公司新获得的一项专利显示,它正在研究这些信息应该是什么,以及何时确切地显示这些信息。

发布于:5小时以前  |  23次阅读  |  详细内容 »

新专利显示苹果汽车可能会帮助用户在车内找到丢失的iPhone

苹果公司新获得的专利显示,苹果汽车可以通过汽车的振动帮助司机和乘客找出他们iPhone掉在车内的位置,同样的系统有可能让iPhone被用作车内遥控器。

发布于:5小时以前  |  46次阅读  |  详细内容 »

记者找到印度暴发毛霉菌病原因:患者呼吸机里使用了被污染的水

印度新冠疫情仍处于失控状态,结果近日多名新冠患者在康复后又被发现感染了罕见“毛霉菌病”,导致濒临崩溃的医疗系统雪上加霜。据媒体报道,针对近日印度持续出现的“毛霉菌病”,有外国记者说出了原因,这是由于患者的呼吸机中没有使用无菌蒸馏水,而是使用了被污染的水导致的。

发布于:5小时以前  |  359次阅读  |  详细内容 »

82%的COVID-19住院患者会出现神经系统问题

根据COVID-19神经功能障碍全球联盟研究(GCS-NeuroCOVID)的一项中期分析,有临床诊断的COVID-19相关神经症状的患者在医院死亡的可能性是没有神经系统并发症的患者的6倍。今天(2021年5月11日)发表在《美国医学会杂志》网络版上的一篇论文介绍了收集有关COVID-19疾病的神经系统表现的发生率、严重程度和结果的全球努力的早期结果。

发布于:5小时以前  |  14次阅读  |  详细内容 »

Intel 12代酷睿样品现身:搭档DDR5内存跑DOTA2

Intel Alder Lake 12代酷睿有望在11月份发布,首次在桌面引入10nm工艺、大小核架构,首次支持DDR5内存(也兼容DDR4)、PCIe 5.0总线,接口变为LGA1700,主板芯片组升级为600系列。现在,CapFrameX测试数据库里出现了12代酷睿的样品,内存正是新的DDR5,容量8GB×4,频率4800MHz,另外显卡是RTX 3080。

发布于:5小时以前  |  17次阅读  |  详细内容 »

三星公布新2.5D封装技术,电气工程专家认为仍存缺陷

上周四,韩国半导体巨头三星宣布,其下一代2.5D封装技术I-Cube4即将上市,该技术提升了逻辑器件和内存之间的通信效率,集成1颗逻辑芯片和4颗高带宽内存(HBM)。另外,该技术还在保持性能的前提下,将中介层(Interposer)做得比纸还薄,厚度仅有100μm,节省了芯片空间。

发布于:5小时以前  |  35次阅读  |  详细内容 »

ROG冰刃5 Plus 17.3寸巨屏游戏本发布:按键寿命1亿次

除了幻16,ROG今天还带了一款巨屏游戏本“ROG冰刃5 Plus”,17.3英寸旗舰机型,厚度不足20mm,同样搭载Intel H45处理器、NVIDIA RTX 30系列显卡。ROG冰刃5 Plus采用了较为罕见的17.3英寸庞大机身,但厚度依然控制在19.9mm,重量低至2.6kg。

发布于:5小时以前  |  15次阅读  |  详细内容 »

最新资讯

最热资讯

全国新冠疫苗接种超3亿剂次 3天以前  |  700次阅读