智慧家居APP要上傳使用者的WiFi密碼,
閱讀APP要讀取用戶通訊錄,
遊戲APP要獲取用戶的位置
……
智慧手機時代, 豐富的手機應用為使用者的日常生活帶來極大便利, 但一些過度索取許可權的APP, 也給使用者的資訊安全造成不小的隱患。
治理手機應用“越位元”、保護個人資訊安全, 不能只靠用戶的“火眼金睛”, 更需為APP的許可權劃定界限。
惡意APP數量在增長
二季度, 工信部組織對55家手機應用商店的應用軟體進行技術檢測, 發現違規軟體42款, 涉及違規收集使用使用者個人資訊、惡意“吸費”、強行捆綁推廣其他應用軟體等問題,
調取手機的某些許可權, 是手機APP正常運行的必經步驟。
“
調查發現, 在安卓手機中, 有以下幾個許可權最常被調取:
1、“讀取已安裝應用列表”, 借此可以瞭解和分析用戶的使用習慣;
2、“讀取本機識別碼”, 主要用來確定用戶的身份;
3、“讀取位置資訊”,
. . . . .
然而, 並非所有的APP都能做到“安分守己”。 一段時間以來, 手機APP過度調用許可權、獲取使用者資訊等行為時常見諸報端。 尤其是大量山寨和盜版APP, 通過調用大量許可權的方式, 侵害使用者的個人隱私和財產安全。
圖片來源於CNCERT
據統計, 2016年, 12321網路不良與垃圾資訊舉報受理中心共接到不良手機應用有效舉報1085455件次, 同比上升49.1%, 山寨應用竊取使用者資訊等問題最為突出。 同年, 國家電腦網路應急技術處理協調中心(CNCERT)通過自主捕獲和廠商交換獲得移動互聯網惡意程式205萬餘個, 較2015年增長39%。
業內人士表示, 類似的惡意手機應用程式, 雖然在正規的網站和應用商店中受到一定的控制, 但通過非正規應用商店途徑傳播的情況還在增長。
積累使用者資料才是目的
DCCI互聯網資料中心在《2016年中國安卓手機隱私安全報告》顯示, 非遊戲類APP獲取隱私許可權普遍增多, 越界行為增長明顯。
例如:
高達13%的非遊戲類APP越界
獲取“位置資訊”許可權,
9.1%的非遊戲類APP越界
獲取“訪問連絡人”許可權;
高達26%的APP越界
獲取“位置資訊”許可權。
除了過度獲取許可權外, 還有的APP以更隱蔽的方式獲取使用者資訊。 近日, 有文章稱, 京東旗下一款名為“京東微聯”的智慧家居應用軟體, 在沒有明確告知用戶的前提下,
因為這一行為涉嫌侵犯使用者的個人資訊, 存在一定的安全隱患, 在網路上引起了不小的爭議。 在事件之外, 人們也在討論, 為何有如此多APP熱衷“越位元”, 獲得使用者資訊?
······
有業內人士指出, 手機APP往往可以免費下載, 但互聯網企業要通過應用行銷變現, 就需要盡可能多地收集使用者資料。 資料越多, 越有精准行銷的優勢。 雖然未必所有的資料都有用, 但在大資料時代, 足量的資料就意味著更多的商機。
加強監管才能治本
資料顯示,截至去年,中國的手機APP數量已超過1700萬個。從聊天、吃飯到購物、出行,手機應用與日常生活的結合日益緊密。一旦過度索取許可權的行為氾濫,將大大增加使用者資訊洩露的風險。
事實上,對於這一行為,
相關部門早有規定。
➤ 《移動互聯網應用程式資訊服務管理規定》指出,未向用戶明示並經用戶同意,不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能。
➤ 今年6月1日起施行的《網路安全法》也規定,網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊。
. . . . .
儘管有明確規定,但仍有互聯網企業頂風作案,其中甚至不乏互聯網巨頭。業內人士指出,大企業尚且如此,小企業就更“上行下效”了。此外,目前對於不守法者的懲罰缺乏明確規定,缺少知名判例或罰則,由此也讓互聯網企業有了僥倖心理。
對於應用授權等手機安全問題,可以依靠用戶自身防範加以避免,但目前的現狀不容樂觀。資料顯示,用戶對各類手機安全風險的認知仍需加強,有超過1/4的使用者在遭遇手機資訊安全事件後不會採取任何措施進行處理。
對此,業內人士指出,加強監管和執法力度,才是解決此類問題的治本之策。監管部門可以從應用商店入手,通過管理平臺間接管理APP,加強應用商店的審核標準,不斷改善APP過度索取使用者資訊的局面。
加強監管才能治本
資料顯示,截至去年,中國的手機APP數量已超過1700萬個。從聊天、吃飯到購物、出行,手機應用與日常生活的結合日益緊密。一旦過度索取許可權的行為氾濫,將大大增加使用者資訊洩露的風險。
事實上,對於這一行為,
相關部門早有規定。
➤ 《移動互聯網應用程式資訊服務管理規定》指出,未向用戶明示並經用戶同意,不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能。
➤ 今年6月1日起施行的《網路安全法》也規定,網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊。
. . . . .
儘管有明確規定,但仍有互聯網企業頂風作案,其中甚至不乏互聯網巨頭。業內人士指出,大企業尚且如此,小企業就更“上行下效”了。此外,目前對於不守法者的懲罰缺乏明確規定,缺少知名判例或罰則,由此也讓互聯網企業有了僥倖心理。
對於應用授權等手機安全問題,可以依靠用戶自身防範加以避免,但目前的現狀不容樂觀。資料顯示,用戶對各類手機安全風險的認知仍需加強,有超過1/4的使用者在遭遇手機資訊安全事件後不會採取任何措施進行處理。
對此,業內人士指出,加強監管和執法力度,才是解決此類問題的治本之策。監管部門可以從應用商店入手,通過管理平臺間接管理APP,加強應用商店的審核標準,不斷改善APP過度索取使用者資訊的局面。