男子使用情趣用品時被錄音安卓應(yīng)用存在過度授權(quán)、權(quán)限濫用

來源:南方都市報 2017-12-13 09:33 http://www.lvtaikj.com/

這些“越界”的權(quán)限是哪些？

　　以“王者榮耀攻略”為例，該APP由呂元飛開發(fā)，提供游戲相關(guān)圖片和視頻，基本只有展示功能，但它要求獲取修改系統(tǒng)設(shè)置、地理位置、查看手機狀態(tài)和身份等明顯與核心業(yè)務(wù)不相關(guān)的功能。

　　圓圓是一名王者榮耀玩家，她告訴南都記者，自己下載“王者榮耀攻略”就是想看看攻略，學(xué)習(xí)怎么把游戲打得更好，并未留意會收集自己哪些信息。“一般APP如果收集位置信息不是會提示么，我沒有收到提示哎。而且這個APP顯示通過安全檢測，就沒有看過其他的了”，圓圓說。

　　事實上，多數(shù)用戶都與圓圓一樣，對于應(yīng)用普遍存在獲取 “越界”權(quán)限的問題并不注意。

　　在南都記者查看的50款A(yù)PP中，最嚴(yán)重的當(dāng)屬“獲取精確位置”權(quán)限，有29個無相關(guān)功能的APP要求獲取，匪夷所思的是，其中還包含不少主題類和視頻類APP。

　　19個APP擁有“讀取通訊錄”的權(quán)限，其中也不乏只有幾張圖片的主題壁紙類應(yīng)用。

　　這些權(quán)限無一例外與APP的核心功能毫不相關(guān)，卻與用戶隱私有著密不可分的關(guān)系。

　　位置信息可以用來勾勒出用戶的行動范圍和路線，從而精確定位到個人；通訊錄則包含了他人的電話號碼，一旦授權(quán)獲取并被用于商業(yè)目的，將對自己和他人都造成困擾。

　　南都記者此前就報道過，一些社交應(yīng)用強制要求用戶在注冊時開放通訊錄權(quán)限，并利用獲取到的聯(lián)系人信息發(fā)送推廣短信，很多人不勝其擾。

　　一些應(yīng)用強制獲取用戶的聯(lián)系人數(shù)據(jù)并群發(fā)廣告短信。

　　還有更“奇葩”的。豌豆莢里的“王者榮耀瀏覽器”被安裝到手機之后，除了拍照、位置信息的權(quán)限，它還要求用戶開放錄音權(quán)限。也就是說，一個瀏覽器也可以隨時對你錄音。

　　據(jù)安卓市場官方簡介，“王者榮耀瀏覽器”由“廣州掌闊信息科技有限公司”開發(fā)，公司地址為廣州市天河區(qū)黃村大道自編98號。

　　南都記者根據(jù)地址找到這家公司。雖然正值工作時間，但僅數(shù)平米的辦公室內(nèi)僅擺放了一張桌子，沒有一個辦公人員。類似這樣的“公司”，在同一樓層還有至少30間，都是門上貼著公司的名字，”辦公室”里卻非常狹窄，大部分連一張桌子都沒有，更沒有一位員工，并不像有人辦公的正規(guī)公司地址。

　　此外，南都記者也試圖通過電話與公司聯(lián)系，聽聞是記者，對方立即掛斷了電話并不再接聽。

　　工作日，廣州掌闊信息科技有限公司門口。

　　申請讀取的權(quán)限

　　與通知你的可能不同

　　如果說應(yīng)用商店簡介中列出的權(quán)限已令人擔(dān)憂，APP真正獲取的權(quán)限許可就可謂觸目驚心。

　　一款A(yù)PP中，除了應(yīng)用商店簡介，通常還能從另外三處查看到獲取權(quán)限列表：第一處，是安裝應(yīng)用時（或首次打開時）跳出的權(quán)限列表，用戶直接可見。但南都記者隨機采訪了20名安卓手機用戶，其中19人都表示從來不會仔細(xì)看這個列表，“太長了，不會認(rèn)真看。”

　　第二處是安裝包中的xml文件。網(wǎng)絡(luò)上的安全測試平臺多可測試出這一列表中的權(quán)限，它相當(dāng)于列明了一款應(yīng)用“向安卓系統(tǒng)申請允許讀取用戶哪些權(quán)限”?

　　“這雖然不代表應(yīng)用一定會讀取列表中權(quán)限關(guān)聯(lián)的各項隱私，但通俗地說，這像是拿到了打開你家門的鑰匙。”愛加密科技有限公司工作人員蕭何向南都記者介紹。

　　而第三處，則是程序中與敏感權(quán)限相關(guān)的代碼行，北京大學(xué)軟件安全小組組長張漢與蕭何均向南都記者介紹，代碼行中出現(xiàn)的權(quán)限相關(guān)命令可以認(rèn)為只要條件合適就會開始讀取用戶相關(guān)權(quán)限，與實際的行為幾乎等同。

　　據(jù)此，南都記者以感融互聯(lián)網(wǎng)金融服務(wù)有限公司的“王者榮耀視頻網(wǎng)”（百度手機助手下載）為例進行了更加詳細(xì)的測試。

　　在北京大學(xué)軟件安全小組、北京郵電大學(xué)軟件學(xué)院與愛加密科技有限公司技術(shù)幫助下，南都記者將這款應(yīng)用上述四處的權(quán)限一一列出對比：

安卓亂象調(diào)查：男子發(fā)現(xiàn)自己使用情趣用品時被錄音

　　王者榮耀視頻網(wǎng)明示與實際權(quán)限的對比。

　　在上圖中，王者榮耀視頻網(wǎng)在簡介中稱只會讀取用戶6項權(quán)限，但安裝時彈出的提示中則列出了20項權(quán)限，在安裝包中至少向安卓系統(tǒng)申請了21項權(quán)限的許可。技術(shù)人員則從其代碼中又發(fā)現(xiàn)了“獲取手機IMEI編號”與“網(wǎng)絡(luò)下載”等10項敏感函數(shù)。

　　這意味著，一個APP代碼中寫入的隱私獲取命令與申請讀取的權(quán)限不同，申請讀取的權(quán)限與通知用戶的不同，通知用戶的與簡介中的也不相同。

　　可以說，一個用戶想確切獲知一款應(yīng)用究竟獲取了自己哪些權(quán)限，十分困難。