越權(quán)背后，商業(yè)利益“不要白不要”

　　退一步說，即使獲得了完全的權(quán)限列表，用戶就能做出有利于自己的選擇嗎？

　　答案是否定的。正如開篇的例子中，用戶同意APP開啟麥克風(fēng)，以為只是用于發(fā)送語音，誰知會(huì)卻被錄音。

　　一位從事安卓手機(jī)開發(fā)的技術(shù)人員告訴南都記者，實(shí)際上獲取大部分用戶隱私信息并不用來完成應(yīng)用某項(xiàng)功能，而是用于進(jìn)行未來業(yè)務(wù)規(guī)劃。

　　“比如說拿到用戶的位置，就知道自己的用戶在哪個(gè)省份比較活躍，未來如果公司想開線下實(shí)體店，就會(huì)優(yōu)先選擇某些省份；而拿到用戶的通訊錄，主要是為了社交聯(lián)系，推薦你通訊錄里的好友也來使用同一產(chǎn)品”。上述技術(shù)人員表示。

　　對于這一現(xiàn)象，360安全專家劉洋告訴南都記者，開發(fā)者獲取用戶隱私信息大多是為了營銷和推廣。“推送精準(zhǔn)的廣告需要對人群精準(zhǔn)的鎖定：會(huì)用我產(chǎn)品的人是男是女？收入什么水平？手機(jī)里都有哪些應(yīng)用？……這些人群的描摹工作都是通過大量的用戶數(shù)據(jù)完成的。”

　　值得注意的是，一些應(yīng)用在開發(fā)過程中還會(huì)將其中一些功能模塊交給第三方來實(shí)現(xiàn)，如接入一個(gè)云服務(wù)的模塊、插入一個(gè)流量統(tǒng)計(jì)的模塊等等，這些第三方公司也同樣可以從應(yīng)用中獲取用戶權(quán)限。

　　“第三方的功能也不一定需要這些權(quán)限，但既然開了這個(gè)端口給我，大家的想法就是不要白不要……”前文中的技術(shù)人員表示。

　　可見，大多數(shù)隱私信息的獲取實(shí)際上并非為了方便用戶，而是有利于應(yīng)用開發(fā)方的商業(yè)利益。

　　根據(jù)今年6月1日施行的《網(wǎng)絡(luò)安全法》第41條規(guī)定，網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息。實(shí)際上，上述行為已經(jīng)違反了法律的相關(guān)規(guī)定。

　　如此輕巧地獲取與使用用戶的隱私權(quán)限，對應(yīng)的現(xiàn)實(shí)卻是安卓令人擔(dān)憂的安全現(xiàn)狀。據(jù)相關(guān)報(bào)告顯示，幾乎所有的安卓手機(jī)與應(yīng)用都存在大大小小的漏洞，一旦被攻破，用戶的隱私便會(huì)“裸奔”。

　　以讀取短信的權(quán)限為例，劉洋告訴南都記者，對用戶來說，它主要的作用是收到驗(yàn)證碼時(shí)懶得手動(dòng)復(fù)制，需要程序自動(dòng)填入時(shí)會(huì)用到，此外，還可以方便保存短信的內(nèi)容到應(yīng)用中。

　　大多數(shù)用戶并未意識(shí)到，短信內(nèi)有收取驗(yàn)證碼、銀行余額信息等個(gè)人隱私，安全意義重大。

　　如若不小心安裝了短信攔截木馬，就會(huì)讀取手機(jī)中的短信內(nèi)容，后臺(tái)自動(dòng)回傳到木馬制作者指定的郵箱或手機(jī)上，這不但會(huì)使更多的騷擾電話跟隨你，還可能有不法分子利用攔截到的短信驗(yàn)證碼，登錄支付平臺(tái)，電商網(wǎng)站進(jìn)行盜刷。更有耐心的犯罪分子，會(huì)通過非法渠道購買到銀行卡賬號、交易密碼、身份證等信息，進(jìn)入網(wǎng)上銀行，進(jìn)行直接轉(zhuǎn)賬，甚至幫受害者申請幾筆小額貸款。

　　據(jù)360公司2017年第一季度數(shù)據(jù)統(tǒng)計(jì)，今年新增的短信攔截馬惡意程序就有56762個(gè)，在隱私竊取類的惡意程序中占了近1/3，共感染了675761部手機(jī)。

　　因此，用戶即使能夠看到權(quán)限列表，但不能清晰地知曉這些權(quán)限會(huì)帶來的影響，這種“知情”意義有限，付出的代價(jià)卻是巨大的。?

　　安卓原生系統(tǒng)多被修改

　　“明示同意”難實(shí)現(xiàn)

　　“知情”尚且如此困難，“同意”似乎更無從談起。

　　2017年6月1日起正式實(shí)施的《網(wǎng)絡(luò)安全法》第二十二條規(guī)定：

　　網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意。

　　然而，南都記者發(fā)現(xiàn)，除了常見的開啟相機(jī)、定位、麥克風(fēng)彈窗提示外，很少有APP會(huì)明示告知用戶將獲取其它權(quán)限，并主動(dòng)彈出窗口獲取用戶同意。

　　既然《網(wǎng)絡(luò)安全法》規(guī)定，獲取用戶信息需要“明示同意”后才能得到權(quán)限，安卓應(yīng)用市場為何不能規(guī)范應(yīng)用對權(quán)限的獲取行為并提供“明示同意”服務(wù)？

　　實(shí)際上，安卓系統(tǒng)早已注意到這一點(diǎn)。2015年5月，安卓推出6.0系統(tǒng)。在此之前，安裝應(yīng)用時(shí)跳出的權(quán)限只有一個(gè)列表，要么通通同意，點(diǎn)擊“安裝”，要么拒絕全部，直接“取消”。這實(shí)際上是一種形式化的“明示同意”，用戶并沒有真正選擇權(quán)。

　　為了改變這一現(xiàn)狀，安卓6.0及以上的版本將權(quán)限分為兩類：一類是普通權(quán)限，不涉及用戶隱私，不需要進(jìn)行授權(quán)，比如手機(jī)震動(dòng)、訪問網(wǎng)絡(luò)等；另一類是危險(xiǎn)權(quán)限，涉及到用戶隱私，在使用時(shí)需要用到此功能時(shí)進(jìn)行彈窗提醒用戶授權(quán)。

　　?這一更新無疑很好地規(guī)范了權(quán)限獲取與“明示同意”的應(yīng)用行為。

　　然而，南都記者試用發(fā)現(xiàn)，大陸常用的安卓手機(jī)大都不使用安卓原生系統(tǒng)，而是對安卓系統(tǒng)進(jìn)行了改寫。例如，華為手機(jī)在下載華為應(yīng)用市場中的應(yīng)用時(shí)并不會(huì)跳出授權(quán)彈窗，小米手機(jī)也對從小米應(yīng)用市場中下載的應(yīng)用進(jìn)行了“豁免”。

　　“手機(jī)廠商會(huì)根據(jù)自己的需要對系統(tǒng)進(jìn)行改寫，他們會(huì)自己編寫想要的權(quán)限明示方式”，劉洋對南都記者說。

　　?由于手機(jī)原生應(yīng)用市場會(huì)對上架應(yīng)用進(jìn)行安全檢查，因此豁免手機(jī)原生應(yīng)用市場的應(yīng)用并不是最令人擔(dān)心的。

　　更可怕的是，南都記者嘗試用系統(tǒng)已經(jīng)更新的魅族手機(jī)下載了百度手機(jī)助手，并在助手中下載了“王者榮耀論壇”，在安裝時(shí)，系統(tǒng)彈出權(quán)限列表，并允許用戶逐項(xiàng)選擇“開啟”、“關(guān)閉”或是“使用時(shí)詢問”，做到了明示同意。

　　在列表中，南都記者對攝像頭、音頻等功能點(diǎn)擊了“使用時(shí)詢問”選項(xiàng)。隨后，南都記者打開應(yīng)用，試圖拍攝一張照片并發(fā)布，但卻發(fā)現(xiàn)系統(tǒng)沒有跳出詢問彈窗便直接使用了拍照功能。這意味著，安裝時(shí)用戶的授權(quán)形同虛設(shè)，應(yīng)用繞過授權(quán)獲取了用戶的相機(jī)權(quán)限。

　　事實(shí)證明，不同手機(jī)廠商，不同應(yīng)用商店都會(huì)根據(jù)自己的需求對于權(quán)限授予做出改變，用戶面對的依然是一個(gè)雜亂而無法掌握的安卓權(quán)限獲取現(xiàn)狀。