對于很多人來說,手機權限是一個不知道該不該給、給了可能會後悔、不給又有些功能用不了的東西。其實,App擷取權限通常都是為了更好地提供服務,但究竟什麼時候該給,給的頻率多少才合理呢?
12月17日,由南方都市報個人資訊保護研究中心主辦的“2021啄木鳥資料治理論壇”在北京召開。會上,南都個人資訊保護課題組釋出《個人資訊安全年度報告(2021)》(下稱“報告”),披露了150款App的權限擷取合規情況。
結果發現,89款都在使用者首次使用時申請了非必要權限,30款在使用者明确拒絕後仍頻繁彈窗申請,最誇張的彈窗11次。還有九成被測App調用敏感權限超出實作其業務功能所必需的最低頻率,有的App五分鐘内調用定位權限超過2000次。
1
有App需拒絕11次權限申請才可使用
報告分析今年監管部門關于App違法違規收集使用個人資訊的通報發現,國家網信辦通報的問題中,“違反必要原則”占比高達53.3%;工信部也通報“App強制、頻繁、過度索取權限”問題228次,占比21.6%。可見,App超範圍收集個人資訊、擷取權限的情況十分嚴重。
今年3月印發的《常見類型移動網際網路應用程式必要個人資訊範圍規定》(下稱《規定》)為39類App劃定了滿足基本功能服務所需的必要個人資訊範圍。報告以《規定》為标準,對十大行業的150款App進行了權限擷取合規度測評。
測評結果顯示,隻有“新氧醫美”“360借條”“學而思網校”三款App得分高于90分,整體平均分僅有57.9分。其中近半App得分集中在60-70分,不及格的App則有60款,占比40%。
150款App權限擷取合規度得分分布
從具體問題看,150款被測App中有89款都在使用者首次使用App時彈窗申請了非必要權限,涉及電話、定位、存儲、通訊錄、相機、麥克風等,其中不乏“釘釘”“美柚”等頭部App。
比如首次使用“釘釘”時,其向使用者彈窗申請了存儲和電話權限。但根據《規定》,即時通信類App的必要個人資訊僅包括手機号、賬号資訊和聯系人清單。女性健康類App“美柚”則無須個人資訊即可使用基本功能服務。
釘釘App截圖
此外,強制擷取非必要權限的情況仍然存在。根據《規定》,教育文化類App僅需手機号即可實作基本服務,但一款名為“學舍”的App強制擷取電話、定位、存儲權限,拒絕則無法使用。
值得注意的是,當換成其他安卓系統時,多次拒絕權限彈窗後,可以正常使用“學舍”——這意味着同一款App在不同的手機系統下,合規度有所差異。
像“學舍”一樣,需要多次拒絕權限申請才能正常使用的App還有不少。報告指出,“優健康”“高途課堂”等30款App在使用者明确拒絕某權限後,仍然頻繁彈窗申請,其中存儲權限被重複申請的次數最多。
如首次打開“粉象生活”,使用者需連續拒絕11次存儲權限彈窗,其中有兩次是選擇了“拒絕且不再詢問”後仍再次彈窗。“閑魚”則在五分鐘内連續彈窗4次申請擷取定位權限,最後一次才給出“拒絕且不再詢問”的選項。
粉象生活App截圖
閑魚App截圖
報告認為,App連續多次彈窗申請同一權限的做法是一種“變相強制”——使用者通常在幾次連續彈窗後,便以為若不授權該權限則無法使用App,于是迫于無奈選擇同意。也就是說,不屬于法律要求的“明示同意”。
2
過半App未告知權限擷取目的
App超範圍收集個人資訊、擷取權限除了表現在強制擷取、頻繁彈窗上,還表現在申請擷取的權限和隐私政策中告知的權限、App的實際功能不能一一對應上。公安部今年的通報中,近半成都存在“未向使用者明示申請的全部隐私權限”的問題。
報告針對月曆、相機、聯系人、定位、麥克風、電話、存儲等敏感權限測評發現,150款App中,有57款未在隐私政策中告知所申請的敏感權限,如“華爾街見聞”“莉景天氣”;還有63款App申請的敏感權限無法在App内找到對應功能,如“百度新聞”申請了相機、電話、聯系人、月曆四項權限,但App内未能找到相應功能。
報告還發現,存在上述問題的App數量呈現從頭部到尾部逐漸遞增的趨勢。這意味着,頭部App的表現好于中尾部。報告認為,中尾部App應主動積極合規,監管部門也可适當加大對中尾部App的監管力度。
除了需要擷取哪些權限,告知擷取這些權限的目的同樣重要。
報告發現,150款被測App中,僅有68款在申請擷取權限的彈窗中詳細告知了目的。告知方式主要分為兩種:先彈窗告知目的,再彈窗申請,以及彈窗申請的同時在螢幕頂部展示申請目的。相比之下,後者的使用者體驗可能更好。
如“58同城”App還在第一個彈窗中增加了拒絕選項——如果使用者選擇“取消”則意味着直接拒絕授權,如果選擇“去授權”,才會出現權限申請彈窗。“今日頭條”App則在申請“電話”權限時,螢幕上方彈出了“裝置權限使用說明”的“蒙層”,使用者隻需一次點選,即可了解權限擷取目的并做出是否授權的選擇。
成功擷取權限後,App就有了讀取使用者資訊的權利。很多情況下,App需要将使用者産生的資訊從裝置傳輸到伺服器進行處理。在這個過程中,可能涉及到身份證号、銀行賬戶、人臉資訊等敏感個人資訊,是以對資料加密至關重要。
技術測評結果顯示,“學而思網校”“愛彼迎”等29款App未對傳輸的資料内容加密,占比近兩成,使用者的電話号碼、身份證号、昵稱、賬号密碼、驗證碼、手機型号以及地理位置均明文可見,存在資料洩露的高度風險。
學而思網校App資料傳輸内容
愛彼迎App資料傳輸内容
3
莉景天氣五分鐘内調取定位超兩千次
近年來,小米、華為、蘋果手機陸續上線記錄App活動的功能——App何時通路了什麼資料,一目了然。借助這一功能,微信、美團被曝出在背景頻繁通路相冊、地理位置;經南都記者實測,支付寶、中國農業銀行、王者榮耀、大衆點評等App也存在類似行為。
在漢華飛天信安科技有限公司的技術支援下,報告對150款App在一段時間内調用敏感權限的頻率進行測評,包括前台和背景兩種場景。
報告參考《資訊安全技術 移動網際網路應用程式(App)個人資訊安全測評規範》(征求意見稿),将标準定為:對于定位權限,在地圖導航、位置追蹤等實時定位場景中,合理調取頻率為每秒1次;展示周邊可用服務等場景下,每30秒1次;識别目前位址等場景下,隻應一次性讀取。至于其他敏感權限,均隻能在使用者主動觸發時讀取或經使用者明确授權後讀取。
測評結果顯示,App處于前台時,有多達135款頻繁調用權限,且集中于定位、IMEI号(裝置識别碼)以及剪切闆三類,分别對應的App數量為134款、128款和58款。
頻繁擷取敏感權限的App數量分布
其中情況較為嚴重的如“莉景天氣”,平均每分鐘調用定位權限約153次;“網易新聞”平均每分鐘内調用定位權限近17次。此外,“騰訊視訊”平均每分鐘讀取IMEI号約202次,“網易新聞”平均每分鐘讀取約48次。
此外,“高德地圖”“微信”“抖音”等58款App在使用者未主動觸發相關功能時讀取剪切闆,其中“DJ音樂庫”每分鐘讀取約8次。“釘釘”“柚卡”等App則在測評期間多次調用了月曆權限。
上述實測情況是App處于前台的情況下。當處于背景時,調用權限的頻率整體上有所下降,隻有“莉景天氣”五分鐘内讀取了2286次位置資訊,頻率甚至超過處于前台時。
除了15款仍頻繁調用定位權限的App,處于背景的“騰訊視訊”平均一分鐘讀取IMEI号46次。同樣在背景且沒有發生需要讀取剪切闆的操作的情況下,“新浪新聞”仍通路了1次剪切闆。
2019年,南都個人資訊保護研究中心曾在《2019個人資訊安全年度報告》中提到,100款移動金融類App中,59款App每分鐘調用裝置識别碼超過100次。其中“招聯金融”一分鐘内調用了6109次,“融360”調用了2586次,“51信用卡管家”“51人品貸”“還呗”“國美易卡”“360借條”調用超過1000次。
相比之下,盡管今年頻繁擷取權限的認定标準更加嚴格,情況依然大幅改善。超範圍獲權方面,2021年隻有“學舍”一款App強制獲權,遠遠低于2019年的22款,預設擷取非必要權限的App占比也比2019年少了近9個百分點。
出品:南都個人資訊保護課題組
采寫:南都見習記者樊文揚