导航菜单

个人信息被“偷窥”?神州租车等9款App涉嫌过度获取权限

Orient.com记者程琦3月27日报道:你手机里的个人信息被泄露了吗?随着移动互联网的快速发展,“手机”已经成为我们生活中不可或缺的一部分,但个人信息披露和侵犯手机应用软件合法权益等问题也十分突出,尤其是“手机应用权限过度应用”引发的各种纠纷 今天,上海消费者保护委员会举行了一次简报会,介绍了与手机应用相关的个人信息权评估结果,如在线购物平台、旅游和生活服务。根据简报,截至3月23日,仍有9款应用未能改善其权利和功能,如聚美、神州租车、百度米诺和格瓦拉人寿。

中国租车、百度糯米等9款涉嫌过度访问的应用

网上购物、社交网络、旅游和生活方式手机应用涉及用户日常生活的方方面面,需要获取更多的用户个人信息来完成相应的功能。 本公告是上海市消费者保护委员会今年1月对上述39种应用程序进行的个人信息许可评估。 评估主要从四个维度进行:第一,应用程序使用的目标应用程序接口级别 当目标应用编程接口级别低于23时,安卓将对权限采用一揽子授权模式,这有一个漏洞可以绕过系统安全机制。第二是应用敏感权限的数量 关注安卓系统中与个人信息密切相关的29种权限的应用和使用;第三,注意敏感权限的授权方法 是否有一揽子授权模式以及如何向用户提出授权请求;第四,检查没有实际功能的应用程序是否有权限应用程序。

本次评估发现,手机淘宝、京东、威品、品多、网易考拉等对应的应用敏感权限和实际功能有14个。 为了促进相关问题的解决,上海市消费者保护委员会与手机应用企业进行了技术交流。经调查,相关企业也对存在的问题进行了解释和优化。 截至3月23日,所有30项申请均在敏感权利的申请和使用方面实现了合理申请和独立授权。 然而,截至3月23日,仍有9个应用程序未能改善权限和功能不一致的问题。

涉及的应用包括聚美(v7.951)、北碚(v8.2.01)、琼瑶(v9.2.0)、TripAdvisor猫步鹰(v29.4.1)、神州租车(v6.4.4)、怡和租车(v6.2.1)、饿瑶(v8.13.1)、百度糯米(v8.4.7)、格瓦拉人寿(v9.5.0) 问题涉及发送短消息、记录、拨打电话、读取联系人、“监控呼出、重置呼出路径”、接收消息(短消息)、读取呼叫记录和其他敏感权限,但是没有找到相应的功能,并且目标应用编程接口级别较低。

例如,中国租车应用程序版本(v6.4.4)有过度的许可行为,如打电话、监控呼出、重置呼出路径和录音。百度糯米(v8.4.7)版本可以安装获得发送和阅读短信、打电话等功能。但是评估技术人员没有找到与他们想要获得的权限相对应的功能;然而,格瓦拉人寿(v9.5.0)拥有过度获得的用户发送短消息、联系人和录音的权利。

涉及不可忽视的个人信息和商业秘密“日历权威”。

此外,此次评估还发现,许多网上购物应用已经获得了日历权限,调查还显示,超过一半的消费者正在使用日历功能记录工作和个人日常安排等信息。 这些信息涉及个人信息、商业秘密等,而消费者很少关注日历权威。

根据上海消费者保护委员会通过上海消费者保护委员会、上海新消费者微信公众号和腾讯沈达进行的在线调查,69.9%的消费者担心手机应用程序获取个人权利的问题。 其中,通讯录权限最受关注,占43.5%;26%的消费者关注电话和短信权利 值得注意的是,只有0.4%的消费者关注日历权利。

使用手机日历功能频繁记录旅行 本发明具有时间提醒、行程记录等功能 其中,52.5%的消费者使用手机日历功能记录个人出行。 其中,24.7%的消费者选择记录他们的日常生活。18.5%的消费者记录了他们的日常生活、工作和其他旅行。

上海消费者保护委员会认为日历权威给消费者带来的可能性和风险大于给消费者带来的便利,使用日历权威的网上购物平台给消费者带来的场景可以被其他技术手段所替代。 据此,上海消费者保护委员会希望消费者和应用开发者能够重视日历权威。

上海消费者保护委员会副秘书长唐建生表示,他建议消费者,如果经常使用日历记录敏感事项,应该谨慎授权APP的日历权限。如果没有必要,建议应用程序开发人员尽可能不要使用手机日历权限。