国产App的隐私困局,由百度“监听电话”事件引发的思考
2018年的新年可能对BAT三大巨头都并不好过。支付宝被爆出年度账单存在陷阱,微信忙着解释他们不看用户聊天记录,而百度则是涉嫌侵害消费者个人信息安全被起诉。 今年一月,百度旗下App被江苏省消保委提起诉讼。 2017年7月,江苏省消保委结合手机应用市场上侵犯消费者个人信息的情况,对涉及视听应用、图文阅读、金融支付、旅游出行等用户较多且具有一定行业代表性的27家手机APP所属企业进行了调查和约谈。 大部分企业都按时提交了实质性整改方案。绝大多数企业均对其APP进行了优化,比如,删除不必要敏感权限、增加消费者提示框、提供消费者权限选择界面、完善非注册用户信息保护等,以尊重消费者的知情权和选择权,对消费者个人信息提供了较全面的隐私保护和安全保障。 2017年7月4日,江苏省消保委就北京百度网讯科技有限公司旗下的“手机百度”、“百度浏览器”等两款手机APP存在的相关问题,发送相关《调查函》以及要求百度派员前来接受约谈。而百度公司仅对相关问题做了书面的简单说明,并将权限通知及选择等义务推卸给手机操作系统,“消极应对省消保委调查”。 百度在最终提交的整改方案中,对“手机百度”、“百度浏览器”中 “监听电话”、“读取短彩信”、“读取联系人”等涉及消费者个人信息安全的相关权限拒不整改,也未有明确措施提示消费者APP所申请获取权限的目的、方式和范围并供消费者选择,无法有效保障消费者知情权和选择权。 其实百度并没有监控网民通话的意图。 百度调用的是READ_PHONE_STATE权限,READ_PHONE_STATE能够读取的信息包括用户的设备和 SIM 硬件 ID 以及来电的电话号码等敏感数据,而百度表示调用权限是为了读取来电电话号码,识别骚扰电话,严格来说,百度的权限是为了监听电话状态,而小米操作系统把它称为“监听电话”,操作系统翻译的不准确导致了误会。 但是,这并不意味着百度没有任何问题,事实上,权限滥用的问题是国内Android应用市场的通病。 读取IMEI等设备ID这其实也是业界比较普遍的做法,这些设备ID能够帮助厂商统计用户数量,也可以帮助了解用户情况从而修复bug。然而与国外厂商不同的是,国内很多手机厂商在获取IMEI号码时往往采取强制手段。例如微信会在程序启动时申请IMEI及本地存储权限,如果用户拒绝权限就会自动退出,这种“不给信息就不服务”的做法在国内的应用中非常普遍,也饱受网民诟病。 另一方面,应用权限过多的确是中国应用市场的现状,一个应用往往会获取近百个权限,而其中大部分都是无必要的权限。 为了更加深入地探究应用权限的现状,我们调查了市面上主流应用的权限数量,这些应用来自各大厂商,我们尽量选取了能够进行横向比较的应用,以便进行分析。 为了更加直观地展现我们对相关单元格进行了着色,红色越深,代表权限越多。 在调查过程中,我们甚至发现这些大量的种类繁多的权限和组件还引起了杀毒软件的注意: 从统计图上我们可以观察到: 1. 虽然国内外厂商的App对比不够全面(原因是很多国内应用并没有对应的国外应用,例如安全防护类别;而且国外的巨头涉猎的应用范围也不广泛,往往只做特定领域的应用,因此无法以厂商对比),但我们还是可以看出,国内的应用获取的权限往往比国外应用更多。 2. 即便是同类应用,权限数量也会有巨大的差别,差距最为悬殊的当属支付工具类,权限数量最低的京东钱包(18)与支付宝(229)差了10倍。 3. 支付工具可能存在一定的“安全属性”,但哪怕是不存在“安全属性”的浏览器,权限数量最高的UC浏览器(195)与Chrome(33)还是差了不少。 权限都有啥? 我们以UC浏览器的权限为例,在权限列表中,我们看到一些不明所以,与浏览器身份不符的权限: 而继续查看权限列表,我们还发现多个与推送有关的权限。 这些权限针对的是不同手机厂商的推送组件。由于Google在中国的退出,Google自家的Android推送解决方案GCM(FCM)变得不稳定,各家手机厂商往往都开始建立自家的推送系统,正因如此,国内的开发者们又多了一项任务——适配各个厂商的推送组件。这也是导致国内外app厂商权限差异的原因之一。 好消息是,推送服务不统一的问题未来可能迎来解决方案。 据工信部旗下泰尔终端实验室发布消息称,目前泰尔终端实验室联合包括华为、OPPO、vivo、小米、三星、魅族、金立、努比亚、谷歌、百度、阿里巴巴、腾讯、个推、极光等国外内主要相关企业共同制定安卓统一推送服务(Unified Push Service,简称UPS)技术标准,旨在为国内的消息推送服务建立统一的标准,为终端用户提供更好的手机使用体验,为应用开发者更好解决消息推送需求,并取得了阶段性成果。 虽然无法与Google官方推送平台相提并论,但接口不统一的问题还是能够迎刃而解,并且由于推送需要经过官方UPS渠道,应用后台频繁唤醒的问题也会得到解决。 权限真的重要吗? 前面提到,大部分的应用权限都没有很强的必要性,为什么不用更少的权限为用户服务呢? 作为用来识别用户唯一性的设备ID在某些app上变成了强制获取。微信启动时会弹出电话权限、本地存储权限的提示窗,如果拒绝权限申请就会停止工作,似乎获取这样的信息会决定app的功能性。 (编辑:ASP站长网) |