PDF《过度索权成“竞赛”,APP 为何这么贪心》

13 新华每日电讯/2019.

3.29/星期五 本刊主编:易艳刚 值班责编:刘晶瑶 、刘婧宇 实习生:韩明哲 版第61 期 防范未成年人恶性犯罪 心痛更要行动

14 微信公号: xhmrdxwx

电话: (010 )

63076340 新华社记者周蕊 不给权限就不让用 APP ;

竞争对手索取了 权限, 自己也 不甘人后 ……已经成为消费之 痛的过度索权问题背后, 是企业漠视个人信息 保护心态在全行业蔓延带来的 军备竞赛 . 三令五申 , 手机 APP 过度索权 问题仍存 即便你安装的手机 APP 都来 自行业领先的 大公司出品 , 这些 APP 的安全性并不能令人完全放心 读取联系人和通讯录 , 偷偷监控外拨电话 , 翻看手机通话记录 , 甚至还开启了录音功能 , 你 的手机也许并不 老实 , 甚至即便你安装的手 机APP 都来自行业领先的 大公司出品 , 这些 APP 的安全性并不能令人完全放心. 上海市消保委近期对网购平台、 旅游出行、 生 活服务等

39 款市场占有率领先的手机 APP 涉及 个人信息权限评测显示, 截至

3 月23 日, 有9款手机 APP 存在索取的权限与功能无法对应的问 题, 涉及聚美、 穷游、 猫途鹰、 百度糯米等. 比如, 穷游 A P P 向用户索取 读取联系 人 的权限, 但并没有提供相应的功能;

神州租 车APP 向用户索取 录音 监控外拨电话, 重 新设置外拨电话的路径 等权限, 但也并未能 提供相应的功能. 此次发布的测评结果, 已经是上海市消保 委第三次针对手机 APP 进行的测评. 此前, 上 海市消保委已经针对地图类、 浏览器类、 输入法 类以及综合视频类等进行了两轮测评, 发现存 在数十项无实际功能对照的权限申请, 包括读 取通讯录、 电话权限、 短信权限、 定位权限等. 上海市消保委秘书长陶爱莲说, 在三令五申 下, APP 过度索权问题依然屡禁不止, 即使是来 自行业领先大公司的 APP 问题同样突出, 已经 成为消费者的新痛点. 你要我也要 ―― ― 过度索权四 大 怪 背后是企业利益驱动 、 诚信缺 乏、对个人信息安全保护漠视心态在 全行业蔓延带来的 军备竞赛 手机 APP 过度索权 为何难治? 记者调查发 现, 手机 APP 过度索权存在四大值得警惕的新趋 势, 背后是企业利益驱动、 诚信缺乏、 对个人信息 安全保护漠视心态在全行业蔓延带来的 军备竞 赛 . ―― ― 就是不升级 . 在多轮测评中发现, 手机APP 使用的目标 API 级别过低的问题比较 明显. 在本轮测评中, 百度糯米 APP 的用户在 安装时, 由于目标 API 级别过低, 即便并没有 相应的使用场景, 也 一揽子授权 了包括 读取 联系人 录音 读取信息 等敏感权限, 否则就 无法正常使用该 APP . ― ― ― 假装不知道 .一些企业称,手机APP 过度索权是程序员的 锅 . 一嗨租车相关 负责人表示, 企业程序员 开发失误 , 不小心 上线了没有使用场景的敏感权限, 并没有实际 使用该权限 . 而猫途鹰则表示企业存在失察的 情况, 没有主动去检查是否存在索取已经不存 在应用场景的权限的问题. 北京捷兴信源信息技术有限公司技术支撑 部总经理盛大江指出, 当目标 API 级别低于

23 时, 安卓对于权限会采用一揽子授权的模式, 存 在可规避系统安全机制的漏洞, 安全风险比较 大. 是否提升 API 级别、 检查索权是否与使用 场景对应, 是企业的自主选择. 尽管工信部在内 的监管部门都在提倡提升目标 API 级别到