您的位置:网站首页 > asp源码 > 正文

越界代码很普遍超半数APP留用户通讯录“后门”

类别:asp源码 日期:2019-8-23 20:29:02 人气: 来源:

  8月13日,《2019年上半年我国互联网网络安全态势》发布,报告指出,每款APP应用平均收集20项个人信息,大量APP存在探测其他APP或读写用户设备文件等异常行为,这再度引发对移动APP违法违规收集使用个人信息问题的热议。

  目前,用户判断APP收集了哪些信息主要以其的权限为依据。新京报记者近两年来持续关注APP权限发现,目前绝大多数APP均会提醒的权限,但APP究竟在什么时候上传了哪些用户信息,APP在技术层面能否窥视用户隐私,对于普通用户来说依然成谜。

  近日,新京报记者联合国家计算机病毒应急处理中心,对109款APP的安装包APK进行了引擎检测,检测结果发现,83.6%的APP安装包中均含有超出其原本业务范围之外的权限代码。109款APP中有超过半数的APP安装包里含有用户通讯录的代码。

  据此新京报发布了“个人隐私报告第一期”,本次报告重点关注APP越界权限问题。109款APP中嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个APP申请了全部6项权限,申请的权限最多。

  6月18日,新京报记者对比《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》中划定的不同行业APP应该的权限范围,基于安装APP后的权限提示,测试了50款常用APP,发现其中有24个APP的权限超出范围,占比48%。

  而6月25日至27日,新京报记者联合国家计算机病毒应急处理中心,对109款APP的安装包APK内含有的涉及隐私权限的代码进行了引擎检测,检测结果发现,除微信、虎牙直播等18款APP外,其余83.6%的APP安装包中均含有超出其原本业务范围之外的权限代码。

  根据《网络安全法》第四十一条,网络运营者不得收集与其提供的服务无关的个人信息;而《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》给出了哪一类APP收集信息的范围标准,超出标准即为越界。

  具体来看,在读取联系人、音频、读取短信、发送短信、发起电话呼叫、拍摄照片和视频六个涉权限中,上述109个APP中有57款APP“越界”含有读取联系人的代码,占比51.8%;有44款APP“越界”含有音频的代码,占比40%;有30款APP“越界”含有拍摄照片和视频的代码,占比27.2%。而读取短信、发送短信、发起电话呼叫三项APP权限被“越界”含有的比例则在20%左右,相对较少。

  其中,和包支付的安装包APK拥有全部上述6个涉隐私权限,但依据《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》,和包支付所属的金融借贷类APP基于其基本业务功能所能收集的必要信息包括手机号码、身份信息、征信信息等,上述6个涉权限与其基本业务功能无关。

  和包支付是中国移动面相个人和企业提供的一项综合性移动支付业务,开发者为中国移动旗下子公司中移电子商务公司。截至目前,其在华为应用市场中有3340万次安装。

  而作为游戏类APP的开心消消乐的安装包APK同样拥有全部上述6个涉权限,不过基于该APP的类型,音频属于其基本业务功能之内,但读取联系人、读取短信、拍摄照片和视频等其他5项权限不属于其基本业务功能之列。

  “实际上,绝大多数用户对APP的隐私协议是‘看都不看’的,对于权限的也往往不是很在意,因此看APP到底有能力获取哪些权限,在技术上直接看代码是最为方便的。”8月16日,在网安部门负责APP检测的程序员小武告诉记者,“代码不会”。

  近日,新京报记者联合国家计算机病毒应急处理中心,对109款APP的安装包APK进行了引擎检测。

  新京报记者查阅109个APP安装包所申请的6个涉权限列表发现,大多数APP都申请了3至4个权限,而嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个APP申请了全部6个权限,申请的权限最多。

  国家计算机病毒应急处理中心在发给新京报记者的检测报告中注明,通过上传的APP应用,自动识别出移动应用所属的行业,并对应到《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》中不同行业应有的权限集合,与被检测应用的AndroidManifest.xml文件进行比对,将多余部分的权限定义为权限。

  根据APP专项治理工作组发布的《APP申请系统权限机制分析与》,如果APP因业务功能需要申请系统权限,通常情况下,APP开发者可通过在AndroidManifest.xml配置文件中明确声明的方式(静态方式),以及在代码运行阶段请求的方式(动态方式)申请系统权限。

  “AndroidManifest.xml指的是APP安装包中的配置文件,其包含了APP安装所必要的各个组件,其中也有其申请的系统权限集合列表。”国家计算机病毒应急处理中心工作人员告诉记者,“例如,android.permission.READ_CONTACTS代表读取通讯录权限,拥有该代码的APP在‘基因层面’就具备了读取用户通讯录的意图。”

  例如,嘀嗒出行具备音频与拍照功能,拥有录音与拍照权限较为合理,但其同时也拥有读取联系限,这与其基本业务功能不符。

  对此,也有APP设计人士向记者抱怨称,“其实有不少APP在制作时,源代码是复制其他APP的,有时不需要的权限也这样一股脑儿复制过去了,并非是APP自己想要多收集。”

  7月9日至7月15日,新京报记者联合国家计算机病毒应急处理中心,从109款APP中筛选出了在安装包层面申请了多个权限的14款APP,采用“抓包”方式进行人工检测发现,14款APP中有7款APP在首次打开授权但不进行操作后,自动上传了用户的GPS定位等隐私信息,一些APP的定位精确到具体的区县。

  这14款APP包括360借条、和包支付、红包锁屏、看拍、球球大作战、瑞钱包、搜狗输入法、同花顺、微锁屏、悟空理财、宜人贷、中兴智能家居、作业帮等。

  其中,球球大作战、作业帮、中兴智能家居、宜人贷、红包锁屏、瑞钱包等7款APP在首次打开并对弹出的提示框点击确定,并不做任何其他操作的情况下,向网站上传了用户的经度和维度定位信息。其中作业帮上传的内容精确到了检测机构所在的天津市滨海新区。

  需要注意的是,记者并未在球球大作战、微锁屏等APP中直接找到需要使用地理的功能,但其仍然向用户申请了相关权限,并在安装完后立刻上传了用户的定位信息。

  中国人民大学院教授刘俊海认为,和是有边界的,APP若贪得无厌,权限超过范围就构成侵权,了消费者的隐私权与个人信息权,此时APP应该“”。

  《APP申请系统权限机制分析与》也显示,APP应遵循“最少够用”原则,即APP应只申请实现业务功能所必需的系统权限。选择系统权限时应选取能满足业务功能所需的“最少够用”的权限,比如,使用“粗略地理”即可达到业务目的,完成业务功能的,避免使用“精确地理”。

  不过,什么是“最少够用”,APP显然有不同的理解。有网安部门的对新京报记者表示,其在执法时常常遇到APP对权限辩解的各种理由,“比如我去问一家游戏APP,你们要地理干什么?对方表示是为了‘观察哪个的玩家较多,此后可以在该架设服务器,更好地提升用户体验’”。

  对此,APP专项治理工作组何延哲对记者表示,以提升服务体验为借口多权限也是不合理的,“比如游戏类APP如果想要根据用户架设服务器,只要看用户IP就可以了,为什么要获取地理权限?”

  未发现APP用户谈线年上半年我国互联网网络安全态势》指出,在目前下载量较大的千余款移动APP中,每款应用平均申请25项权限,其中申请了与业务无关的拨打电话权限的APP数量占比超过30%;每款应用平均收集20项个人信息和设备信息,包括社交、出行、招聘、办公、影音等;大量APP存在探测其他APP或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在。

  8月16日至19日,新京报以“你觉得APP会不会泄露你的个人隐私信息”为题在微博、今日头条以及微信朋友圈进行了问卷调查,汇总调查结果显示,200个回复的手机用户中,有184人认为“会泄露”,有16人认为“不会泄露”,认为APP会泄露隐私的用户占到了调查总数的92%。

  与之形成鲜明对比的是,在新京报记者测试的109个APP中,几乎所有APP均可找到隐私协议,且协议中有类似“会遵循隐私政策收集使用信息”的表述。此外,由于APP专项治理工作的推进,APP对权限进行提醒几乎普及了所有主流APP,有网信办相关工作人员对记者表示,对APP“主要抓合规性,制定法律法规,标准规范,并督促APP落实”。

  是什么造成了用户认知与APP规范的“割裂”?安全专家刘海(化名)对记者表示,在技术上,APP确实拥有探寻用户隐私的能力,且由于用户数据上传至企业后,对于而言就属于数据进入了“黑箱”状态,企业拿去做什么,只要不被,用户是毫不知情的,再加上用户日常会接到针对其画像的定向推送,所以不信任感会大大增加。

  业内人士称,性价比不高。APP专项治理工作组曾发文称,“偷听”的性价比确实不高。因为APP要克服识别噪音、是否本人购物意向等,相比用户平时的搜索、浏览、订单历史习惯,“”录音的行为属于舍近求远,避简就繁,不符合商业逻辑。

  此外,行为违反《网络安全法》第四十一条“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息制度;网络运营者必须公开收集、使用规则,收集、使用信息的目的、方式和范围,并经被收集者同意”的相关,企业如果存在使用技术手段“偷听”语音并上传的行为,对企业声誉的影响是致命的。维基解密黄菊自杀

  财成国际

关键词:第一源码
0
0
0
0
0
0
0
0
下一篇:没有资料

网友评论 ()条 查看

姓名: 验证码: 看不清楚,换一个

推荐文章更多

热门图文更多

最新文章更多

关于联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

CopyRight 2002-2012 技术支持 源码吧 FXT All Rights Reserved

赞助合作: