網上約車、購物、叫外賣、導航……從早上睜眼到晚上睡覺,我們每時每刻都在享受著手機App帶來的便利。但與此同時,你的微信暱稱、頭像、位置、通訊錄、電子郵箱資訊、QQ賬號密碼,甚至身份證號碼、銀行賬戶都“祼奔”在網際網路海量“大資料”當中。而這些隱私資訊,基本上都是自己在下載安裝App時“同意授權”的。記者下載了30多個App,其中三分之二以上的App要求獲取定位許可權。獵豹移動安全專家稱,App濫用隱私許可權的現象非常普遍,建議使用者在安裝前仔細看授權協議,安裝後也可選擇關閉部分授權。
案例:朋友欠錢自己收到催款簡訊
日前,市民李女士莫名收到以借貸寶App為名發來的催收簡訊,稱其朋友貸款,而簡訊中不但公佈了其朋友的手機號、身份證號等個人資訊,還帶有大量恐嚇咒罵字眼。記者從簡訊中看到,內有李女士朋友,也就是借款人的姓名、手機號、身份證號等個人資訊,發簡訊的人自稱是“借款公司的”,稱借款人在借貸寶借錢時由李女士擔保,並咒罵稱如果借款人不還款,李女士及家人將遭遇厄運。
記者聯絡到借款人,對方承認確實從借貸寶平臺上的機構借了錢。但他並沒有將李女士填為擔保人,而是“手機軟體會調取通訊錄,向有過通話記錄的聯絡人催收簡訊。”
記者隨後也在借貸寶使用過程中發現,軟體會向用戶申請讀取手機通訊錄的許可權,在其《隱私條款》和《使用者註冊協議》中,也有內容稱如逾期未償還本息,借貸寶可能與第三方共享使用者資訊等。
無獨有偶,市民郭先生近日也收到不少催收公司發來的資訊,因自己的一個初中同學在借款平臺上借了錢未按時償還,催收方就通過同學手機通訊錄找到了他這裡。不僅收到催款簡訊,郭先生還接到了許多討債電話,甚至傳說中的“呼死你”也用上了,“響了十幾個小時,未接電話得有好幾千,但由於號碼不同,地域不同,想攔截都攔不住。”
現象:很多人下載應用並不看條款
記者調查瞭解到,幾乎所有的手機App應用在下載安裝時,都需要同意應用的《隱私條款》。比如,記者下載高德地圖App後,要點選“進入”地圖,就跳出來了高德地圖的隱私條款。仔細閱讀發現,這款App上可能會收集的個人資訊實在是太多了:包括位置資訊、上傳的圖片以及IP地址、裝置資訊、瀏覽器型別等,在註冊高德賬號時,會收集賬號名稱、暱稱、密碼、密碼保護問題、手機號碼等,還有電子郵件地址、淘寶賬號、支付寶賬號、微信、QQ、車輛品牌、車牌號碼、車輛識別程式碼、發動機號、機動車駕駛證、住宿資訊、行程資訊、支付資訊等。更關鍵的是,高德地圖還會將這些資訊提供給第三方,並授權高德地圖間接向第三方獲取相關資訊。
但很多“手機控”在下載安裝App時不會注意看授權許可權條款,便直接同意安裝。北京晨報記者隨機採訪了20餘位市民,竟然沒有一個人表示在下載App時會詳細看“授權條款”。“字太小了,而且都是一長篇,所以基本不看。”市民李女士說。
但就是點選“同意”這麼一個簡單的動作,使用者的隱私就這麼交出去了。
“只要你的手機裡安裝了導航軟體,無論你在哪裡,我們都能很快通過手機裡App提供的資料找到你。”在他看來,“有的App應用本來跟位置並沒有太多關係,可是App會強行搜尋你的位置資訊,而你的位置資訊根本遮蔽不了。”
資料:四成應用會申請獲取位置資訊
今年9月份,江蘇省消協工作人員通過現場檢測發現,在手機下載的100多個App中,79個App可獲取定位許可權,23個App可直接向聯絡人傳送簡訊。點開“電話與聯絡人”一項,有14個App甚至可以監聽電話和結束通話電話,結果非常驚人。在所獲取的個人資訊中,“位置資訊”和“讀取通訊錄和簡訊”是最容易被讀取。
據相關人員介紹,大多數App都有獲取精確位置的許可權,由GPS定位可精確到10米。各個開發企業給出的理由是需要進行一系列社交模組建設。但在實際操作中,實現社交功能,只需獲取大致位置許可權即可,根本無需GPS精確定位。
對於“讀取通訊錄和軟體”資訊,大部分開發企業表示,App需要通過驗證碼避免使用者重複註冊,同時起到推薦作用。這使得使用者的通訊資訊完全暴露在軟體公司面前。另據央視財經頻道此前報道,除了偷錄聲音、獲取定位外,誤下載到一些“山寨”App時,機主的銀行賬號和密碼則可能受到威脅。
專家支招:下載後應用前關閉部分許可權
對此,獵豹移動安全專家李鐵軍告訴記者,手機App濫用許可權的現象已經存在多年了,而且這種現象在安卓系統更嚴重一些。
造成手機App濫用許可權的情況分幾種,一種是大量正常App在開發過程中,給未來留有發展空間,“這個行業的一個特點就是使用者群越來越大的時候,功能也會無限拓展,就需要更多的許可權。比如說,原來沒有要求定位的,當它現在有一個社交功能後需要用到定位,或者發展O2O之類的都需要定位。”所以很多開發者就未來規劃的目標會需要事先“佔個坑”,先把許可權申請下來。而還有一種情況是,消費者可以看到的手機許可權設定,並不是全部授權。相當一部分程式在消費者沒有操作任何許可權設定,軟體就已經自動安裝完畢了。
避免使用者隱私洩露還是有一些辦法來解決,比如安卓系統在6.0的時候,系統的安全管理功能會提供機主對一個具體App來管理它的使用許可權,使用者如果發現有些程式申請的某些許可權覺得“越權”,就可以在許可權管理當中,把相應的許可權關掉。
律師說法:非法獲取個人資訊並盈利將獲刑
一些手機APP要求取得與自身業務沒有任何關聯性的使用者資訊的授權,屬於惡意取得授權,解決這一問題的核心關鍵在於個人資訊保護法律法規的進一步完善,比如立法禁止經營主體取得與自身業務沒有關聯性的資訊授權、一事一授權、授權用途必須明確具體等。
就目前而言,如果手機APP的經營主體惡意取得授權、濫用授權,並非法獲取、出售或者提供行蹤軌跡資訊、通訊內容、徵信資訊、財產資訊五十條以上的;非法獲取、出售或者提供住宿資訊、通訊記錄、健康生理資訊、交易資訊等其他可能影響人身、財產安全的公民個人資訊五百條以上的即構成侵犯公民個人資訊罪,將處三年以下有期徒刑或者拘役,並處或者單處罰金。
記者手記:告別“透明人”需多方努力
不可否認,App廣泛應用是數字時代發展的必然結果,享受資訊化生活帶來的便利也是社會發展必然經歷的一個重要過程。但App在為手機使用者提供上網便利的同時,也的確讓手機使用者成為了一個不折不扣的“透明人”——我們在享受數字化便利的同時,個人隱私已經越來越少。
上網幾乎等同於“裸奔”,這對任何手機使用者來說,無疑是一件很糟糕的事情。每一個新的行業的興起就必然會出現某些傷害使用者利益的事情存在,監管部門的“沒有及時發現和解決”,何嘗不是另一種意義上的漏洞呢?因此,保障個人資訊保安,需要有關部門作出更加權威的分析、評估和研判,也需要在技術和法律層面予以完善。安全廠商與製造商、運營商、網際網路服務商、應用開發企業等渠道加強合作,確保各平臺及管道是安全的,從源頭去保護使用者的資訊保安,可能會更加現實。
