人民日报评:手机App过度索取权限何时休

2019-05-23来源: 新浪手机关键字:App

远离消费陷阱,规避消费误区,提升消费体验,黑猫投诉平台全天候服务,您的每一条投诉,每一次对消费的建议,都可能会改变这个世界。投诉请上黑猫:【点击投诉】

被劫持的不只是浏览器主页——手机App过度索取权限何时休

人民日报 本报记者 喻思南 吴月辉 刘诗瑶 谷业凯 冯 华 余建斌

记者在调查浏览器主页劫持现象的过程中发现,手机App(应用程序)也是互联网技术霸凌的重灾区。“灾情”如何?记者进行了调查。

■安装时要求权限过多、收集信息过度,App技术霸凌时有发生

“我的手机App一打开网页,就弹出各种抽奖小广告”“看个视频,却要求获取我的通讯录权限,不打开权限就无法观看”“下载后安装App,需要获取我的地理位置信息,不同意就装不了”……手机App要求权限过多、过度收集信息非常普遍,也是被吐槽和投诉的技术霸凌“重灾区”。

记者在百度搜索框敲入“App权限”,马上就自动显示“App权限过大”和“App权限哪些需要禁止”的搜索提示。“App权限过大”的百度相关搜索结果量超过400万个,“App权限哪些需要禁止”的搜索结果量也超过200万个。

在对40多万款App进行调查后,中国人民大学信息学院教授孟小峰团队发现,目前App的各类权限接近40个,但大部分权限跟App实现功能的正常需求并不匹配。

前不久,上海市消费者权益保护委员会对39款手机App涉及个人信息权限的测评显示:超过六成App在用户安装时申请了很多敏感权限,却不提供实际功能,包括读取通讯录、电话权限、短信权限、定位权限等。

DCCI互联网研究院首席专家胡延平告诉记者,为了提供服务、提升体验,一些App要求权限、收集信息是合理的,但应该有边界。“大多数用户并不知道App要这些权限做什么,也不会仔细了解每个权限的风险,很容易不知不觉地掉进风险盲区。”

安装App时,在用户不知情的情况下,违规捆绑无关软件、违规搜集用户个人信息……手机App中的“恶意分子”所引发的技术侵害则更加难以防范。据中国科学院信息工程研究所副研究员刘奇旭介绍,这类App技术入侵主要通过3种方式实现——

一是将正常的App安装包替换成攻击者的安装包,或是在用户正常安装时,关联安装恶意App,“操作者”通常是第三方应用商店或者手机中的恶意软件;

二是手机中的恶意软件监测手机App的运行状态并进行攻击。例如,当用户打开某个App的界面时,被恶意软件探知后,启动其仿冒界面来覆盖原界面,导致用户在仿冒界面中输入自己的账号信息,并被攻击者获取;

三是手机中的恶意软件会中途“劫持”用户对某个页面的访问,代之以返回错误或含有恶意代码的页面。例如用户在使用App时会被插入不良广告,操作者通常是不良运营商和手机中的恶意软件。

■影响体验,泄露隐私,App劫持的背后是经济利益驱动

安全专家表示,App存在的过度要求权限等技术霸凌行为,不仅影响用户使用体验,还可能导致隐私泄露,甚至造成财产损失。腾讯发布的《2018年手机隐私权限及网络欺诈行为研究分析报告》显示,手机App是重要的隐私泄露渠道之一。

智能手机是人们目前常用的移动互联网终端,存放着用户的社会交往、行为喜好、生活规律、账号密码、照片视频等隐私数据,甚至还包括商业机密文件。胡延平说,一些App越界获取权限,用户不小心就掉进“天罗地网”,手机里的个人信息随时处于“裸奔”状态,无异于被App“数据劫持”。

一些权限如果被恶意App获取,会引发更大的风险。比如,App要求的日历权限允许读取、分享或保存日历数据,如果该权限被恶意App利用,可能用来追踪用户每天的行程;电话权限被恶意App利用,可能会产生额外的电话费用、泄露智能设备的独有编码信息;通讯录权限被恶意App软件获取后,不仅联系人信息被泄露,还很有可能被传播垃圾邮件、短信或电话的人利用,轻则给日常生活带来骚扰,重则还会引发诈骗、勒索等后果。

“App技术霸凌给用户的手机带来了新隐患,使其可能成为攻击者攻击其他目标的跳板。尤其是获取高权限的App,更是能够随心所欲地控制用户手机。”刘奇旭说。

面对App的技术霸凌,用户缺少选择权,整体上处于任人宰割的弱势地位。

App运营方为什么要获取这么多的权限和数据?专家分析说,大数据的应用,让个人数据变得越来越有价值。一些App运营方通过各种手段,甚至在没有获得用户同意的情况下收集用户信息,主要是大数据背后的经济利益驱动。

“比如,App抓取广大用户的手机通讯录后,会将通讯录上所有人的电话、姓名、地址等信息汇聚形成一个用户数据库,借此给用户精准‘画像’,通过推送广告等获取收益。”胡延平说,“这些信息和数据甚至会被反复、多次出售,被网络黑色产业链利用。”

■专家呼吁完善相关法律,为App获取个人信息划定边界

针对App过度和越界索求手机权限,安全专家表示,App获取个人信息应遵循3个原则:一是最小必要原则,即App获取的信息是不是服务的必要数据;二是用户知情原则,即第一次使用App时,需要提示用户是否开启某项服务,即使选择不开启,也不能影响App其他功能的正常使用;三是必要保护原则,即App合规收集用户的数据时,要保证数据安全,确保不被泄露、贩卖和滥用。

“应该通过法律规范明确个人信息的收集边界,除特定情况并征得用户授权外,用户本人应绝对掌控自己的个人数据,信息采集方也无权违规使用。”北京师范大学网络法治国际中心执行主任吴沈括说。

吴沈括认为,与个人隐私相关的信息重点在于保护,与个人隐私不相关的个人数据重点在防止滥用,“维护数字生态健康发展,必须区分哪些数据是企业可以收集的,哪些数据的收集是要征得用户同意的。”

避免个人信息泄露,用户也有必要逐步提高自身安全意识。专家建议,用户要选择正规的渠道下载App,同时要重视手机隐私权限管理,及时关闭不必要的App权限。

对互联网技术霸凌现象,记者将继续跟踪报道。


关键字:App 编辑:北极风 引用地址:http://news.eeworld.com.cn/xfdz/ic462647.html 本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:索尼不会放弃手机业务,或2020年实现盈利
下一篇:OPPO将在年底推出屏下摄像头手机?

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

NetApp被列入Gartner“2019年主存储魔力象限”
作为混合云数据管理领域的权威企业,NetApp近日宣布在全球著名研究公司Gartner最新发布的2019年主存储魔力象限(Gartner 2019 Magic Quadrant for Primary Storage)1中,NetApp凭借其执行力和愿景的完整性被列入领导者象限,尤其是其执行力排在了第一位。NetApp亚太区高级副总裁兼总经理Sanjay Rohatgi表示:“我们认为2019年Gartner主存储魔力象限进一步证明了NetApp解决方案能够带来跨核心、边缘与云的数据驱动型业务结果。我们帮助企业简化混合多云环境中的数据管理,确保企业能在正确的时间将其应用数据传输至正确的地点,使其能够作出更好的数据驱动型决策。通
发表于 2019-10-09
第三方推出App Store替代品AltStore 不需要越狱装程序
9月27日消息,近日,开发人员Riley Testut正式宣布,将于明日推出苹果App Store的替代产品——AltStore 。据悉,AltStore 是非越狱设备的替代应用程序商店,用户只需要用苹果 ID,即可使用它来安装苹果不被允许的应用程序,例如用于任天堂游戏机的Testut的Delta模拟器。相关信息显示,AltStore主要针对无法花99美元来购买开发者账户的人,其主要工作方式是欺骗用户的设备。据悉,由于苹果公司严厉打击,AltStore并不依靠企业证书,而是主要依靠鲜为人知的开发人员功能。使用该功能,用户便可欺骗自己的设备,使它认为使用者是开发人员,进而可以安装测试应用程序。但也由于缺乏企业证书,所以使用此功能时
发表于 2019-09-30
第三方推出App Store替代品AltStore 不需要越狱装程序
苹果测试App TestFlight正式版2.5更新了
      苹果今天发布了针对iOS的TestFlight测试应用的最新正式版v2.5。此更新包括支持iOS 13上的黑暗模式,也就是深色模式,适应于弱光环境。  iOS 13中的黑暗模式可以通过“设置”或“控制中心”手动启用,也可以根据计划或一天中的时间自动启用。TestFlight通过根据你的系统范围主题自动调整其主题来利用它。  考虑到该应用程序的全白界面,在iOS 13发布之后,TestFlight就缺少了黑暗模式。但是,随着今天版本2.5的更新,TestFlight现在与黑暗模式完全兼容。
发表于 2019-09-27
stm32-BootLoader程序和app程序合并烧录
我前面的文章有说过,如何制作BootLoader和app程序,但是需要烧录2个hex文件,整个程序才可以正常运行。那如果是量产烧录2次程序是非常耗时间的,通过查阅一些资料,可以把两个hex文件合并成一个hex文件。hex文件的格式不做解释,有兴趣可以百度一下,很多大神说过。我亲自做了2款合并软件一个是dos界面的一个是MFC界面的先看看dos界面的使用运行合并程序之前:运行合并程序之后:这里面多了一个合并的hex,只要烧录这个hex文件,整个程序就包括了BootLoader和app了。实测烧录进芯片是可以完美运行的。MFC版本分别选择BootLoader.hex 和 app.hex.点击合成就可以合成一个固件了,使用更加简单。实测
发表于 2019-09-25
stm32-BootLoader程序和app程序合并烧录
对APPLE的UWB技术怎么看?NXP CTO详细解读
你肯定知道Wi-Fi,蓝牙和5G,但是现在,又有一个全新的无线通信术语来了,Apple日前宣布iPhone 11和IPhone 11Pro中加入了超宽带技术(UWB),那么什么是超宽带技术呢?它的作用是什么呢?日前,NXP CTO Lars Reger接受CNET采访,解读了UWB技术的基础原理及其未来。以下是文章详情:USB技术可更精确的定位手机,钥匙或跟踪标签的确切位置,帮助找到丢失的狗或自动解锁汽车。UWB通过测量超短无线电脉冲在设备之间传输所需的时间来计算精确位置(类似于ToF),这项技术非常适合Apple的跟踪器标签。但是,UWB还有更多作用,他可以为您的房屋,汽车和其他设备带来新的智能互联。尽管现在它的作用有限
发表于 2019-09-17
对APPLE的UWB技术怎么看?NXP CTO详细解读
Android 10调整:特定情况允许多款APP同时进行音频访问
包括Pixel、Essential在内的少数手机已经升至Android 10系统,除了手势在内的诸多新功能和特性之外,外媒深入发掘后还发现了一些比较有趣的改变。 其中之一就是改变音频输入的工作方式,在某些情况下允许多个应用程序同时访问音频输入。在Android 10之前,在同一时间内只允许一款APP访问音频输入;如果某款APP需要使用某些东西的时候需要申请授权访问音频输入,那么该应用程序将会被阻止。不过自Android 10开始,多款APP可以共享音频输入,不过这仅限于某些特定条件。谷歌在最新的支持文档中罗列了相关的规则:● 特权应用程序的优先级高于普通应用程序。● 具有可见前景UI的应用程序优先于后台应用程序
发表于 2019-09-17
小广播
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2019 EEWORLD.com.cn, Inc. All rights reserved