0
你可能收到过这样的短信,还以为最近桃花泛滥,自己太招人喜欢了!
天哪!过去 1 小时内又有 2 个妹子喜欢了你,离你最近的只有 2.9 公里,还不戳XXXXX.com/i 看看?回T退订【 XX 社交】
你也可能收到过这样的短信,看上去感觉自己棒棒哒,职场顺利,人脉广!
李X,有前同事标注你为“有两把刷子”,并向你推荐了81个职业人脉,王某生、刘某收等42个好友也在XX 等你。
收到这些短信的朋友们,章子怡的女儿叫什么?醒醒!不要沾沾自喜,存了你联系方式的猪队友不知不觉间把你“卖”了,那些读取了通讯录的 APP 正吃相难看地试图用这些招数招揽新用户。
读取通讯录只是其一,1 月 25 日,雷锋网获得了一份由腾讯社会研究中心与DCCI 互联网数据中心联合发布的《2018 年度网络隐私及网络欺诈行为研究分析报告》,发现仅在使用 APP 上,你还面临这些隐私安全威胁。
【 图片来源:太平洋电脑网 所有者:太平洋电脑网 】
APP 在向用户请求获取手机隐私权限时,有些权限是必要的, 不获取 APP 就无法正常工作。但也有些 APP 存在功能用不到,却要 求用户授予权限的行为——“越界获取”权限的行为。用户一旦授权, 不但会给手机带来不必要的负担,还会留下各种安全隐患,从而可能引发各种问题:
1、读取位置权限
该权限允许 APP 通过 GPS 或网络来获取手机的位置信息。多数 APP 需要此权限,如:地图、社交、外卖等 APP 都需要获取“位置 信息”,需要注意的是 GPS 定位耗电量很高,而且位置信息是敏感信息的一种,如果被不法分子利用,非常危险。
2、读写存储设备权限
该权限允许 APP 写入和读取机身存储和 Micro-SD 卡内的数据。
该权限的用途很多,例如:网盘类 APP 上传/下载文件、文件管理器 管理本地文件、地图类 APP 下载离线地图、社交类 APP 发送本地的 照片/文件/视频、多媒体播放 APP 播放本地文件等。需要注意的是,如果该权限被流氓 APP 利用,用户的敏感数据很可能会丢失、被修改或被泄露。
3、日历权限
该权限可以让 APP 读取、分享或保存日历数据。如果该权限被恶意 APP 利用,就可以追踪用户每天的行程。
4、电话权限
获取“电话”权限的 APP 可以查看并修改通话记录、查看用户 的本机号码和设备 ID、查看用户是否在打电话和正在拨打的电话号 码,并能更改拨打的电话号码,甚至挂断电话。除此之外,“电话” 权限还允许 APP 自动拨打电话。如果该权限被流氓 APP 利用,很可能会产生电话费用、泄露设备 ID 信息。
5、短信权限
该权限允许 APP 发送短信、接收短信、查看设备上存储的短信、毫无提示地删除收到的短信。
和“电话”权限一样,“短信”权限如 果被流氓 APP 利用,也会产生资费。此外,短信验证码是很多关键服务的“最后防线”。涉及该权限的获取时,用户要更加注意。
6、摄像头&麦克风权限
获得了“相机”权限的 APP 可以拍照片和录视频,第三方相机 APP、社交 APP、具有二维码扫描功能的 APP 都需要此权限。恶意 APP 软件可以在任何时刻打开手机摄像头,监视用户的生活和隐私,并大幅降低电池续航。
7、通讯录权限
该权限允许 APP 读取并修改联系人以及他们的数据(电话号码、 邮箱地址等),并获取手机的用户和账号信息。“通讯录”权限被恶意 APP 软件获取后,被泄露的联系人数据很有可能被传播垃圾邮件、短信或电话的人利用,而且用户的账号数据也会被泄露,该权限的重要性不言而喻。
8、身体传感器权限
一般健身类 APP 需要“身体传感器”权限。该权限允许 APP 进 行计步数和测心率等功能。
9、读取应用列表权限
该权限是指允许 APP 查看用户已安装和在用的 APP 信息,同时能了解到一段时间内,用户使用几个 APP 的往来路径,以此可以推测用户兴趣喜好,形成用户画像等。一部分 APP 软件也会借助此项功能在用户完全不知情的情况下唤醒其他 APP。一般情况下,此权限是做以下用途:
(1)一般以下类型的 APP 获取该权限属于正常现象:应用市场 类,垃圾清理类,杀毒安全类 APP。这些 APP 需要检查其他 APP 是否需要升级、清理、杀毒。
(2)部分 APP 需要调用外部(其他)APP,比如文件管理类 APP 需要知道哪些 APP 可以打开哪些文件,这种请求也是正常的。
(3)统计和推送。例如:用户装了什么 APP 就说明用户有某些方面的爱好,以此为基础,可以向用户推送可能感兴趣的 APP。
(4)方便 APP 间进行唤醒。这一般是在用户不知情的情况下,一个 APP 唤醒其他 APP,这种情况下获取该项权限就完全没有必要。
(5)APP 需要使用第三方服务。例如:某 APP 为方便用户登陆,需要先查看手机上是否安装了微信、QQ、微博等 APP,然后再调用这些通信社交 APP 的 API 接口,方便登陆授权。
(一)所有的 Android 端手机 APP 都会获取手机隐私权限
2018 年下半年测评发现,当前所有的 Android 端 APP 都会不同程度的获取手机隐私权限,用户对 APP 权限的管理已成为使用智能手机的“必修课”。
(二)Android 端仍有过半 APP 申请读取联系人权限
2018 年下半年的手机隐私权限测评发现:Android 端手机 APP 最常获取三大核心隐私权限分别是获取位置信息、读取联系人和读取 短/彩信,分别有 81.9%、51.9%和 42.8%的 APP 获取了以上三大核心隐私权限。Android 端手机 APP 最常获取三大重要隐私权限分别是使用话筒录音、打开摄像头和发送短信权限,分别有 86.9%、81.6% 和 53.6%的 APP 获取了以上三大重要隐私权限。
(三)9 成左右 APP 试图获取读写存储设备&获取应用列表权限
研究发现:Android 端手机 APP 申请“读写存储设备”的比例高达 94.9%,申请“获取应用列表”的比例也高达 87.2%。“读写存 储设备”权限指的是读写手机外部存储设备。如果用户的 SD 卡中有隐私数据,则要引起注意。当 APP 申请“获取应用列表”权限时,建议如果不符合以下两种情况,可不授权:
第一,属于应用市场类、垃圾清理类、杀毒安全类、文件管理类 APP;第二,需要使用第三方服务的 APP,如:有的 APP 需要调用微信的授权登陆服务。
(四)投资理财类 APP 是获取手机隐私权限最多的 APP
2018 年下半年的手机隐私权限测评发现:投资理财类 APP 是获 取手机隐私权限最多的 APP,投资理财类 APP 平均获取了 17.2 项手 机隐私权限。其次,是生活购物类和通讯社区类 APP,分别平均获取 了 15.3 项和 15 项手机隐私权限。网络游戏 APP 虽然是获取手机隐 私权限最少的 APP 类型,其平均获取的权限数量也达 11.6 项。
(一) 投资理财类 APP
2018 下半年的手机隐私权限测评发现,相较 2018 年上半年测评结果,投资理财类 APP 获取隐私权限比例多有提高,且相较 Android APP 整体对隐私权限的获取比例也普遍更高。其中,投资理财类 APP 获取“读取联系人”、“读取短/彩信”和“读取通话记录”权限的 比例分别高达 72.9%、62.7%和 40.7%。
研究发现:在 2018 年下半年新增的测试权限中,投资理财类 APP 尝试获取“读写存储设备”和“应用列表”权限最多,分别高 达 94.9%和 93.2%。近年来,以 P2P 网贷、大数据金融、众筹等概念为卖点的各类投资理财类 APP 如雨后春笋、层出不穷。建议广大手机用户在慎重选择 APP 的同时,也要尽可能的减少对 APP 的授权,避免可能的个人信息泄露。
(二) 生活购物类 APP
生活购物类 APP 涉及的功能较多,因此所需要的手机隐私权限也比较广泛。主流的生活购物类 APP不仅会有购物、支付功能,还有客服沟通、快递位置查看、好友系统、扫码登陆、本地生活服务等功能。从 2018 年下半年测评数据看,生活购物类 APP 获取的读 取短彩信、读取通话记录和拨打电话等权限有明显增长。
研究发现:在新增的测试权限中,生活购物类 APP 申请获取“读 写存储设备”和“应用列表”权限最多,分别高达 91.8%和 90.4%。 虽然用户使用某个生活购物类 APP,一般也就说明用户对该 APP 的信任有加,但建议用户还是尽可能减少对 APP 的授权,避免可能的隐私泄露。
(一)Android 端越界获取隐私权限的 APP 比例进一步降低
研究发现:Android 端越界获取手机隐私权限的 APP 正在逐渐 减少,到 2018 年下半年,仅有 2.0%的 APP 存在越界获取手机隐私 权限的行为。APP 越界获取手机隐私权限的逐渐减少主要得益于国 家对网络隐私保护的重视:2017 年 6 月 1 日,《国家网络安全法》 正式实施,明确规定要加强个人信息保护,为个人信息保护提供了法 律依据。
(二)影音娱乐、生活购物、办公学习、网络游戏类 APP 越界较多
2018 年下半年的手机隐私权限测评发现,在越界获取隐私权限的 Android 端 APP 中,以下四种类别的 APP 所占比例较大,分别是:影音娱乐类、生活购物类、办公学习类和网络游戏类。
(三)多数类别的 APP 越界获取手机隐私权限比例持续下降
深入到不同类别的 APP 来看,多数类别的 APP 越界获取手机隐私权限的比例持续下降,包括:出行地图类、资讯阅读类、生活购物 类、影音娱乐类、常用工具类和投资理财类。其中,出行地图类、图像美化类、投资理财类和通讯社区类 APP 未发现“越界行为” 。
(四)APP 越界行为多存在于对核心隐私权限的获取
对不同隐私权限被越界获取的情况进行分析发现,2018 年下半年 Android 端手机隐私权限被越界获取的情况主要存在于核心隐私权限,APP 对重要隐私权限和普通隐私权限的越界行为几乎已不存在。另外,在 2018 年下半年新增的测试权限中,仅有“写/删联系 人”权限存在越界情况,越界获取比例仅为 0.4%。
(一)iOS 端获取隐私权限的 APP 比例略有下降
2018 年下半年调查发现,iOS 端获取手机隐私权限的 APP 比例继前两次连续增长之后,出现首次下降。iOS 端获取手机隐私权限的 APP 比例由 2018 年上半年的 93.8%下降到下半年的 90.0%。
(二)iOS 端通讯社区类 APP 获取的隐私权限最多
2018 年下半年对 iOS 端的隐私权限调查显示:通讯社区类 APP 是获取手机隐私权限最多的 APP,通讯社区类 APP 平均获取了 4.9 项手机隐私权限。其次是影音娱乐类和出行地图类 APP,分别平均获取了 4.3 项和 3.5 项手机隐私权限。网络游戏 APP 是获取手机隐私权限最少的 APP 类别,平均获取了 1.0 项手机隐私权限。
(三)照片、定位和相机是 iOS 端 APP 最常获取的三大隐私权限
2018 年下半年对 iOS 端 APP 的调查发现:照片、定位服务和打开相机是 iOS 端 APP 最常获取的三大隐私权限,分别有高达 85%、 79%和 76%的 APP 获取了以上三种权限。
(一)用户应尽量减少对 APP 的授权
本报告判断 APP 是否“越界获取”隐私权限的标准是 APP 向用户提供的功能是否必须用到相应的权限。而站在用户的角度看,其实只要不妨碍用户正常使用 APP,某些权限都是可以不授权的,这样用户可以简单而最大程度的保护个人隐私。
下面提供部分隐私权限的极简授权建议,供参考:
(1)地理位置:除非需要使用地图导航功能,否则都可以不授权。
(2)相机/麦克风:如果不需要扫二维码、录音、拍照、拍视频, 可以不授权。
(3)电话权限:常见于 APP 内的呼叫按钮,可不授权然后复制电话号码然后打出去。
(4)短信/通讯录:这类权限一直是重灾区,最好任何时候都不要授权。
(5)读取应用列表:除了帮助用户管理手机的 APP,如:应用市场、手机助手、垃圾清理、安全管理类,其他的 APP 都可以不授 权。
(6)访问网络:除了离线软件,访问网络对于大部分 APP 来说都是必要的。
(二)加强权限管理只是开始,用户需从更多方面保护隐私
手机隐私权限管理只是保护隐私的重要措施之一。事实上,手机隐私安全问题贯穿着手机整个使用周期,用户需从更多方面保护隐私:
(1)正规渠道下载:选择正规的渠道下载 APP。
(2)手机隐私权限管理:重视并慎重对待手机隐私权限管理,尽量减少对 APP 授予的权限,及时关闭使用 APP 时不必要的权限。
(3)慎用公共 WiFi:使用公共 WiFi 时提高警惕,转账与支付时改用移动数据流量。
(4)谨慎填写个人信息:谨慎填写个人隐私信息,防止信息被无谓的采集。
(5)隐藏、隔离隐私:使用隐私安全管理 APP,将手机中照片、 视频、财务相关等隐私隐藏、隔离。
(6)彻底清空废旧手机:三步彻底清理旧手机信息——恢复出厂设置-格式化-反复拷入大文件并删除。
如果你想获得完整报告信息,可以关注雷锋网旗下微信公众号“宅客频道”(letshome),发送暗号“隐私报告”,即可获得下载链接。
雷锋网文章,未经授权,严禁转载。
雷峰网版权文章,未经授权禁止转载。详情见转载须知。