安卓应用调查:男子使用情趣用品时被录音
“手机APP好像会在情趣用品打开时一直录音。”
今年11月初,网友“tydoctor”在美国著名的社交新闻网站Reddit上曝光了这一消息。他说,自己在准备重置手机时发现了存储在该应用文件夹内的一条音频,“时间长达6分钟,就是上一次我用这个应用遥控情趣用品的时候录的。”
tydoctor还写道,该应用获取了使用麦克风和照相机的权限,但他以为这些权限仅用于应用内置的语音消息发送功能。“在任何时候,我都不希望应用录下我使用情趣用品的全过程。”tydoctor流露出忿忿的情绪。
值得注意的是,tydoctor 所使用的是安卓手机系统,而这一事故,也使得安卓应用存在已久的过度授权、权限滥用问题再次浮出水面。不少网友纷纷跟帖表示,曾有类似的遭遇。
“很多手机应用都会在未授权的情况下录音。”
“另一家情趣用品厂商也出过类似的事情,把用户的使用习惯等数据上传到服务器。”
如果你以为这只发生在国外,或只在情趣用品APP中存在,那你可能太乐观。
早在2014年,央视《每周质量报告》就曝光过大量安卓手机应用在安装时需要开放通讯录、地理位置等权限,从而严重威胁用户隐私安全的情况。彼时有业内人士分析,这一现象的背后是贩卖隐私信息的利益链已形成,不法手机应用厂商通过手机权限获得用户的隐私信息后再转卖,从而获得不菲的灰色收入。
日前,南都记者通过调查和技术测试发现,几年过去,上述问题并没有得到解决,反而由于互联网对大数据的需求升级,变得更为混乱。
可用手机遥控的情趣用品 APP 竟然偷录用户的私房事资料图
50款APP,仅2款只收集必要权限
在各类安卓应用中,游戏一直是安全问题高发区。360联合DCCI发布的《2016年中国手机安全生态报告》显示,2015年,测试样本中94.5%的游戏应用都会获取读取位置信息的权限;89.1%能够读取用户短信,93.6%能够读取通讯录,虽然这些数据在2016年有所下降,但其中多项数值仍高于非游戏类APP。
这份报告同时指出,获取手机通讯录、短信、通话记录、位置信息等都被视为读取用户核心与重要隐私的行为,它们较读取WIFI、蓝牙等设备信息更加危险,用户应给予重点关注。事实上,绝大部分安卓用户没有注意到这一点,遭受经济损失的案例时有发生。
2014年,宁波市警方曾破获一起案件,3名犯罪嫌疑人用技术手段窃得游戏用户小顾在游戏应用上注册的名字、身份证号、手机号码等信息,随后利用这些信息办理假身份证,并用假身份证去通信营业厅挂失小顾的手机号并补办新卡,最后再用这张新的手机卡重新设置小顾在网络游戏中的密码,将价值20多万的游戏币窃走。
小顾的案例并非孤例,为了调查安卓应用越界获取隐私权限的情况,南都记者以今年大热的王者荣耀为例,选取了华为应用市场、应用宝、百度手机助手、360手机助手、豌豆荚、小米应用商店内6款常用安卓应用市场,按照搜索“王者荣耀”关键词排名前后的顺序,选取了50款王者荣耀周边应用作为考察对象。
需要注意的是,王者荣耀周边并不是指王者荣耀官方游戏本身,而是指王者荣耀游戏风靡后,其他应用商就此主题开发的各种游戏相关的辅助或扩展类应用,例如助手、壁纸等等。它们通常会由于游戏的热门下载量巨大。
南都记者首先查看了50款APP在应用商店简介中的权限列表。在安卓系统的应用商店中,通常要求应用开发者填写“权限列表”,用户在下载前很易查看。
应用下载页面的权限说明。
令人担忧的是,一些开发者在简介中就堂而皇之地列出了大量不会使用到的“越界”权限,包括使用录音与摄像头,读取手机通讯录、短信,甚至获取你精确的地理位置。
在南都记者选取的50款APP中,应用简介列出的权限总集大致有28个,包括拍摄照片和视频、读取通讯录、读取/发送短信、录音、获取精确位置、修改SD卡中的内容等。
依据APP的自身功能,南都记者把这些权限标记为“核心”、“可选”和“越界”三种。
“核心”权限是指不获取就无法正常使用APP核心功能的权限,例如视频类APP需要调节音量大小;
“可选”权限是指即使用户拒绝授权,也不影响使用APP核心功能的权限,但这些权限可能在APP的非核心功能中会使用;
“越界”则指APP没有必要获取的权限,例如主题壁纸类APP要求读取用户通话记录。
根据APP的类型不同,它们的“核心”权限也有所差异。
助手类和论坛类APP主要为王者玩家提供攻略、视频等资讯,实现核心功能基本无需获取用户隐私;主题类APP主要提供下载皮肤、壁纸等功能,核心权限可能包括将图片存储在 SD 卡中;视频类APP则必须要有更改音频设置的权限; 浏览器类APP的核心功能是搜索,无需获取用户隐私。
50个APP覆盖了28个隐私相关权限,但必不可少的“核心”权限不多。
南都记者统计的结果显示,50款APP中,仅有2款APP列出的权限都是“核心”权限,却有5款APP所列出的所有权限均 “越界”。?其他APP则或多或少都要求获取“越界”或“可选”的权限,其中23个APP的“越界”权限占比超过50%。
有浏览器可随时随地给用户录音
这些“越界”的权限是哪些?
以“王者荣耀攻略”为例,该APP由吕元飞开发,提供游戏相关图片和视频,基本只有展示功能,但它要求获取修改系统设置、地理位置、查看手机状态和身份等明显与核心业务不相关的功能。
圆圆是一名王者荣耀玩家,她告诉南都记者,自己下载“王者荣耀攻略”就是想看看攻略,学习怎么把游戏打得更好,并未留意会收集自己哪些信息。“一般APP如果收集位置信息不是会提示么,我没有收到提示哎。而且这个APP显示通过安全检测,就没有看过其他的了”,圆圆说。
事实上,多数用户都与圆圆一样,对于应用普遍存在获取 “越界”权限的问题并不注意。
在南都记者查看的50款APP中,最严重的当属“获取精确位置”权限,有29个无相关功能的APP要求获取,匪夷所思的是,其中还包含不少主题类和视频类APP。
19个APP拥有“读取通讯录”的权限,其中也不乏只有几张图片的主题壁纸类应用。
这些权限无一例外与APP的核心功能毫不相关,却与用户隐私有着密不可分的关系。
位置信息可以用来勾勒出用户的行动范围和路线,从而精确定位到个人;通讯录则包含了他人的电话号码,一旦授权获取并被用于商业目的,将对自己和他人都造成困扰。
南都记者此前就报道过,一些社交应用强制要求用户在注册时开放通讯录权限,并利用获取到的联系人信息发送推广短信,很多人不胜其扰。
一些应用强制获取用户的联系人数据并群发广告短信。
还有更“奇葩”的。豌豆荚里的“王者荣耀浏览器”被安装到手机之后,除了拍照、位置信息的权限,它还要求用户开放录音权限。也就是说,一个浏览器也可以随时对你录音。
据安卓市场官方简介,“王者荣耀浏览器”由“广州掌阔信息科技有限公司”开发,公司地址为广州市天河区黄村大道自编98号。
南都记者根据地址找到这家公司。虽然正值工作时间,但仅数平米的办公室内仅摆放了一张桌子,没有一个办公人员。类似这样的“公司”,在同一楼层还有至少30间,都是门上贴着公司的名字,”办公室”里却非常狭窄,大部分连一张桌子都没有,更没有一位员工,并不像有人办公的正规公司地址。
此外,南都记者也试图通过电话与公司联系,听闻是记者,对方立即挂断了电话并不再接听。
工作日,广州掌阔信息科技有限公司门口。
申请读取的权限
与通知你的可能不同
如果说应用商店简介中列出的权限已令人担忧,APP真正获取的权限许可就可谓触目惊心。
一款APP中,除了应用商店简介,通常还能从另外三处查看到获取权限列表:第一处,是安装应用时(或首次打开时)跳出的权限列表,用户直接可见。但南都记者随机采访了20名安卓手机用户,其中19人都表示从来不会仔细看这个列表,“太长了,不会认真看。”
第二处是安装包中的xml文件。网络上的安全测试平台多可测试出这一列表中的权限,它相当于列明了一款应用“向安卓系统申请允许读取用户哪些权限”?
“这虽然不代表应用一定会读取列表中权限关联的各项隐私,但通俗地说,这像是拿到了打开你家门的钥匙。”爱加密科技有限公司工作人员萧何向南都记者介绍。
而第三处,则是程序中与敏感权限相关的代码行,北京大学软件安全小组组长张汉与萧何均向南都记者介绍,代码行中出现的权限相关命令可以认为只要条件合适就会开始读取用户相关权限,与实际的行为几乎等同。
据此,南都记者以感融互联网金融服务有限公司的“王者荣耀视频网”(百度手机助手下载)为例进行了更加详细的测试。
在北京大学软件安全小组、北京邮电大学软件学院与爱加密科技有限公司技术帮助下,南都记者将这款应用上述四处的权限一一列出对比:
王者荣耀视频网明示与实际权限的对比。
在上图中,王者荣耀视频网在简介中称只会读取用户6项权限,但安装时弹出的提示中则列出了20项权限,在安装包中至少向安卓系统申请了21项权限的许可。技术人员则从其代码中又发现了“获取手机IMEI编号”与“网络下载”等10项敏感函数。
这意味着,一个APP代码中写入的隐私获取命令与申请读取的权限不同,申请读取的权限与通知用户的不同,通知用户的与简介中的也不相同。
可以说,一个用户想确切获知一款应用究竟获取了自己哪些权限,十分困难。
越权背后,商业利益“不要白不要”
退一步说,即使获得了完全的权限列表,用户就能做出有利于自己的选择吗?
答案是否定的。正如开篇的例子中,用户同意APP开启麦克风,以为只是用于发送语音,谁知会却被录音。
一位从事安卓手机开发的技术人员告诉南都记者,实际上获取大部分用户隐私信息并不用来完成应用某项功能,而是用于进行未来业务规划。
“比如说拿到用户的位置,就知道自己的用户在哪个省份比较活跃,未来如果公司想开线下实体店,就会优先选择某些省份;而拿到用户的通讯录,主要是为了社交联系,推荐你通讯录里的好友也来使用同一产品”。上述技术人员表示。
对于这一现象,360安全专家刘洋告诉南都记者,开发者获取用户隐私信息大多是为了营销和推广。“推送精准的广告需要对人群精准的锁定:会用我产品的人是男是女?收入什么水平?手机里都有哪些应用?……这些人群的描摹工作都是通过大量的用户数据完成的。”
值得注意的是,一些应用在开发过程中还会将其中一些功能模块交给第三方来实现,如接入一个云服务的模块、插入一个流量统计的模块等等,这些第三方公司也同样可以从应用中获取用户权限。
“第三方的功能也不一定需要这些权限,但既然开了这个端口给我,大家的想法就是不要白不要……”前文中的技术人员表示。
可见,大多数隐私信息的获取实际上并非为了方便用户,而是有利于应用开发方的商业利益。
根据今年6月1日施行的《网络安全法》第41条规定,网络运营者不得收集与其提供的服务无关的个人信息。实际上,上述行为已经违反了法律的相关规定。
如此轻巧地获取与使用用户的隐私权限,对应的现实却是安卓令人担忧的安全现状。据相关报告显示,几乎所有的安卓手机与应用都存在大大小小的漏洞,一旦被攻破,用户的隐私便会“裸奔”。
以读取短信的权限为例,刘洋告诉南都记者,对用户来说,它主要的作用是收到验证码时懒得手动复制,需要程序自动填入时会用到,此外,还可以方便保存短信的内容到应用中。
大多数用户并未意识到,短信内有收取验证码、银行余额信息等个人隐私,安全意义重大。
如若不小心安装了短信拦截木马,就会读取手机中的短信内容,后台自动回传到木马制作者指定的邮箱或手机上,这不但会使更多的骚扰电话跟随你,还可能有不法分子利用拦截到的短信验证码,登录支付平台,电商网站进行盗刷。更有耐心的犯罪分子,会通过非法渠道购买到银行卡账号、交易密码、身份证等信息,进入网上银行,进行直接转账,甚至帮受害者申请几笔小额贷款。
据360公司2017年第一季度数据统计,今年新增的短信拦截马恶意程序就有56762个,在隐私窃取类的恶意程序中占了近1/3,共感染了675761部手机。
因此,用户即使能够看到权限列表,但不能清晰地知晓这些权限会带来的影响,这种“知情”意义有限,付出的代价却是巨大的。?
安卓原生系统多被修改
“明示同意”难实现
“知情”尚且如此困难,“同意”似乎更无从谈起。
2017年6月1日起正式实施的《网络安全法》第二十二条规定:
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。
然而,南都记者发现,除了常见的开启相机、定位、麦克风弹窗提示外,很少有APP会明示告知用户将获取其它权限,并主动弹出窗口获取用户同意。
既然《网络安全法》规定,获取用户信息需要“明示同意”后才能得到权限,安卓应用市场为何不能规范应用对权限的获取行为并提供“明示同意”服务?
实际上,安卓系统早已注意到这一点。2015年5月,安卓推出6.0系统。在此之前,安装应用时跳出的权限只有一个列表,要么通通同意,点击“安装”,要么拒绝全部,直接“取消”。这实际上是一种形式化的“明示同意”,用户并没有真正选择权。
为了改变这一现状,安卓6.0及以上的版本将权限分为两类:一类是普通权限,不涉及用户隐私,不需要进行授权,比如手机震动、访问网络等;另一类是危险权限,涉及到用户隐私,在使用时需要用到此功能时进行弹窗提醒用户授权。
这一更新无疑很好地规范了权限获取与“明示同意”的应用行为。
然而,南都记者试用发现,大陆常用的安卓手机大都不使用安卓原生系统,而是对安卓系统进行了改写。例如,华为手机在下载华为应用市场中的应用时并不会跳出授权弹窗,小米手机也对从小米应用市场中下载的应用进行了“豁免”。
“手机厂商会根据自己的需要对系统进行改写,他们会自己编写想要的权限明示方式”,刘洋对南都记者说。
由于手机原生应用市场会对上架应用进行安全检查,因此豁免手机原生应用市场的应用并不是最令人担心的。
更可怕的是,南都记者尝试用系统已经更新的魅族手机下载了百度手机助手,并在助手中下载了“王者荣耀论坛”,在安装时,系统弹出权限列表,并允许用户逐项选择“开启”、“关闭”或是“使用时询问”,做到了明示同意。
在列表中,南都记者对摄像头、音频等功能点击了“使用时询问”选项。随后,南都记者打开应用,试图拍摄一张照片并发布,但却发现系统没有跳出询问弹窗便直接使用了拍照功能。这意味着,安装时用户的授权形同虚设,应用绕过授权获取了用户的相机权限。
事实证明,不同手机厂商,不同应用商店都会根据自己的需求对于权限授予做出改变,用户面对的依然是一个杂乱而无法掌握的安卓权限获取现状。