1月8日记者实测安装百度浏览器时需要的授权。手机截图
上周,江苏省消费者保护委员会(下称江苏省消保委)向百度公司提起民事诉讼,指控百度旗下APP涉嫌“监听电话、定位”。1月8日,百度召开媒体沟通会,再次强调旗下APP不会、也没有能力监听电话,同时百度APP敏感权限均需授权,且用户可自由关闭。
专业人士对新京报记者表示,只要用户给予APP相关权限,技术上是可以做到监听等操作的。但也有人表示,不会有人这么做,因为很容易被发现。
不是所有安装都会提示授权
上周,江苏省消保委以手机应用侵犯消费者个人信息,两次约谈无整改为由,向百度公司提起民事诉讼。
根据江苏省消保委的说法,在百度公司最终提交的整改方案中,对手机百度、百度浏览器两款APP中“监听电话”、“读取短彩信”、“读取联系人”等涉及消费者个人信息安全的相关权限,并未进行整改,也未明确提示消费者软件申请获取权限的目的、方式和范围并供消费者选择。
百度方面表示,在过去的几个月里,百度与江苏省消保委已经就手机APP的隐私保护和用户权限管理机制问题进行了多轮沟通,百度也对江苏消保委方面的疑问进行了多次说明和澄清。百度表示:“我们会继续与江苏省消保委积极沟通,与消保委一起让个人信息安全得到更广泛的重视、在互联网及其他行业得到更充分的保护。”
手机百度高级经理田彪向媒体展示了一段手机百度安装并获取权限的视频。视频中,一台恢复出厂设置的手机,在首次下载安装和使用手机百度APP时,会弹窗提示用户是否授予电话、位置及存储权限。
当然,并不是所有安卓手机在首次下载手机百度时都会出现弹窗。现场演示环节中使用的另一款手机在下载手机百度时就没有出现弹窗。田彪指出,有的系统会授予它认为安全的APP一些权限,安卓系统的权限授予非常复杂,权限授予完全取决于手机系统本身,而并非由APP自身判断和决定的。
百度:所获权限都有使用场景
江苏消保委和百度之间一个重要的分歧点就是,手机百度、百度浏览器是否存在过分调用用户数据的问题。此前,江苏消保委表示,用户在安装手机百度、百度浏览器两款APP前,未被告知百度公司获取各种权限的目的。作为搜索及浏览器类应用,上述权限并非提供正常服务所必须,已超出合理的范围。
过度调用用户数据的问题由来已久,腾讯社会研究中心与DCCI互联网数据中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2017年一季度)》显示,手机APP越界获取个人信息已经成为网络诈骗的主要源头。高达96.6%的安卓应用会获取用户手机隐私权限,而iOS应用的这一数据也高达69.3%。越界获取隐私权限是指手机应用在自身功能不必须的情况下获取用户隐私权限的行为。
据百度方面介绍,目前手机百度和百度浏览器较为常用和敏感的权限包括存储、获取地理位置、读取通讯录、摄像头、麦克风、短信等,这些权限都有非常明确的使用场景,也均需用户授权后才能够开通,开通后也可以随时关闭。
比如,读取通讯录,是在社交和手机充值场景下的授权;提供基于位置的天气信息、手机百度接入百度地图等服务时,需要获得位置权限;读取短信授权的使用场景,是在手机钱包绑定银行卡情况下,帮助用户便捷读取短信验证码进行登录注册。当用户需要使用图像搜索和语音搜索时,则弹窗提醒用户授予摄像头及麦克风权限。如果用户还有调取通讯录进行手机充值的使用需求,则需要通过弹窗提示,点击授权同意APP调取通讯录权限。
追问1
百度的两款APP获取了哪些权限?
1月8日,新京报记者使用安卓手机安装手机百度和百度浏览器APP时发现,手机百度开启时要求获取“位置权限”以及“存储权限”,百度浏览器在打开页面时除了上述两项权限外,还要求获取“电话状态”权限。拒绝授予上述权限后,这两款应用就都无法开启。
当记者允许这两款应用获得位置权限及存储权限后,两个应用可正常使用。但记者在手机的“应用权限”一栏中发现,除经记者同意开启存储和位置权限外,百度浏览器还自动开启了相机权限、电话权限以及麦克风权限;在“单项权限”一栏中,其开启的权限还包括调用摄像头、启用录音、获取浏览器上网记录。手机百度则自动开启了通讯录权限和电话权限,“单项权限”中开启的权限包括读取本机识别码、读取联系人以及应用自动启动等。事实上,上述权限记者均未在打开应用时授权,属于应用“暗中开启”。
百度方面昨日称,有的系统会授予它认为安全的APP一些权限,权限授予取决于手机系统本身,而并非由APP自身判断和决定。
相对于安卓系统,手机百度和百度浏览器两个APP在iOS系统中对权限的索取则“低调”不少。用户只要下载安装就可立即使用,并没有出现安卓环境下安装时弹出的权限索取提示。在iOS系统中的“允许访问”界面中,这两个APP也并未自动开启其他权限。只有当记者在使用APP中“图片搜索”和“语音搜索”功能时,才会跳出要求开启相应权限的选项。
南洋理工大学互联网相关专业人士告诉新京报记者,APP向安卓系统和iOS系统所要求的权限不同,一个主要原因是iOS系统使用了沙盒机制。
记者查阅资料发现,沙盒机制在计算机领域指一种安全机制,为运行中的程序提供隔离环境,确保应用程序只能在为该应用创建的文件夹内读取文件。上述专业人士称,此前iOS系统曾被用户诟病无法像安卓一样轻松传输数据或实现APP间跳转,部分原因也是受限于沙盒机制的安全考虑。
追问2
手机APP能否监听用户电话?
对于手机百度和百度浏览器受到的“监听电话”质疑,手机百度昨日表示,“无论是苹果还是安卓系统,根本不可能向应用开发者提供能监听用户电话的接口或权限。百度的手机应用没有能力、也从来不会申请这一权限。”
不过,互联网安全专家刘海(化名)表示,只要用户给予了APP相关权限,技术上是可以做到监听电话等操作的,至于做不做就看APP方想不想了。
“电话权限至少可以分为电话通讯录、通话记录、录音权限以及读取本机识别码四种。”1月8日,北京互联网从业者赵谦(化名)告诉新京报记者,“其中涉及监听电话的是录音权限这一项。如果在打开电话权限的基础上再启用录音权限,APP方从技术上是可以监听电话的。”
系统没有开放接口或权限也能实现监听吗?赵谦表示,“APP方通过录音然后存储录音文件,再调文件上传,同样可以达到监听用户通话的效果。”一名白帽黑客也对新京报记者直言“录音和通话接口不是一回事”。
对于上述监听方法,猎豹移动安全专家李铁军告诉新京报记者,很少有人真的这么做。“这种数据监听,然后上传的行为很容易被发现。这个过程需要APP有调用录音的动作,APP代码就能识别。如果出现这种情况,手机端的安全软件就能发现,任何一个会程序逆向分析的人都能发现。”
赵谦还介绍称,在安卓系统中,APP方获得相应的权限就可以拿到对应的信息。“手机管家和应用宝上都可以显示权限,如果用户不给批准,APP方PC上的内容就显示为空白,但用户如果同意了(通讯录)权限,立马几百个联系人的信息就都过去了。”
事实上,目前大部分手机用户都并不清楚自己开通相关权限后,将会把什么信息暴露在风险之中。
一家互联网企业的架构工程师举例称,如果用户向APP开放相应权限,可以读取到一个叫做“MAC地址”的东西。MAC地址指向手机中一个负责WiFi通信的芯片,它有一个ID来标识手机独一无二的身份,其本意是帮助手机连接WiFi信号,但它也有一个“副作用”,就是让旁边的WiFi基站知道了有谁在附近。“
追问3
APP是否有必要获取那么多权限?
去年7月,江苏省消保委对用户较多且具有一定行业代表性的27家APP所属企业进行了调查和约谈,包括12306、爱奇艺、去哪儿旅行、腾讯视频、蜻蜓FM、百度浏览器、手机百度等。
1月8日,新京报记者用安卓系统体验了曾经一同被约谈的12306、去哪儿旅行、腾讯视频、蜻蜓FM四个应用对用户权限的索取情况。体验发现,12306、去哪儿旅行、蜻蜓FM均在开机前向记者索取了相关权限。其中,12306索取了位置、相册、电话状态等5项权限,去哪儿旅行要求获取存储权限,蜻蜓FM则要求电话权限。腾讯视频没有索取任何权限。
除了在APP打开界面“明示”的权限外,在后台“应用权限”列表中,记者发现去哪儿网、腾讯视频均直接开启了电话权限,去哪儿网的电话权限中包括拨打电话和读取本机识别码两项权限,腾讯视频则只有读取本机识别码一项权限。
“为什么要这么多的权限,有些应用明明不需要。”刘海表示。
而北京志霖律师事务所律师、中国互联网协会信用评价中心法律顾问赵占领认为,收集个人信息有无必要,取决于产品的功能和定位,“一些新闻客户端收集用户访问记录,分析用户兴趣、偏好,以便实现精准推荐,这并不违反必要原则”。
新京报记者查询多位手机用户的APP发现,大部分APP都开启了“读取本机识别码”权限。公开资料显示,许多APP需要从手机中读取一个标识符来标识用户,相当于在用户未登录的情况下让服务器知道用户身份,要读取这个标识符就需要申请电话权限,这也是大部分APP需要获取电话权限的原因。
需要注意的是,上述四款APP虽然都开启了电话权限,但均未开启录音权限。
记者梳理发现,在安卓系统手机中,应用索取最多的几个权限分别为“读取本机识别码”、“读取已安装应用列表”、“读取位置信息”、“调用摄像头”、“悬浮窗”和“启用录音”六项。
追问4
用户个人信息靠什么保护?
初次安装“手机百度”后打开APP时,页面底端的一行小字会默认勾选“已阅读并同意手机百度《服务协议》和《隐私政策》”,如取消勾选则无法使用手机百度。
记者查阅了这两份协议。《服务协议》提到,百度搜索软件会为用户的短信、通话记录和通讯录等建立索引以便用户查找信息,但在该服务过程中用户的信息不会被上传。《隐私政策》中以加粗加下划线的形式强调:数据信息采用匿名的方式。同时,会对信息采取加密处理,保证信息的安全性。该政策承诺,一般情况下不会未经用户同意向任何第三方共享用户的信息。
一位互联网从业人员向新京报记者表示,多数APP会要求用户同意与百度《服务协议》《隐私政策》类似的授权协议,但很少有用户会仔细阅读协议的内容。“仔细读的话会发现,按照协议,用户使用APP所产生的数据是归APP方所有。这样APP就 合理合法 地获得了获取用户信息的途径。”
“根据相关法律法规,网络服务提供者收集个人信息需要遵循正当、合法、必要原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”赵占领表示,江苏消保委起诉百度关键有两点,一是百度获取权限、收集用户信息是否经过用户同意,二是有无必要收集这些个人信息。
赵占领认为,手机百度用户“已阅读并同意手机百度《服务协议》和《隐私政策》”可以认为是收集个人信息经过了用户的同意,“只是部分个人信息没有单独通过弹窗的方式获得授权,但是目前法律没有明确规定获得用户同意的方式,实践中绝大多数的应用都是通过用户协议约定的方式进行”。
据赵占领介绍,我国目前已经制定了多部与个人信息保护相关的法律;江苏消保委起诉百度作为涉及个人信息保护的公益诉讼,将有助于社会各界更好地厘清个人信息的范围以及收集个人信息的法律边界,有助于各界增强个人信息保护的意识。
一款APP要想最终获取成功,赢得用户的信赖和黏性,选择下载并长期使用,而不是下载之后很快卸载,归根结底,APP自身要具有其他APP所没有的优势,“内容为王”在任何行业都是亘古不变的真理。
可转债申购虽然激活了不少休眠账户,不过受节日的影响,10月份券商APP活跃度并没有得到提升。
监管部门应该加强监管和执法力度,既要从应用商店入手,在应用软件的上架审核上把好关,让过度索权的APP无法上架,又要加大惩处力度,抓到一起处理一起,尤其对于涉及人群广泛的违规索权软件要重惩并广而告之,让其他互联网企业不敢再抱有侥幸心理,方能改善目前APP过度索权的局面。
未来网8月10日消息,“目前这个涉黄APP平台上的内容已经都被下线了,平台上现在没有任何东西。日前,未来网记者曝光了一款名为“看了又看”的APP,该平台上充斥这大量的未成年人黄色图片和视频,8日记者再次登录该APP,发现平台上的黄色内容已被全部下线。
后面的长城轿车驾驶员不认:“可不是我追尾,是前车溜车,估计是错挂了倒挡,我还按喇叭提醒他了。”相持不下的俩人选择报警,不到5分钟,郑州市交警四大队三中队协警王崟鑫、候奇缘到场。
最快5分钟搞定。
仅仅是2017年4月至5月,短短1个月的时间内,该犯罪团伙控制的公司账单流水高达1.2亿元,每天有上万人被骗。
近期,郑州市公安局桐柏路分局侦破一起利用电脑APP形式,大量向qq群、微信群发送带有赌博游戏二维码图样的下载软件,登录注册就送金币为诱饵吸引客户参与,开设网络赌场的团伙案件。抓获嫌疑人25名,刑拘17人。
近日,郑州东站对站区内所有的自助售票机进行了全面升级,这次升级后所有的售票机都将支持银联云闪付功能。旅客通过自动售票机购买车票时,除了可以使用现金、银行卡、支付宝支付票款外,现在还可通过银联云闪付支付相应的票款。
通过海量的企业证件伪造虚假身份,利用微信、支付宝对代理商的审核不力,域名、APP的监管不严,色情APP迅速成为网络诈骗中成本最低、收益最高的黑色产业。” 在实名制、社会信用体系逐步完善的今天,诈骗团队依然可以利用多个领域的漏洞制造虚假身份,高效诈骗。
男子用打车APP叫车遇天价,1公里路程花了一千多。最近,家住西安南郊的张先生遇见了一件怪事,就用打车软件打了一次车,没想到却花了一千多元。张先生:“唉,活了三十年没打过这么贵的车,我平常打车最多十块钱,一月一号用易到花了1200多元。
初一学生家长丁女士也对APP做作业点赞:“这种方式挺新鲜的,让孩子的学习兴趣提高了不少。
接家长控诉后,大河报记者对该直播APP进行观察发现,除上述主播外,该平台还有多位女主播存在同样问题。与B×直播需要充值成为会员才能看到的模式不同,另一款直播APP——蜜×直播可直接观看,不少女主播的直播,都有露点画面。
北京交警APP显示安徽简称为“睆”,云南、贵州两地简称和车牌上显示不同,导致车主办理进京证审核未通过。李女士表示,自己申请时使用的北京交警APP“iOS版本”,多位安徽籍同事均反映无法通过审核,只好前往实地办理传统纸质版进京证。
除了发布图片和文字之外,该款APP还可以实现语音聊天,当天便有男性用户用语音与记者满嘴脏话地聊天。后来,一个用户名为“蹦嚓嚓~”的女性用户主动添加记者,通过申请后,其第一句话就是“微信发红包看直播”。