(网经社讯)装个地图APP。却要授权通讯录和短信?这种情况你遇到过吗?
今年1月,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,对网购平台、旅游出行、生活服务等39款手机APP开展涉及个人信息权限评测。
而截止到3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进。
▲39款手机APP涉及网购平台、旅游出行类平台、生活服务类平台。
本次评测主要从四个维度进行:
1、APP所使用的目标API级别。当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式 ,存在可规避系统安全机制的漏洞;
2、APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;
3、注敏感权限的授权方式。是否存在一揽子授权的模式,如何向用户提出授权请求;
4、查看是否存在无实际功能对应用的权限申请。
评测结果
-1-本次评测发现14款应用敏感权限与实际功能均能对应
-2-上海市消保委与手机APP企业进行沟通16款应用完成改进
为推动相关问题的解决,上海市消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。
在前期沟通确认中,有8款应用第一时间进行沟通,并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。
在本次会议前(截止到3月23日),上海市消保委再次进行了测试,又有8款应用完成了改进。
-3-仍有9款应用未能就其权限和功能无法对应的问题进行改进
截止到3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进。问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
(截至2019年3月23日)
提醒!关于日历权限
本次评测发现,不少网购类APP获取了日历权限,而调查也表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
上海市消保委通过上海市消保委、上海新消费微信公众号和腾讯大申网开展的网络调查显示:
69.9%的消费者关注手机APP获取个人权限问题。其中,通讯录权限最为关注,占43.5%;26%的消费者关注电话、短信权限。值得关注的是,仅有0.4%的消费者关注日历权限。
而52.5%的消费者用手机日历功能记录个人行程。其中,24.7费者选择记录日常生活行程;18.5%的消费者记录日常生活及工作等行程。
重要提醒!
网购类平台使用日历权限,给消费者带来的场景,可以用其他技术手段加以替代。
上海市消保委建议☟
如消费者经常使用日历记录敏感事项,对APP的日历权限应谨慎授权;
APP开发者如无十分必要,建议尽可能不使用手机日历权限。
(来源:中国消费者报 文/刘浩;编选:网经社-电子商务研究中心)
