沪消保委评测39款App:神州租车监听 穷游读取联系人
时间:2019-03-28 08:44:18
[导读]沪消保委评测39款App:神州租车监听外拨电话,穷游读取联系人神州租车App可监控外拨电话,穷游App可读取联系人,饿了么App可读取通话记录,百度糯米App安装即获取用户12项个人信息授权……上海市消保委分两次测试了39款手机App,首次评测中仅14款App敏感权限与实际功能能够相对应,剩余25款均存在过度索取用户个人信息行为。
神州租车App可监控外拨电话,穷游App可读取联系人,饿了么App可读取通话记录,百度糯米App安装即获取用户12项个人信息授权……上海市消保委分两次测试了39款手机App,首次评测中仅14款App敏感权限与实际功能能够相对应,剩余25款均存在过度索取用户个人信息行为。
神州租车App可监控外拨电话,穷游App可读取联系人,饿了么App可读取通话记录,百度糯米App安装即获取用户12项个人信息授权……2019年3月27日,上海市消费者权益保护委员会通报网购平台、旅游出行、生活服务等手机App涉及个人信息权限评测结果。首次评测中,39款手机App仅14款敏感权限与实际功能能够相对应,剩余25款均存在过度索取用户个人信息权限行为。
上海市消保委当天发布的一项调查显示,仅有0.4%的消费者关注日历权限。对此,上海市消保委发出消费警示:日历权限给消费者带来的可能性风险大于给消费者带来的便利。37家相关企业出席了此次新闻发布会,穷游及百度糯米缺席。
App信息安全问题受到越来越多关注。2018年12月,中消协对100款App开展隐私政策情况调查。2019年1月25日,网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,将针对App强制授权、过度索权、超范围收集个人信息问题进行专项检查。
网购类、社交类、旅游类、生活类等手机App涉及用户日常生活的各个方面,需获取用户较多个人信息完成相应功能。为此,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,于2019年1月对网购平台、旅游出行、生活服务等39款手机用开展第三期手机App涉及个人信息权限评测。
上海市消保委测试了39款手机应用。
本次评测主要从四个维度进行:一是App所使用的目标API级别,当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式,存在可规避系统安全机制的漏洞;二是App敏感权限的数量,重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;三是注敏感权限的授权方式,是否存在一揽子授权的模式,如何向用户提出授权请求;四是查看是否存在无实际功能对应用的权限申请。
评测发现,有14款App敏感权限与实际功能均能对应,剩余25款手机App均存在过度索取用户个人信息权限行为。为推动相关问题的解决,上海市消保委与手机App企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。
上海市消保委透露,在前期沟通确认中,有8款应用第一时间进行沟通,并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。
手机天猫、苏宁易购等8款App第一时间完成优化。
3月23日之前,上海市消保委再次进行了测试,又有8款应用完成了改进。
1号店、当当等8款App在3月23日之前完成优化。
截至3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进,包括聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0),问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
截至3月23日,尚有聚美、贝贝等9款App未进行优化。
界面新闻记者注意到,穷游App可拨打用户电话并读取联系人,这两项授权均无对应功能。神州租车可拨打电话、录音以及监控外拨电话,重新设置外拨电话的路径。
评测发现神州租车App存在3个过度索取授权问题。
饿了么App在第一次评测中涉及拨打电话以及添加或修改日历活动,并在所有者不知情的情况下向邀请对象发送电子邮件,读取日历活动和详情。在第二次测评中,饿了么App删除了前述授权,但新增了读取通话记录授权。饿了么相关负责人在发布会上表示,已于3月22日推出新版App,移除了第二次测评中新发现的权限问题。
在上海市消保委第一次评测中,百度糯米App由于目标API级别低,存在一揽子授权问题,安装即获取用户12项个人信息,其中4项授权无对应功能。百度糯米相关负责人在发布会上回应称,已于3月6日上线新版本App,移除了评测中发现的过度授权。“针对API级别过低的问题,我们将在4月推出新版本。”
本次评测发现,不少网购类App获取了日历权限,而调查也表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
为此,上海市消保委通过上海市消保委、上海新消费微信公众号、腾讯大申网开展了网络调查。
手机App获取个人权限问题得到关注。网络调查数据显示,69.9%的消费者关注手机App获取个人权限问题。其中,通讯录权限最为关注,占43.5%;26%的消费者关注电话、短信权限。值得关注的是,仅有0.4%的消费者关注日历权限。
上海市消保委调查发现,仅0.4%的消费者关注日历权限。
手机日历具有时间提醒、行程记录等功能。网络调查显示,52.5%的消费者用手机日历功能记录个人行程。其中,24.7%的消费者选择记录日常生活行程;18.5%的消费者记录日常生活及工作等行程。
上海市消保委认为,日历权限给消费者带来的可能性风险大于给消费者带来的便利。
近五成消费者重视手机App涉及个人权限问题。个人信息保护成为消费者关注的焦点。网络调查显示,49.9%的消费者重视手机App涉及个人权限问题。其中,33.7%的消费者“关注过,并越来越重视”;还有19.9%的消费者表示“不关注”。
上海市消保委认为,日历权限给消费者带来的可能性风险大于给消费者带来的便利,网购类平台使用日历权限给消费者带来的场景可以用其他技术手段加以替代。据此,上海市消保委希望消费者和App开发者都能对日历权限加以重视。上海市消保委建议,如果消费者经常使用日历记录敏感事项,对App的日历权限应谨慎授权;App开发者如无十分必要,建议尽可能不使用手机日历权限。
声明:网上天津登载此文出于传送更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供网友参考,如有侵权,请与本站客服联系。信息纠错: QQ:9528213;1482795735 E-MAIL:1482795735@qq.com