9款App存在收集敏感权限 饿了么涉读取通话记录

来源:观察者网

2019-03-29 12:11

【导读】 截至3月23日,仍有9款App尚在收集敏感个人权限,包括聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1)、神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)等。

(观察者网讯 文/陈兴华)

装个地图APP却要授权通讯录和短信?你有在手机“日历”上记录重要行程、事件的习惯吗?殊不知,你的隐私会被手机App“偷窥”。

今年1月,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,对网购平台、旅游出行、生活服务等39款手机APP开展涉及个人信息权限评测。

27日,上海市消保委发布了针对上述39款App涉及个人信息权限的评测结果通报,发现有25款存在问题,其中9款至今未整改,而“日历”权限的过度申请和随意授权更令人担忧。

本次主要评测四个方面,包括App所使用的目标API级别、App敏感权限的数量、敏感权限的授权方式(即是否存在一揽子授权),及查看是否存在无实际功能对应用的权限申请。

结果发现,15款网购平台类App中10款存在问题,13款旅游平台类APP中7款有问题,11款生活平台类App中8款有问题。截至3月23日,仍有9款App尚在收集敏感个人权限,包括聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1)、神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)等。

这些App的主要问题在于,申请了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限,却未在应用中进行使用。涉及的39款App,共有37家来到现场,部分企业代表做出了回应。

其中,“饿了么”申请了11个权限,包括拨打电话、日历等。在测试新版本时,专家发现旧版中的拨打电话和日历权限已删除,但又新增了“读取通话记录”权限。在现场,饿了么回应称,该权限“在不知情的情况下上线,3月22日已下线”。

而“格瓦拉”申请的短信、通讯录、麦克风3个权限并未找到对应功能。格瓦拉回应称,在3月26日发布的新版本中,已取消了上述3个权限。“聚美”申请了12个权限,但专家认为通讯录和日历权限并不必要。“贝贝”申请的8个权限中,麦克风权限在实际运用中并未发现。

“一嗨租车”表示,“短信权限是开发时的失误造成的,但并未去用,也没有运用的场景,在新版本中已去除”。而“穷游”申请的电话、通讯录权限,“猫途鹰”申请的电话权限,“神州租车”申请的电话、监控外拨电话和重新设置外拨电话的路径、麦克风等权限,也未在对应功能中发现。

发布会上,上海市消保委特别对“日历”权限进行了提示。调查发现,52.5%的消费者用手机日历记录重要行程。其中,27.5%会记录日常生活行程,18.5%会记录生活及工作等。虽然常用日历记录行程,但只有0.4%的消费者关注“日历”权限有否被滥用。

“App为何要申请日历权限?有些平台告诉我们,如果平台上有抢购,消费者点击‘关注’,就会将信息放在日历中,抢购前可以提醒。但我们咨询了技术专家,这个功能完全可以通过后台的信息推送等别的途径来实现。”上海市消保委副秘书长唐健盛说。

市消保委认为,日历权限与个人隐私的密切度比通讯录等权限还要高,将日历权限授权给App,带来的风险远大于便利。消保委建议,经常用日历来记录敏感事项的消费者,在授权时要谨慎。而App开发者如无十分必要,建议尽可能不开发日历权限。

上海市消保委秘书长陶爱莲表示,沪消保委近年来持续关注App对于个人信息的获取,此次发布的调查已是第三期。但从发布情况来看,个人敏感权限的收集仍是较突出的问题,而企业并不会主动反思或下线。消费者越来越关注个人隐私的保护,拼命防守但防不胜防。政府和企业应创造放心安全的消费环境,让消费者更“敢”消费。

9款App收集个人权限图

责任编辑:陈辰
观察者APP,更好阅读体验

“我们美国说要做的事,中国人已经做到了”

荷兰“拼了”:阿斯麦,别走!

“嫌犯从乌克兰获大量资金和加密货币,有确凿数据”

美方对俄隐瞒了部分信息?克宫回应

这条中马“一带一路”重点铁路项目 “或延伸至泰国”