越界代碼很普遍 超半數(shù)APP留索取用戶通訊錄“后門”

嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、悟空理財(cái)?shù)?0個(gè)APP申請(qǐng)了全部6項(xiàng)敏感權(quán)限；作業(yè)幫、中興智能家居、宜人貸、紅包鎖屏等7款A(yù)PP安裝后自動(dòng)上傳用戶位置信息

8月13日，《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》發(fā)布，報(bào)告指出，每款A(yù)PP應(yīng)用平均收集20項(xiàng)個(gè)人信息，大量APP存在探測其他APP或讀寫用戶設(shè)備文件等異常行為，這再度引發(fā)公眾對(duì)移動(dòng)APP違法違規(guī)收集使用個(gè)人信息問題的熱議。

目前，用戶判斷APP收集了哪些信息主要以其索取的權(quán)限為依據(jù)。新京報(bào)記者近兩年來持續(xù)關(guān)注APP索取權(quán)限發(fā)現(xiàn)，目前絕大多數(shù)APP均會(huì)明示提醒索取的權(quán)限，但APP究竟在什么時(shí)候上傳了哪些用戶信息，APP在技術(shù)層面能否窺視用戶隱私，對(duì)于普通用戶來說依然成謎。

近日，新京報(bào)記者聯(lián)合國家計(jì)算機(jī)病毒應(yīng)急處理中心，對(duì)109款A(yù)PP的安裝包APK進(jìn)行了引擎檢測，檢測結(jié)果發(fā)現(xiàn)，83.6%的APP安裝包中均含有超出其原本業(yè)務(wù)范圍之外的權(quán)限代碼。109款A(yù)PP中有超過半數(shù)的APP安裝包里含有索取用戶通訊錄的代碼。

據(jù)此新京報(bào)發(fā)布了“個(gè)人隱私報(bào)告第一期”，本次報(bào)告重點(diǎn)關(guān)注APP越界索取權(quán)限問題。109款A(yù)PP中嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、飛嘀打車、中國工商銀行、悟空理財(cái)、平安好醫(yī)生、開心消消樂10個(gè)APP申請(qǐng)了全部6項(xiàng)敏感權(quán)限，申請(qǐng)的敏感權(quán)限最多。

83.6%的APP含越界代碼，中移動(dòng)旗下的和包支付“越界”嚴(yán)重

6月18日，新京報(bào)記者對(duì)比《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》中劃定的不同行業(yè)APP應(yīng)該索取的權(quán)限范圍，基于安裝APP后開啟的權(quán)限提示，測試了50款常用APP，發(fā)現(xiàn)其中有24個(gè)APP索取的權(quán)限超出范圍，占比48%。

而6月25日至27日，新京報(bào)記者聯(lián)合國家計(jì)算機(jī)病毒應(yīng)急處理中心，對(duì)109款A(yù)PP的安裝包APK內(nèi)含有的涉及隱私權(quán)限的代碼進(jìn)行了引擎檢測，檢測結(jié)果發(fā)現(xiàn)，除微信、虎牙直播等18款A(yù)PP外，其余83.6%的APP安裝包中均含有超出其原本業(yè)務(wù)范圍之外的權(quán)限代碼。

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條，網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息；而《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》給出了哪一類APP收集信息的范圍標(biāo)準(zhǔn)，超出標(biāo)準(zhǔn)即為越界。

具體來看，在讀取聯(lián)系人、錄制音頻、讀取短信、發(fā)送短信、發(fā)起電話呼叫、拍攝照片和錄制視頻六個(gè)涉敏感權(quán)限中，上述109個(gè)APP中有57款A(yù)PP“越界”含有讀取聯(lián)系人的代碼，占比51.8%；有44款A(yù)PP“越界”含有錄制音頻的代碼，占比40%；有30款A(yù)PP“越界”含有拍攝照片和錄制視頻的代碼，占比27.2%。而讀取短信、發(fā)送短信、發(fā)起電話呼叫三項(xiàng)APP權(quán)限被“越界”含有的比例則在20%左右，相對(duì)較少。

其中，和包支付的安裝包APK擁有全部上述6個(gè)涉隱私敏感權(quán)限，但依據(jù)《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》，和包支付所屬的金融借貸類APP基于其基本業(yè)務(wù)功能所能收集的必要信息包括手機(jī)號(hào)碼、身份信息、征信信息等，上述6個(gè)涉敏感權(quán)限與其基本業(yè)務(wù)功能無關(guān)。

和包支付是中國移動(dòng)面相個(gè)人和企業(yè)提供的一項(xiàng)綜合性移動(dòng)支付業(yè)務(wù)，開發(fā)者為中國移動(dòng)旗下子公司中移電子商務(wù)公司。截至目前，其在華為應(yīng)用市場中有3340萬次安裝。

而作為游戲類APP的開心消消樂的安裝包APK同樣擁有全部上述6個(gè)涉敏感權(quán)限，不過基于該APP的類型，錄制音頻屬于其基本業(yè)務(wù)功能之內(nèi)，但讀取聯(lián)系人、讀取短信、拍攝照片和錄制視頻等其他5項(xiàng)權(quán)限不屬于其基本業(yè)務(wù)功能之列。

“實(shí)際上，絕大多數(shù)用戶對(duì)APP的隱私協(xié)議是‘看都不看’的，對(duì)于權(quán)限的開啟也往往不是很在意，因此看APP到底有能力獲取哪些權(quán)限，在技術(shù)上直接看代碼是最為方便的。”8月16日，在網(wǎng)安部門負(fù)責(zé)APP檢測的程序員小武告訴記者，“代碼不會(huì)說謊”。

嘀嗒出行、百合婚戀等APP安裝包申請(qǐng)全部6項(xiàng)敏感權(quán)限

近日，新京報(bào)記者聯(lián)合國家計(jì)算機(jī)病毒應(yīng)急處理中心，對(duì)109款A(yù)PP的安裝包APK進(jìn)行了引擎檢測。

新京報(bào)記者查閱109個(gè)APP安裝包所申請(qǐng)的6個(gè)涉敏感權(quán)限列表發(fā)現(xiàn)，大多數(shù)APP都申請(qǐng)了3至4個(gè)敏感權(quán)限，而嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、飛嘀打車、中國工商銀行、悟空理財(cái)、平安好醫(yī)生、開心消消樂10個(gè)APP申請(qǐng)了全部6個(gè)敏感權(quán)限，申請(qǐng)的敏感權(quán)限最多。

國家計(jì)算機(jī)病毒應(yīng)急處理中心在發(fā)給新京報(bào)記者的檢測報(bào)告中注明，通過上傳的APP應(yīng)用，自動(dòng)識(shí)別出移動(dòng)應(yīng)用所屬的行業(yè)，并對(duì)應(yīng)到《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》中不同行業(yè)應(yīng)有的權(quán)限集合，與被檢測應(yīng)用的AndroidManifest.xml文件進(jìn)行比對(duì)，將多余部分的權(quán)限定義為權(quán)限濫用。

根據(jù)APP專項(xiàng)治理工作組發(fā)布的《APP申請(qǐng)安卓系統(tǒng)權(quán)限機(jī)制分析與建議》，如果APP因業(yè)務(wù)功能需要申請(qǐng)系統(tǒng)權(quán)限，通常情況下，APP開發(fā)者可通過在AndroidManifest.xml配置文件中明確聲明的方式(靜態(tài)方式)，以及在代碼運(yùn)行階段請(qǐng)求的方式(動(dòng)態(tài)方式)申請(qǐng)系統(tǒng)權(quán)限。

“AndroidManifest.xml指的是APP安裝包中的配置文件，其包含了APP安裝所必要的各個(gè)組件，其中也有其申請(qǐng)的系統(tǒng)權(quán)限集合列表。”國家計(jì)算機(jī)病毒應(yīng)急處理中心工作人員告訴記者，“例如，android.permission.READ_CONTACTS代表讀取通訊錄權(quán)限，擁有該代碼的APP在‘基因?qū)用妗途邆淞俗x取用戶通訊錄的意圖。”