你的個(gè)人信息或許正在“泄露” 廈門女子用了2年多才知道App有漏洞

原標(biāo)題：你的個(gè)人信息或許正在“泄露” 廈門女子用了2年多才知道App有漏洞

海峽網(wǎng)1月7日訊 (海峽導(dǎo)報(bào)記者 黃敏江 陳巧思)各種各樣的手機(jī)App滿足了人們的不同需求，很多App在安裝時(shí)提示“是否允許該軟件讀取通訊錄”、“是否允許讀取您的地理位置”等。便利的同時(shí)，一部分App也涉嫌過度收集用戶的敏感信息，導(dǎo)致隱私很可能會被曝光。

你是否想過，這些權(quán)限請求是應(yīng)用本身實(shí)現(xiàn)功能的需要，還是為了獲取用戶的信息呢？最近，這些App因過度收集用戶敏感信息被中國互聯(lián)網(wǎng)協(xié)會點(diǎn)名了。

事件 多款A(yù)pp過度收集用戶個(gè)人信息

近日，在工業(yè)和信息化部信息通信管理局部署下，中國互聯(lián)網(wǎng)協(xié)會在京召開手機(jī)App收集和使用用戶個(gè)人信息情況專家評議會。

通過技術(shù)檢測以及用戶舉報(bào)發(fā)現(xiàn)，QQ音樂等18款A(yù)pp疑似存在過度收集“短信”“通訊錄”“位置”“錄音”等用戶敏感信息，萬能看等9款A(yù)pp疑似存在未經(jīng)用戶同意收集使用用戶個(gè)人信息。

針對發(fā)現(xiàn)的問題，結(jié)合相關(guān)互聯(lián)網(wǎng)企業(yè)的意見，經(jīng)過評議，專家一致認(rèn)為互聯(lián)網(wǎng)企業(yè)在加強(qiáng)用戶個(gè)人信息保護(hù)方面仍然存在一些不規(guī)范的問題，14款A(yù)pp存在過度收集用戶個(gè)人信息、未經(jīng)用戶同意收集使用用戶個(gè)人信息等問題。

根據(jù)評議會，這14款A(yù)pp存在的問題有：涉嫌過度申請通訊錄功能、過度申請短信功能、過度申請定位功能、過度申請錄音功能、未經(jīng)用戶同意收集使用用戶個(gè)人信息。

講述 用了2年多，才知道App有漏洞

家住思明區(qū)湖濱南路的黃女士從事外貿(mào)行業(yè)。因?yàn)楣ぷ餍枰?，她?jīng)常要出差到國外。為方便訂購機(jī)票和酒店，2年多前開始，她也在手機(jī)里下載了攜程旅行的App。

而根據(jù)中國互聯(lián)網(wǎng)協(xié)會公布的《存在問題的手機(jī)App名單》，通過技術(shù)檢測以及用戶舉報(bào)發(fā)現(xiàn)，攜程旅行App（v8.0.1版本）存在過度申請通訊錄功能的問題。黃女士蘋果手機(jī)里使用的攜程旅行App版本正是出問題的那個(gè)版本，因?yàn)樗龥]有更新軟件。“這款A(yù)pp存在這種問題，是一個(gè)巨大的缺陷和漏洞，那么用戶的通訊錄存在被曝光的可能，我手機(jī)通訊錄里有很多國際友人，一旦被曝光，他們也會受到牽連和騷擾。”黃女士說，因?yàn)槠綍r(shí)工作繁忙，也沒有特別去留意，這些漏洞往往很隱蔽，用戶很難發(fā)現(xiàn)這款A(yù)pp的缺陷。“得知此消息后，我已經(jīng)及時(shí)更新了最新版本，希望不要再有類似的問題存在”。

調(diào)查 漏洞很隱蔽，用戶難以發(fā)現(xiàn)

16歲的高中男生小邱是一名音樂愛好者。他的手機(jī)下載了多種音樂播放App，有蝦米音樂、網(wǎng)易云音樂，也包括此次涉事的酷我音樂、QQ音樂App。

此次涉事的酷我音樂、QQ音樂涉嫌過度申請短信功能。“每一款音樂App，我都會購買會員并且用手機(jī)號注冊。使用了那么久，我一直都沒察覺。這些App的缺陷和漏洞很隱蔽，用戶難以發(fā)現(xiàn)，實(shí)在讓人很擔(dān)心。”小邱這樣說。

從事金融行業(yè)的胡女士平時(shí)也會通過聽音樂放松心情，此前她也下載了QQ音樂，“手機(jī)短信里經(jīng)常有一些大額的轉(zhuǎn)款信息和驗(yàn)證碼，是不是也存在泄露的可能性？真是令人防不勝防。”對此，她也表示擔(dān)憂和質(zhì)疑。

而導(dǎo)報(bào)記者的手機(jī)也下載了酷我音樂App，不過并沒有用手機(jī)號注冊，所以該款A(yù)pp申請短信的功能很可能無法實(shí)現(xiàn)。

體驗(yàn) 涉事App都已進(jìn)行軟件更新

昨日下午2點(diǎn)多，導(dǎo)報(bào)記者也下載了攜程旅行App并且注冊，不過這款A(yù)pp已經(jīng)是全新的版本了（V8.0.2）。

隨后，導(dǎo)報(bào)記者撥通攜程旅行的客服電話，一位男客服接通了電話。導(dǎo)報(bào)記者自稱是用戶，提及過度申請通訊錄功能時(shí)，客服人員說：“你的App不存在這種功能，你只要用最新版本就好。”

接下來，導(dǎo)報(bào)記者又下載了快手App，發(fā)現(xiàn)這也是更新過的最新版本。導(dǎo)報(bào)記者繼續(xù)按照涉事的14款A(yù)pp名單下載，發(fā)現(xiàn)包括網(wǎng)易新聞、有道詞典、手機(jī)天貓、書旗小說等，這些App都已經(jīng)進(jìn)行軟件服務(wù)更新。

至于上述涉事問題，需要專業(yè)的軟件技術(shù)檢測，從用戶體驗(yàn)而言，導(dǎo)報(bào)記者很難發(fā)現(xiàn)它們是否還存在那些漏洞。

數(shù)據(jù) 98.8%的App濫用讀寫通話記錄權(quán)限

2018年9月6日，在2018　ISC互聯(lián)網(wǎng)安全大會“移動安全論壇”上，360互聯(lián)網(wǎng)安全中心聯(lián)合泰爾終端實(shí)驗(yàn)室發(fā)布《2018手機(jī)安全生態(tài)研究報(bào)告》（以下簡稱“報(bào)告”）。

報(bào)告顯示，2018年申請錄音權(quán)限的App最多，占比47%；98.8%的App濫用讀寫通話記錄權(quán)限，89.6%的App濫用讀取聯(lián)系人權(quán)限。

360互聯(lián)網(wǎng)安全中心抽樣了2160個(gè)流行移動應(yīng)用軟件樣本進(jìn)行分析，發(fā)現(xiàn)App權(quán)限越界行為整體上呈增長趨勢，尤其在涉及用戶隱私的相關(guān)權(quán)限使用上。2017年，申請撥打電話權(quán)限的App占比72.5%，但是到2018年上半年，申請撥打電話權(quán)限的App占比45%；2017年，僅有3.5%的App申請讀取聯(lián)系人權(quán)限，但是截至2018年上半年，申請了該權(quán)限的App就已占比29.3%。

對于App來說，錄音、撥打電話、讀寫通話記錄和讀寫聯(lián)系人是高危的權(quán)限，直接涉及到用戶手機(jī)上的個(gè)人敏感信息。App權(quán)限濫用，可能會導(dǎo)致用戶個(gè)人信息被不法分子非法獲取，從而造成用戶的個(gè)人信息安全和財(cái)產(chǎn)安全的受損。

相關(guān)專家表示，人們在享受移動App帶來的便捷生活的同時(shí)，自身的位置信息、通話記錄、通訊錄名單、照片等個(gè)人信息也有可能暴露在互聯(lián)網(wǎng)上。有些App申請的權(quán)限會涉及到用戶的隱私，甚至?xí){到用戶的個(gè)人信息安全。

提醒

下載使用App注意個(gè)人信息保護(hù)

從事IT行業(yè)的方先生建議，市民在下載、使用手機(jī)App時(shí)，千萬要注意個(gè)人信息安全的保護(hù)，“安裝注冊App時(shí)，用戶務(wù)必要看清楚彈出的對話框提示，比如‘是否允許該軟件讀取通訊錄’、‘是否允許讀取您的地理位置’等，可根據(jù)自身需求來選擇。而App讀取相關(guān)的信息，用戶可在手機(jī)設(shè)置中進(jìn)行操作是否讓App讀取有關(guān)信息，比如‘定位服務(wù)’可設(shè)置為使用期間讀取。”

律師說法

用戶信息誰收集誰負(fù)責(zé)

對此，福建自暉律師事務(wù)所王民暉認(rèn)為：《中華人民共和國網(wǎng)絡(luò)安全法》第40條明確規(guī)定：“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。”該法條明確了“誰收集，誰負(fù)責(zé)”的基本原則。

對于這些過度收集用戶信息的App而言，雖然用戶為了使用App選擇同意其收集用戶信息，但App這種強(qiáng)制手機(jī)用戶“授權(quán)同意”其收集個(gè)人信息的行為，可以視同為對用戶不利的單方“霸王條款”，在法律上應(yīng)屬于無效條款。也就是說，盡管用戶為了使用App而被迫選擇了“同意”的選項(xiàng)，這樣的選擇也是無效的，一旦發(fā)生糾紛，App照樣要承擔(dān)侵犯個(gè)人隱私權(quán)的法律責(zé)任。且一旦發(fā)生信息泄露，造成用戶財(cái)產(chǎn)損失，其網(wǎng)絡(luò)服務(wù)提供商除應(yīng)當(dāng)承擔(dān)相應(yīng)的民事?lián)p害賠償責(zé)任外，還涉嫌拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

對于手機(jī)用戶而言，也要加強(qiáng)自我防范和法治維權(quán)意識，在注冊App用戶時(shí)，一定要認(rèn)真閱讀相關(guān)協(xié)議，不能輕易就選擇“同意”，對那些惡意收集個(gè)人信息的App應(yīng)當(dāng)拒絕使用；一旦遭遇App泄露個(gè)人信息，要利用多種渠道維護(hù)自身的合法權(quán)益，包括向消費(fèi)者協(xié)會和有關(guān)監(jiān)督部門舉報(bào)、投訴等，若因個(gè)人信息泄露造成利益受損，還可以通過法律途徑維護(hù)自身合法權(quán)益。