第三方数据未回传不让出款 强制定位、偷听、搜集隐私信息,APP们到底要做什么?
专业出黑
加微信群或QQ群可免费索取:学习教程
教程列表见微信公众号底部菜单
你的手机浏览器可能在偷听有网友发现自己使用情趣用品时被录音
南都记者娜迪娅冯群星 蒋琳申鹏李玲实习生尤一炜
手机壁纸能读你的通讯录
浏览器可能随时给你录音
“手机APP好像会在情趣用品打开时一直录音。”
今年11月初,网友“”在美国著名的社交新闻网站上曝光了这一消息。他说,自己在准备重置手机时发现了存储在该应用文件夹内的一条音频,“时间长达6分钟,就是上一次我用这个应用遥控情趣用品的时候录的。”
还写道,该应用获取了使用麦克风和照相机的权限,但他以为这些权限仅用于应用内置的语音消息发送功能。“在任何时候,我都不希望应用录下我使用情趣用品的全过程。”流露出忿忿的情绪。
值得注意的是, 所使用的是安卓手机系统,而这一事故,也使得安卓应用存在已久的过度授权、权限滥用问题再次浮出水面。不少网友纷纷跟帖表示,曾有类似的遭遇。
“很多手机应用都会在未授权的情况下录音。”
“另一家情趣用品厂商也出过类似的事情,把用户的使用习惯等数据上传到服务器。”
如果你以为这只发生在国外,或只在情趣用品APP中存在,那你可能太乐观。
早在2014年,央视《每周质量报告》就曝光过大量安卓手机应用在安装时需要开放通讯录、地理位置等权限,从而严重威胁用户隐私安全的情况。彼时有业内人士分析,这一现象的背后是贩卖隐私信息的利益链已形成,不法手机应用厂商通过手机权限获得用户的隐私信息后再转卖,从而获得不菲的灰色收入。
日前,南都记者通过调查和技术测试发现,几年过去,上述问题并没有得到解决,反而由于互联网对大数据的需求升级,变得更为混乱。
可用手机遥控的情趣用品 APP 竟然偷录用户的私房事
50款APP,仅2款只收集必要权限
在各类安卓应用中,游戏一直是安全问题高发区。360联合DCCI发布的《2016年中国手机安全生态报告》显示,2015年,测试样本中94.5%的游戏应用都会获取读取位置信息的权限;89.1%能够读取用户短信,93.6%能够读取通讯录,虽然这些数据在2016年有所下降,但其中多项数值仍高于非游戏类APP。
这份报告同时指出,获取手机通讯录、短信、通话记录、位置信息等都被视为读取用户核心与重要隐私的行为,它们较读取WIFI、蓝牙等设备信息更加危险,用户应给予重点关注。事实上,绝大部分安卓用户没有注意到这一点,遭受经济损失的案例时有发生。
2014年,宁波市警方曾破获一起案件,3名犯罪嫌疑人用技术手段窃得游戏用户小顾在游戏应用上注册的名字、身份证号、手机号码等信息,随后利用这些信息办理假身份证,并用假身份证去通信营业厅挂失小顾的手机号并补办新卡,最后再用这张新的手机卡重新设置小顾在网络游戏中的密码,将价值20多万的游戏币窃走。
小顾的案例并非孤例,为了调查安卓应用越界获取隐私权限的情况,南都记者以今年大热的王者荣耀为例,选取了华为应用市场、应用宝、百度手机助手、360手机助手、豌豆荚、小米应用商店内6款常用安卓应用市场,按照搜索“王者荣耀”关键词排名前后的顺序,选取了50款王者荣耀周边应用作为考察对象。
需要注意的是,王者荣耀周边并不是指王者荣耀官方游戏本身,而是指王者荣耀游戏风靡后,其他应用商就此主题开发的各种游戏相关的辅助或扩展类应用,例如助手、壁纸等等。它们通常会由于游戏的热门下载量巨大。
南都记者首先查看了50款APP在应用商店简介中的权限列表。在安卓系统的应用商店中,通常要求应用开发者填写“权限列表”,用户在下载前很易查看。
应用下载页面的权限说明
令人担忧的是,一些开发者在简介中就堂而皇之地列出了大量不会使用到的“越界”权限,包括使用录音与摄像头,读取手机通讯录、短信,甚至获取你精确的地理位置。
在南都记者选取的50款APP中,应用简介列出的权限总集大致有28个,包括拍摄照片和视频、读取通讯录、读取/发送短信、录音、获取精确位置、修改SD卡中的内容等。
依据APP的自身功能,南都记者把这些权限标记为“核心”、“可选”和“越界”三种。
根据APP的类型不同,它们的“核心”权限也有所差异。
助手类和论坛类APP主要为王者玩家提供攻略、视频等资讯,实现核心功能基本无需获取用户隐私;主题类APP主要提供下载皮肤、壁纸等功能,核心权限可能包括将图片存储在 SD 卡中;视频类APP则必须要有更改音频设置的权限; 浏览器类APP的核心功能是搜索,无需获取用户隐私。
50个APP覆盖了28个隐私相关权限,但必不可少的“核心”权限不多。
南都记者统计的结果显示,50款APP中,仅有2款APP列出的权限都是“核心”权限,却有5款APP所列出的所有权限均 “越界”。其他APP则或多或少都要求获取“越界”或“可选”的权限,其中23个APP的“越界”权限占比超过50%。
有浏览器可随时随地给用户录音
这些“越界”的权限是哪些?
以“王者荣耀攻略”为例,该APP由吕元飞开发,提供游戏相关图片和视频,基本只有展示功能,但它要求获取修改系统设置、地理位置、查看手机状态和身份等明显与核心业务不相关的功能。
圆圆是一名王者荣耀玩家,她告诉南都记者,自己下载“王者荣耀攻略”就是想看看攻略,学习怎么把游戏打得更好,并未留意会收集自己哪些信息。“一般APP如果收集位置信息不是会提示么,我没有收到提示哎。而且这个APP显示通过安全检测,就没有看过其他的了”,圆圆说。
事实上,多数用户都与圆圆一样,对于应用普遍存在获取 “越界”权限的问题并不注意。
在记者查看的50款APP中,最严重的当属“获取精确位置”权限,有29个无相关功能的APP要求获取,匪夷所思的是,其中还包含不少主题类和视频类APP。
19个APP拥有“读取通讯录”的权限,其中也不乏只有几张图片的主题壁纸类应用。
这些权限无一例外与APP的核心功能毫不相关,却与用户隐私有着密不可分的关系。
位置信息可以用来勾勒出用户的行动范围和路线,从而精确定位到个人;通讯录则包含了他人的电话号码,一旦授权获取并被用于商业目的,将对自己和他人都造成困扰。
南都记者此前就报道过,一些社交应用强制要求用户在注册时开放通讯录权限,并利用获取到的联系人信息发送推广短信,很多人不胜其扰。
一些应用强制获取用户的联系人数据并群发广告短信
还有更“奇葩”的。豌豆荚里的“王者荣耀浏览器”被安装到手机之后,除了拍照、位置信息的权限,它还要求用户开放录音权限。也就是说,一个浏览器也可以随时对你录音。
据安卓市场官方简介,“王者荣耀浏览器”由“广州掌阔信息科技有限公司”开发,公司地址为广州市天河区黄村大道自编98号。
南都记者根据地址找到这家公司。虽然正值工作时间,但仅数平米的办公室内仅摆放了一张桌子,没有一个办公人员。类似这样的“公司”,在同一楼层还有至少30间,都是门上贴着公司的名字,”办公室”里却非常狭窄,大部分连一张桌子都没有,更没有一位员工,并不像有人办公的正规公司地址。
此外,南都记者也试图通过电话与公司联系,听闻是记者,对方立即挂断了电话并不再接听。
工作日,广州掌阔信息科技有限公司门口
申请读取的权限 与通知你的可能不同
如果说应用商店简介中列出的权限已令人担忧,APP真正获取的权限许可就可谓触目惊心。
一款APP中,除了应用商店简介,通常还能从另外三处查看到获取权限列表:第一处,是安装应用时(或首次打开时)跳出的权限列表,用户直接可见。但南都记者随机采访了20名安卓手机用户,其中19人都表示从来不会仔细看这个列表,“太长了,不会认真看。”
第二处是安装包中的xml文件。网络上的安全测试平台多可测试出这一列表中的权限,它相当于列明了一款应用“向安卓系统申请允许读取用户哪些权限”
“这虽然不代表应用一定会读取列表中权限关联的各项隐私,但通俗地说,这像是拿到了打开你家门的钥匙。”爱加密科技有限公司工作人员萧何向南都记者介绍。
而第三处,则是程序中与敏感权限相关的代码行,北京大学软件安全小组组长张汉与萧何均向南都记者介绍,代码行中出现的权限相关命令可以认为只要条件合适就会开始读取用户相关权限,与实际的行为几乎等同。
据此,南都记者以感融互联网金融服务有限公司的“王者荣耀视频网”(百度手机助手下载)为例进行了更加详细的测试。
在北京大学软件安全小组、北京邮电大学软件学院与爱加密科技有限公司技术帮助下,南都记者将这款应用上述四处的权限一一列出对比:
王者荣耀视频网明示与实际权限的对比
在上图中,王者荣耀视频网在简介中称只会读取用户6项权限,但安装时弹出的提示中则列出了20项权限,在安装包中至少向安卓系统申请了21项权限的许可。技术人员则从其代码中又发现了“获取手机IMEI编号”与“网络下载”等10项敏感函数。
这意味着,一个APP代码中写入的隐私获取命令与申请读取的权限不同,申请读取的权限与通知用户的不同,通知用户的与简介中的也不相同。
可以说,一个用户想确切获知一款应用究竟获取了自己哪些权限,十分困难。
越权背后,商业利益“不要白不要”
退一步说,即使获得了完全的权限列表,用户就能做出有利于自己的选择吗?
答案是否定的。正如开篇的例子中,用户同意APP开启麦克风,以为只是用于发送语音,谁知会却被录音。
一位从事安卓手机开发的技术人员告诉南都记者,实际上获取大部分用户隐私信息并不用来完成应用某项功能,而是用于进行未来业务规划。
“比如说拿到用户的位置,就知道自己的用户在哪个省份比较活跃,未来如果公司想开线下实体店,就会优先选择某些省份;而拿到用户的通讯录,主要是为了社交联系,推荐你通讯录里的好友也来使用同一产品”。上述技术人员表示。
对于这一现象,360安全专家刘洋告诉南都记者,开发者获取用户隐私信息大多是为了营销和推广。“推送精准的广告需要对人群精准的锁定:会用我产品的人是男是女?收入什么水平?手机里都有哪些应用?……这些人群的描摹工作都是通过大量的用户数据完成的。”
值得注意的是,一些应用在开发过程中还会将其中一些功能模块交给第三方来实现,如接入一个云服务的模块、插入一个流量统计的模块等等,这些第三方公司也同样可以从应用中获取用户权限。
“第三方的功能也不一定需要这些权限,但既然开了这个端口给我,大家的想法就是不要白不要……”前文中的技术人员表示。
可见,大多数隐私信息的获取实际上并非为了方便用户,而是有利于应用开发方的商业利益。
根据今年6月1日施行的《网络安全法》第41条规定,网络运营者不得收集与其提供的服务无关的个人信息。实际上,上述行为已经违反了法律的相关规定。
如此轻巧地获取与使用用户的隐私权限,对应的现实却是安卓令人担忧的安全现状。据相关报告显示,几乎所有的安卓手机与应用都存在大大小小的漏洞,一旦被攻破,用户的隐私便会“**奔”。
以读取短信的权限为例,刘洋告诉南都记者,对用户来说,它主要的作用是收到验证码时懒得手动复制,需要程序自动填入时会用到,此外,还可以方便保存短信的内容到应用中。
大多数用户并未意识到,短信内有收取验证码、银行余额信息等个人隐私,安全意义重大。
如若不小心安装了短信拦截木马,就会读取手机中的短信内容,后台自动回传到木马制作者指定的邮箱或手机上,这不但会使更多的**扰电话跟随你,还可能有不法分子利用拦截到的短信验证码,登录支付平台,电商网站进行盗刷。更有耐心的犯罪分子,会通过非法渠道购买到银行卡账号、交易密码、身份证等信息,进入网上银行,进行直接转账,甚至帮受害者申请几笔小额贷款。
据360公司2017年第一季度数据统计,今年新增的短信拦截马恶意程序就有56762个,在隐私窃取类的恶意程序中占了近1/3,共感染了部手机。
因此,用户即使能够看到权限列表,但不能清晰地知晓这些权限会带来的影响,这种“知情”意义有限,付出的代价却是巨大的。
安卓原生系统多被修改 “明示同意”难实现
“知情”尚且如此困难,“同意”似乎更无从谈起。
2017年6月1日起正式实施的《网络安全法》第二十二条规定:
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。
然而,南都记者发现,除了常见的开启相机、定位、麦克风弹窗提示外,很少有APP会明示告知用户将获取其它权限,并主动弹出窗口获取用户同意。
既然《网络安全法》规定,获取用户信息需要“明示同意”后才能得到权限,安卓应用市场为何不能规范应用对权限的获取行为并提供“明示同意”服务?
实际上,安卓系统早已注意到这一点。2015年5月,安卓推出6.0系统。在此之前,安装应用时跳出的权限只有一个列表,要么通通同意,点击“安装”,要么拒绝全部,直接“取消”。这实际上是一种形式化的“明示同意”,用户并没有真正选择权。
为了改变这一现状,安卓6.0及以上的版本将权限分为两类:一类是普通权限,不涉及用户隐私,不需要进行授权,比如手机震动、访问网络等;另一类是危险权限,涉及到用户隐私,在使用时需要用到此功能时进行弹窗提醒用户授权。
这一更新无疑很好地规范了权限获取与“明示同意”的应用行为。
然而,南都记者试用发现,大陆常用的安卓手机大都不使用安卓原生系统,而是对安卓系统进行了改写。例如,华为手机在下载华为应用市场中的应用时并不会跳出授权弹窗,小米手机也对从小米应用市场中下载的应用进行了“豁免”。
“手机厂商会根据自己的需要对系统进行改写,他们会自己编写想要的权限明示方式”,刘洋对南都记者说。
由于手机原生应用市场会对上架应用进行安全检查,因此豁免手机原生应用市场的应用并不是最令人担心的。
更可怕的是,南都记者尝试用系统已经更新的魅族手机下载了百度手机助手,并在助手中下载了“王者荣耀论坛”,在安装时,系统弹出权限列表,并允许用户逐项选择“开启”、“关闭”或是“使用时询问”,做到了明示同意。
在列表中,南都记者对摄像头、音频等功能点击了“使用时询问”选项。随后,南都记者打开应用,试图拍摄一张照片并发布,但却发现系统没有跳出询问弹窗便直接使用了拍照功能。这意味着,安装时用户的授权形同虚设,应用绕过授权获取了用户的相机权限。
事实证明,不同手机厂商,不同应用商店都会根据自己的需求对于权限授予做出改变,用户面对的依然是一个杂乱而无法掌握的安卓权限获取现状。
关闭定位就不让用微信APP们你们要那么多隐私信息做什么
南都记者 冯群星 实习生 尤一炜
“只是个手机输入法,为什么要知晓我的地理位置,还要读取我的通讯录?”使用国内某大厂安卓手机的小张(化名),觉得好像有哪里不对,但最终还是选择了安装。“流行的输入法就那么几个,也没得选啊。”
很多人表示,跟小张有同样的疑问:明明看上去没有相应的功能,为啥要一股脑儿地获取拍照、地理位置、手机联系人等大量涉及隐私的权限?
允许应用访问照相机吗?
“同事欠钱人家打电话给我,我说不认识,对面的客服居然说我们半年前通过电话。个人隐私这玩意真心存在?”“我一直很纳闷,为什么我在使用某C浏览器的时候,一打开首页,全是我在淘宝浏览过的商品广告”——在南都官方微信号()下,读者们纷纷吐槽不爽经历。
南都记者进一步调查发现,应用获取这些权限,除了用于自己的核心功能,还可以构建“用户画像”,再以此为基础进行精准营销。对用户来说,不起眼的权限之下,暗含个人隐私泄露的巨大风险。
国产APP常态:征求同意变强制同意,不同意就闪退
依据“是否会对用户隐私或设备操作造成很大风险”,安卓系统权限分为正常权限和危险权限。如果会危及用户隐私,就属于危险权限。目前,安卓官网上列出了九组共26个危险权限,包括访问照相机、读取联系人、获取地理位置、录音等。
为了保障用户的数据安全,安卓6.0版本以上系统已强制规定,涉及到用户隐私的危险权限,应用必须通过系统给用户明确提醒,并获得用户的明确授权。但是,大量应用通过一些“神奇”的操作,令这样的规定形同虚设。
“前几天第一次用华为V10安装微信时说同意获取地理位置或禁止,想当然地点了禁止,然后只能强制退出安装??!!那这是征求我的同意吗?这是强制我同意好不!”南都微信热心网友糖糖气愤地对南都记者说。
闪退视频
禁止部分权限后,无法正常使用APP
记者使用华为(Mate9,安卓版本为7.0)、魅族(MX4,安卓版本为5.1)、 小米MI 6(安卓版本为7.0)、一加3T(安卓版本为7.1.1)、 7 Plus(iOS版本为11.1.2)四款不同的手机亲测发现:
在华为、小米和一加手机上,关闭微信的地理位置授权,微信直接闪退,必须去系统中重新授权才能打开微信。
在小米6上拒绝微信的地理位置授权后,打开微信便看到这样的提示
但是,在魅族中关闭微信地理位置授权的状态下,南都记者发布一条朋友圈,点击“所在位置”后,仍弹出一串位置列表,明确显示为记者所在的位置及附近地址。
而在中进行同样操作,位置列表则显示为空白状态。对此,技术人员提醒,不只是位置权限能够读取位置信息,通过Wi-Fi也能够读取位置信息。
在魅族上的测试视频
关闭定位权限的操作约从0:30处开始
朋友圈依然正常定位约从4:20处开始
之所以选择微信作为测试案例,是因为微信在隐私政策中有明确承诺:
用户拒绝提供地理位置信息或是通讯录信息,只会影响相关功能的使用,不影响用户正常使用微信的其他功能。
可见,国内用户究竟是否有选择权,是由应用本身设置与手机厂商设置共同决定的。
当南都记者拒绝微信读取位置时,被测苹果上的微信不会继续读取且可以使用其他功能,被测华为、小米、一加出现了闪退、无法使用的状况,被测的魅族仍然能够对用户定位。
微信APP并非孤例。南都记者发现,在申请授权时,大多数应用仅是简单地罗列了事,根本没有说明哪些功能与危险权限有关。更有大量应用,霸道地“不同意就不给安装”。无奈之下,许多人只能同意应用的默认设置。
安卓系统之所以建立授权机制,就是为了更好地保障用户的使用安全。征求同意变强制同意的现状,其实与授权机制的初衷背道而驰。
获取危险权限有啥用?大量应用没说明
“如果选择拒绝,即使安装成功也用不了,会不停地要求你打开那些权限”,网友“猫取”说,有的应用明明不需要通讯、定位功能却不停提示授权,“很变态”。“每次看到权限里还有关于联系人、通讯录的,就觉得很不安全,觉得有必要吗?”网友“Snail” 说。
应用获取危险权限却不说明相关功能,难免让用户生出“是否真的必要”的疑问。就此,多名安卓领域从业者表示,同一权限在不同类型的应用上有不同的用途,具体要看应用的业务是什么。
以九组危险权限中的联系人相关权限为例,社交类应用可借此查看用户的哪些联系人在使用同一应用,以便为用户推荐好友。
安卓原生系统规定的危险权限
地理位置权限:
录音权限:
手机相关权限是危险权限中的一个大组,内含读取手机状态和身份、直接拨打电话、读取通话记录、查看在拨出电话期间拨打的号码等多个权限。据了解,读取手机状态和身份主要指的是获取手机的 IMEI 码,这是一串全球唯一的识别码,它就像手机的身份证,可用来统计某一应用的使用人数。基本上所有类型的应用都会获取这一权限。
直接拨打电话权限:
短信权限:
访问照相机权限:
然而,除非咨询专业人士,普通人很难知晓以上信息。南都记者在网上检索了多款安卓应用,只发现一款应用对危险权限做了详细说明。以联系人数据权限为例,该应用既在说明中写了权限的用途(“让您可以更容易与您的朋友,家人或同事共享”),也交待了数据的访问和存储方式(“在一般情况下,我们并不会保存您的联系人或他们的详细信息到我们的服务器”)。
危险权限相关数据 可用于构建用户画像
“即便应用要求获得某项授权,也不意味着它在实际运行中使用了这一权限。有些应用有‘偷数据’的嫌疑。但也不排除一小部分粗心的开发者忘记删除。”安卓工程师岳鹏飞说。
南都记者发现,现如今各种应用都会增加社交、定位、扫描二维码等功能,看起来也确实需要获取相关权限。值得注意的是,地理位置权限能让应用基于地理位置推荐周边营销信息,为企业带来广告收入。而许多现金贷类应用都会强制要求读取用户的联系人数据。
要求读取联系人和精确位置的现金贷类应用
“企业获取的数据越多,就越能够形成用户画像,进行精准营销。企业未必滥用这些数据,但有滥用的可能性。”猎豹移动高级产品经理徐旸认为,在大量授权已成常态的情况下,用户的数据安全,主要得看企业自觉。
所谓用户画像,是根据用户的生活习惯、消费行为等信息抽象出的标签化的用户模型。用户画像建立在一系列真实数据的基础上,通常包括姓名、年龄、家庭状况、工作、收入、喜好等要素。手机作为人体的“新器官”时刻记录着人们的生活,手机中的数据于是成为用户画像的最佳土壤。
你的数据正源源不断地被收集
许多人并不清楚的是,自己在手机上看似简单的几个授权动作,已经将自己的隐私数据置于随时随地可被收集的状态下。
以读取手机状态和身份为例,一位业内人士告诉南都记者,如今许多推广企业都会在公共场所使用 “WiFi探针”技术,一旦有用户经过,即便用户没有联网,探针也能探测到用户手机上所有获得该授权的应用。这些数据都会进入企业的用户画像数据库。
危险权限可被恶意劫持 还曾导致用户**照泄露
据媒体报道,早在2012年,复旦大学计算机学院教授王晓阳就做过统计,330款热门应用程序中,超过八成要求过度授权,近六成造成用户隐私泄露。他特别指出,一些分开看似乎合理的权限,合在一起用也可能产生问题。就拿输入法来说,要读通讯录和短信,也要上网更新词库。但是它会不会把通讯录读下来以后,通过网上送出去?
近年来,危险权限导致的恶性事件更是不时见诸报端。2015年出现过一款伪装成**播放器的应用,在用户使用过程中悄悄使用设备的前置摄像头拍摄用户的**照并将**照上传到指定的远程服务器,以此向用户索要500美元赎金。
该应用会锁死手机,索要500美元赎金
事实上,危险权限的开放不仅给用户带来了风险,也极有可能给应用开发者带来恶劣影响。今年有一款叫做的恶意应用被曝光,该应用可劫持手机内有最高管理权限的应用,从而获得大量危险权限。需要注意的是,技术人员称,这已经不是恶意应用第一次借助root 工具应用获取root访问权限。
也就是说,一些有诸多危险权限的应用自己本身是遵纪守法的“好人”,但它们手握的权限有可能被“坏人”,即 这样的恶意应用抢去干坏事。不仅能够对电话进行录音,还能记录设备周边的语音对话。包括微信、新浪微博、手机QQ和淘宝在内的超过40个应用程序的数据,都可以被它拦截。
感染实例
国内特殊情况加剧授权复杂性 监管长期缺失
鉴于权限开放的潜在风险,安卓系统在这方面的管理日益收紧。在安卓6.0以上版本的原生系统中,应用中的每一项危险权限都必须单独获得用户授权。但国内的手机厂商往往在原生系统基础上结合自家手机特性开发出定制化的系统,由此衍生出不同的权限分类与管理规则,原生系统的监管办法很难完全贯彻。
至于应用商店方面,国内的商店一般都有审核机制,要求开发者对某些看起来与功能不相关的危险权限作出说明。然而,安卓应用数量巨大,实际操作中难免有漏网之鱼。举例来说,如果一款索要了过多危险权限的应用同时在多个应用商店内发布,A 应用商店可能会要求它下架整改,B 应用商店却可能为它大开绿灯。
多名安卓开发者告诉南都记者,目前除了手机厂商和应用商店外,并没有明确的监管机构对危险权限进行管理和限制。
“如果政府或者大企业出面,建立类似的应用信用体系,应该是个不错的选择。但是就现在的情况看,严格授权对企业来说没什么好处,所以大家的精力都不在这个上面。”一位安卓工程师说。
