原標題:你的泄露個人信息或許正在“泄露” 廈門女子用了2年多才知道App有漏洞
海峽網1月7日訊 (海峽導報記者 黃敏江 陳巧思)各種各樣的手機App滿足了人們的不同需求,很多App在安裝時提示“是个道A洞否允許該軟件讀取通訊錄”、“是人信否允許讀取您的地理位置”等。便利的息或许正厦门同時,一部分App也涉嫌過度收集用戶的女用年多敏感信息,導致隱私很可能會被曝光。才知
你是有漏否想過,這些權限請求是泄露應用本身實現功能的需要,還是个道A洞為了獲取用戶的信息呢?最近,這些App因過度收集用戶敏感信息被中國互聯網協會點名了。人信
事件 多款App過度收集用戶個人信息
近日,息或许正厦门在工業和信息化部信息通信管理局部署下,女用年多中國互聯網協會在京召開手機App收集和使用用戶個人信息情況專家評議會。才知
通過技術檢測以及用戶舉報發現,有漏QQ音樂等18款App疑似存在過度收集“短信”“通訊錄”“位置”“錄音”等用戶敏感信息,泄露萬能看等9款App疑似存在未經用戶同意收集使用用戶個人信息。
針對發現的問題,結合相關互聯網企業的意見,經過評議,專家一致認為互聯網企業在加強用戶個人信息保護方麵仍然存在一些不規範的問題,14款App存在過度收集用戶個人信息、未經用戶同意收集使用用戶個人信息等問題。
根據評議會,這14款App存在的問題有:涉嫌過度申請通訊錄功能、過度申請短信功能、過度申請定位功能、過度申請錄音功能、未經用戶同意收集使用用戶個人信息。
講述 用了2年多,才知道App有漏洞
家住思明區湖濱南路的黃女士從事外貿行業。因為工作需要,她經常要出差到國外。為方便訂購機票和酒店,2年多前開始,她也在手機裏下載了攜程旅行的App。
而根據中國互聯網協會公布的《存在問題的手機App名單》,通過技術檢測以及用戶舉報發現,攜程旅行App(v8.0.1版本)存在過度申請通訊錄功能的問題。黃女士蘋果手機裏使用的攜程旅行App版本正是出問題的那個版本,因為她沒有更新軟件。“這款App存在這種問題,是一個巨大的缺陷和漏洞,那麽用戶的通訊錄存在被曝光的可能,我手機通訊錄裏有很多國際友人,一旦被曝光,他們也會受到牽連和騷擾。”黃女士說,因為平時工作繁忙,也沒有特別去留意,這些漏洞往往很隱蔽,用戶很難發現這款App的缺陷。“得知此消息後,我已經及時更新了最新版本,希望不要再有類似的問題存在”。
調查 漏洞很隱蔽,用戶難以發現
16歲的高中男生小邱是一名音樂愛好者。他的手機下載了多種音樂播放App,有蝦米音樂、網易雲音樂,也包括此次涉事的酷我音樂、QQ音樂App。
此次涉事的酷我音樂、QQ音樂涉嫌過度申請短信功能。“每一款音樂App,我都會購買會員並且用手機號注冊。使用了那麽久,我一直都沒察覺。這些App的缺陷和漏洞很隱蔽,用戶難以發現,實在讓人很擔心。”小邱這樣說。
從事金融行業的胡女士平時也會通過聽音樂放鬆心情,此前她也下載了QQ音樂,“手機短信裏經常有一些大額的轉款信息和驗證碼,是不是也存在泄露的可能性?真是令人防不勝防。”對此,她也表示擔憂和質疑。
而導報記者的手機也下載了酷我音樂App,不過並沒有用手機號注冊,所以該款App申請短信的功能很可能無法實現。
體驗 涉事App都已進行軟件更新
昨日下午2點多,導報記者也下載了攜程旅行App並且注冊,不過這款App已經是全新的版本了(V8.0.2)。
隨後,導報記者撥通攜程旅行的客服電話,一位男客服接通了電話。導報記者自稱是用戶,提及過度申請通訊錄功能時,客服人員說:“你的App不存在這種功能,你隻要用最新版本就好。”
接下來,導報記者又下載了快手App,發現這也是更新過的最新版本。導報記者繼續按照涉事的14款App名單下載,發現包括網易新聞、有道詞典、手機天貓、書旗小說等,這些App都已經進行軟件服務更新。
至於上述涉事問題,需要專業的軟件技術檢測,從用戶體驗而言,導報記者很難發現它們是否還存在那些漏洞。
數據 98.8%的App濫用讀寫通話記錄權限
2018年9月6日,在2018 ISC互聯網安全大會“移動安全論壇”上,360互聯網安全中心聯合泰爾終端實驗室發布《2018手機安全生態研究報告》(以下簡稱“報告”)。
報告顯示,2018年申請錄音權限的App最多,占比47%;98.8%的App濫用讀寫通話記錄權限,89.6%的App濫用讀取聯係人權限。
360互聯網安全中心抽樣了2160個流行移動應用軟件樣本進行分析,發現App權限越界行為整體上呈增長趨勢,尤其在涉及用戶隱私的相關權限使用上。2017年,申請撥打電話權限的App占比72.5%,但是到2018年上半年,申請撥打電話權限的App占比45%;2017年,僅有3.5%的App申請讀取聯係人權限,但是截至2018年上半年,申請了該權限的App就已占比29.3%。
對於App來說,錄音、撥打電話、讀寫通話記錄和讀寫聯係人是高危的權限,直接涉及到用戶手機上的個人敏感信息。App權限濫用,可能會導致用戶個人信息被不法分子非法獲取,從而造成用戶的個人信息安全和財產安全的受損。
相關專家表示,人們在享受移動App帶來的便捷生活的同時,自身的位置信息、通話記錄、通訊錄名單、照片等個人信息也有可能暴露在互聯網上。有些App申請的權限會涉及到用戶的隱私,甚至會威脅到用戶的個人信息安全。
提醒
下載使用App注意個人信息保護
從事IT行業的方先生建議,市民在下載、使用手機App時,千萬要注意個人信息安全的保護,“安裝注冊App時,用戶務必要看清楚彈出的對話框提示,比如‘是否允許該軟件讀取通訊錄’、‘是否允許讀取您的地理位置’等,可根據自身需求來選擇。而App讀取相關的信息,用戶可在手機設置中進行操作是否讓App讀取有關信息,比如‘定位服務’可設置為使用期間讀取。”
律師說法
用戶信息誰收集誰負責
對此,福建自暉律師事務所王民暉認為:《中華人民共和國網絡安全法》第40條明確規定:“網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護製度。”該法條明確了“誰收集,誰負責”的基本原則。
對於這些過度收集用戶信息的App而言,雖然用戶為了使用App選擇同意其收集用戶信息,但App這種強製手機用戶“授權同意”其收集個人信息的行為,可以視同為對用戶不利的單方“霸王條款”,在法律上應屬於無效條款。也就是說,盡管用戶為了使用App而被迫選擇了“同意”的選項,這樣的選擇也是無效的,一旦發生糾紛,App照樣要承擔侵犯個人隱私權的法律責任。且一旦發生信息泄露,造成用戶財產損失,其網絡服務提供商除應當承擔相應的民事損害賠償責任外,還涉嫌拒不履行信息網絡安全管理義務罪。
對於手機用戶而言,也要加強自我防範和法治維權意識,在注冊App用戶時,一定要認真閱讀相關協議,不能輕易就選擇“同意”,對那些惡意收集個人信息的App應當拒絕使用;一旦遭遇App泄露個人信息,要利用多種渠道維護自身的合法權益,包括向消費者協會和有關監督部門舉報、投訴等,若因個人信息泄露造成利益受損,還可以通過法律途徑維護自身合法權益。
