0
| 本文作者: 李勤 | 2019-01-26 14:04 |
你可能收到過(guò)這樣的短信,還以為最近桃花泛濫,自己太招人喜歡了!
天哪!過(guò)去 1 小時(shí)內(nèi)又有 2 個(gè)妹子喜歡了你,離你最近的只有 2.9 公里,還不戳XXXXX.com/i 看看?回T退訂【 XX 社交】
你也可能收到過(guò)這樣的短信,看上去感覺(jué)自己棒棒噠,職場(chǎng)順利,人脈廣!
李X,有前同事標(biāo)注你為“有兩把刷子”,并向你推薦了81個(gè)職業(yè)人脈,王某生、劉某收等42個(gè)好友也在XX 等你。
收到這些短信的朋友們,章子怡的女兒叫什么?醒醒!不要沾沾自喜,存了你聯(lián)系方式的豬隊(duì)友不知不覺(jué)間把你“賣”了,那些讀取了通訊錄的 APP 正吃相難看地試圖用這些招數(shù)招攬新用戶。
讀取通訊錄只是其一,1 月 25 日,雷鋒網(wǎng)獲得了一份由騰訊社會(huì)研究中心與DCCI 互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《2018 年度網(wǎng)絡(luò)隱私及網(wǎng)絡(luò)欺詐行為研究分析報(bào)告》,發(fā)現(xiàn)僅在使用 APP 上,你還面臨這些隱私安全威脅。
【 圖片來(lái)源:太平洋電腦網(wǎng) 所有者:太平洋電腦網(wǎng) 】
APP 在向用戶請(qǐng)求獲取手機(jī)隱私權(quán)限時(shí),有些權(quán)限是必要的, 不獲取 APP 就無(wú)法正常工作。但也有些 APP 存在功能用不到,卻要 求用戶授予權(quán)限的行為——“越界獲取”權(quán)限的行為。用戶一旦授權(quán), 不但會(huì)給手機(jī)帶來(lái)不必要的負(fù)擔(dān),還會(huì)留下各種安全隱患,從而可能引發(fā)各種問(wèn)題:
1、讀取位置權(quán)限
該權(quán)限允許 APP 通過(guò) GPS 或網(wǎng)絡(luò)來(lái)獲取手機(jī)的位置信息。多數(shù) APP 需要此權(quán)限,如:地圖、社交、外賣等 APP 都需要獲取“位置 信息”,需要注意的是 GPS 定位耗電量很高,而且位置信息是敏感信息的一種,如果被不法分子利用,非常危險(xiǎn)。
2、讀寫存儲(chǔ)設(shè)備權(quán)限
該權(quán)限允許 APP 寫入和讀取機(jī)身存儲(chǔ)和 Micro-SD 卡內(nèi)的數(shù)據(jù)。
該權(quán)限的用途很多,例如:網(wǎng)盤類 APP 上傳/下載文件、文件管理器 管理本地文件、地圖類 APP 下載離線地圖、社交類 APP 發(fā)送本地的 照片/文件/視頻、多媒體播放 APP 播放本地文件等。需要注意的是,如果該權(quán)限被流氓 APP 利用,用戶的敏感數(shù)據(jù)很可能會(huì)丟失、被修改或被泄露。
3、日歷權(quán)限
該權(quán)限可以讓 APP 讀取、分享或保存日歷數(shù)據(jù)。如果該權(quán)限被惡意 APP 利用,就可以追蹤用戶每天的行程。
4、電話權(quán)限
獲取“電話”權(quán)限的 APP 可以查看并修改通話記錄、查看用戶 的本機(jī)號(hào)碼和設(shè)備 ID、查看用戶是否在打電話和正在撥打的電話號(hào) 碼,并能更改撥打的電話號(hào)碼,甚至掛斷電話。除此之外,“電話” 權(quán)限還允許 APP 自動(dòng)撥打電話。如果該權(quán)限被流氓 APP 利用,很可能會(huì)產(chǎn)生電話費(fèi)用、泄露設(shè)備 ID 信息。
5、短信權(quán)限
該權(quán)限允許 APP 發(fā)送短信、接收短信、查看設(shè)備上存儲(chǔ)的短信、毫無(wú)提示地刪除收到的短信。
和“電話”權(quán)限一樣,“短信”權(quán)限如 果被流氓 APP 利用,也會(huì)產(chǎn)生資費(fèi)。此外,短信驗(yàn)證碼是很多關(guān)鍵服務(wù)的“最后防線”。涉及該權(quán)限的獲取時(shí),用戶要更加注意。
6、攝像頭&麥克風(fēng)權(quán)限
獲得了“相機(jī)”權(quán)限的 APP 可以拍照片和錄視頻,第三方相機(jī) APP、社交 APP、具有二維碼掃描功能的 APP 都需要此權(quán)限。惡意 APP 軟件可以在任何時(shí)刻打開手機(jī)攝像頭,監(jiān)視用戶的生活和隱私,并大幅降低電池續(xù)航。
7、通訊錄權(quán)限
該權(quán)限允許 APP 讀取并修改聯(lián)系人以及他們的數(shù)據(jù)(電話號(hào)碼、 郵箱地址等),并獲取手機(jī)的用戶和賬號(hào)信息。“通訊錄”權(quán)限被惡意 APP 軟件獲取后,被泄露的聯(lián)系人數(shù)據(jù)很有可能被傳播垃圾郵件、短信或電話的人利用,而且用戶的賬號(hào)數(shù)據(jù)也會(huì)被泄露,該權(quán)限的重要性不言而喻。
8、身體傳感器權(quán)限
一般健身類 APP 需要“身體傳感器”權(quán)限。該權(quán)限允許 APP 進(jìn) 行計(jì)步數(shù)和測(cè)心率等功能。
9、讀取應(yīng)用列表權(quán)限
該權(quán)限是指允許 APP 查看用戶已安裝和在用的 APP 信息,同時(shí)能了解到一段時(shí)間內(nèi),用戶使用幾個(gè) APP 的往來(lái)路徑,以此可以推測(cè)用戶興趣喜好,形成用戶畫像等。一部分 APP 軟件也會(huì)借助此項(xiàng)功能在用戶完全不知情的情況下喚醒其他 APP。一般情況下,此權(quán)限是做以下用途:
(1)一般以下類型的 APP 獲取該權(quán)限屬于正常現(xiàn)象:應(yīng)用市場(chǎng) 類,垃圾清理類,殺毒安全類 APP。這些 APP 需要檢查其他 APP 是否需要升級(jí)、清理、殺毒。
(2)部分 APP 需要調(diào)用外部(其他)APP,比如文件管理類 APP 需要知道哪些 APP 可以打開哪些文件,這種請(qǐng)求也是正常的。
(3)統(tǒng)計(jì)和推送。例如:用戶裝了什么 APP 就說(shuō)明用戶有某些方面的愛(ài)好,以此為基礎(chǔ),可以向用戶推送可能感興趣的 APP。
(4)方便 APP 間進(jìn)行喚醒。這一般是在用戶不知情的情況下,一個(gè) APP 喚醒其他 APP,這種情況下獲取該項(xiàng)權(quán)限就完全沒(méi)有必要。
(5)APP 需要使用第三方服務(wù)。例如:某 APP 為方便用戶登陸,需要先查看手機(jī)上是否安裝了微信、QQ、微博等 APP,然后再調(diào)用這些通信社交 APP 的 API 接口,方便登陸授權(quán)。
(一)所有的 Android 端手機(jī) APP 都會(huì)獲取手機(jī)隱私權(quán)限
2018 年下半年測(cè)評(píng)發(fā)現(xiàn),當(dāng)前所有的 Android 端 APP 都會(huì)不同程度的獲取手機(jī)隱私權(quán)限,用戶對(duì) APP 權(quán)限的管理已成為使用智能手機(jī)的“必修課”。
(二)Android 端仍有過(guò)半 APP 申請(qǐng)讀取聯(lián)系人權(quán)限
2018 年下半年的手機(jī)隱私權(quán)限測(cè)評(píng)發(fā)現(xiàn):Android 端手機(jī) APP 最常獲取三大核心隱私權(quán)限分別是獲取位置信息、讀取聯(lián)系人和讀取 短/彩信,分別有 81.9%、51.9%和 42.8%的 APP 獲取了以上三大核心隱私權(quán)限。Android 端手機(jī) APP 最常獲取三大重要隱私權(quán)限分別是使用話筒錄音、打開攝像頭和發(fā)送短信權(quán)限,分別有 86.9%、81.6% 和 53.6%的 APP 獲取了以上三大重要隱私權(quán)限。
(三)9 成左右 APP 試圖獲取讀寫存儲(chǔ)設(shè)備&獲取應(yīng)用列表權(quán)限
研究發(fā)現(xiàn):Android 端手機(jī) APP 申請(qǐng)“讀寫存儲(chǔ)設(shè)備”的比例高達(dá) 94.9%,申請(qǐng)“獲取應(yīng)用列表”的比例也高達(dá) 87.2%。“讀寫存 儲(chǔ)設(shè)備”權(quán)限指的是讀寫手機(jī)外部存儲(chǔ)設(shè)備。如果用戶的 SD 卡中有隱私數(shù)據(jù),則要引起注意。當(dāng) APP 申請(qǐng)“獲取應(yīng)用列表”權(quán)限時(shí),建議如果不符合以下兩種情況,可不授權(quán):
第一,屬于應(yīng)用市場(chǎng)類、垃圾清理類、殺毒安全類、文件管理類 APP;第二,需要使用第三方服務(wù)的 APP,如:有的 APP 需要調(diào)用微信的授權(quán)登陸服務(wù)。
(四)投資理財(cái)類 APP 是獲取手機(jī)隱私權(quán)限最多的 APP
2018 年下半年的手機(jī)隱私權(quán)限測(cè)評(píng)發(fā)現(xiàn):投資理財(cái)類 APP 是獲 取手機(jī)隱私權(quán)限最多的 APP,投資理財(cái)類 APP 平均獲取了 17.2 項(xiàng)手 機(jī)隱私權(quán)限。其次,是生活購(gòu)物類和通訊社區(qū)類 APP,分別平均獲取 了 15.3 項(xiàng)和 15 項(xiàng)手機(jī)隱私權(quán)限。網(wǎng)絡(luò)游戲 APP 雖然是獲取手機(jī)隱 私權(quán)限最少的 APP 類型,其平均獲取的權(quán)限數(shù)量也達(dá) 11.6 項(xiàng)。
(一) 投資理財(cái)類 APP
2018 下半年的手機(jī)隱私權(quán)限測(cè)評(píng)發(fā)現(xiàn),相較 2018 年上半年測(cè)評(píng)結(jié)果,投資理財(cái)類 APP 獲取隱私權(quán)限比例多有提高,且相較 Android APP 整體對(duì)隱私權(quán)限的獲取比例也普遍更高。其中,投資理財(cái)類 APP 獲取“讀取聯(lián)系人”、“讀取短/彩信”和“讀取通話記錄”權(quán)限的 比例分別高達(dá) 72.9%、62.7%和 40.7%。
研究發(fā)現(xiàn):在 2018 年下半年新增的測(cè)試權(quán)限中,投資理財(cái)類 APP 嘗試獲取“讀寫存儲(chǔ)設(shè)備”和“應(yīng)用列表”權(quán)限最多,分別高 達(dá) 94.9%和 93.2%。近年來(lái),以 P2P 網(wǎng)貸、大數(shù)據(jù)金融、眾籌等概念為賣點(diǎn)的各類投資理財(cái)類 APP 如雨后春筍、層出不窮。建議廣大手機(jī)用戶在慎重選擇 APP 的同時(shí),也要盡可能的減少對(duì) APP 的授權(quán),避免可能的個(gè)人信息泄露。
(二) 生活購(gòu)物類 APP
生活購(gòu)物類 APP 涉及的功能較多,因此所需要的手機(jī)隱私權(quán)限也比較廣泛。主流的生活購(gòu)物類 APP不僅會(huì)有購(gòu)物、支付功能,還有客服溝通、快遞位置查看、好友系統(tǒng)、掃碼登陸、本地生活服務(wù)等功能。從 2018 年下半年測(cè)評(píng)數(shù)據(jù)看,生活購(gòu)物類 APP 獲取的讀 取短彩信、讀取通話記錄和撥打電話等權(quán)限有明顯增長(zhǎng)。
研究發(fā)現(xiàn):在新增的測(cè)試權(quán)限中,生活購(gòu)物類 APP 申請(qǐng)獲取“讀 寫存儲(chǔ)設(shè)備”和“應(yīng)用列表”權(quán)限最多,分別高達(dá) 91.8%和 90.4%。 雖然用戶使用某個(gè)生活購(gòu)物類 APP,一般也就說(shuō)明用戶對(duì)該 APP 的信任有加,但建議用戶還是盡可能減少對(duì) APP 的授權(quán),避免可能的隱私泄露。
(一)Android 端越界獲取隱私權(quán)限的 APP 比例進(jìn)一步降低
研究發(fā)現(xiàn):Android 端越界獲取手機(jī)隱私權(quán)限的 APP 正在逐漸 減少,到 2018 年下半年,僅有 2.0%的 APP 存在越界獲取手機(jī)隱私 權(quán)限的行為。APP 越界獲取手機(jī)隱私權(quán)限的逐漸減少主要得益于國(guó) 家對(duì)網(wǎng)絡(luò)隱私保護(hù)的重視:2017 年 6 月 1 日,《國(guó)家網(wǎng)絡(luò)安全法》 正式實(shí)施,明確規(guī)定要加強(qiáng)個(gè)人信息保護(hù),為個(gè)人信息保護(hù)提供了法 律依據(jù)。
(二)影音娛樂(lè)、生活購(gòu)物、辦公學(xué)習(xí)、網(wǎng)絡(luò)游戲類 APP 越界較多
2018 年下半年的手機(jī)隱私權(quán)限測(cè)評(píng)發(fā)現(xiàn),在越界獲取隱私權(quán)限的 Android 端 APP 中,以下四種類別的 APP 所占比例較大,分別是:影音娛樂(lè)類、生活購(gòu)物類、辦公學(xué)習(xí)類和網(wǎng)絡(luò)游戲類。
(三)多數(shù)類別的 APP 越界獲取手機(jī)隱私權(quán)限比例持續(xù)下降
深入到不同類別的 APP 來(lái)看,多數(shù)類別的 APP 越界獲取手機(jī)隱私權(quán)限的比例持續(xù)下降,包括:出行地圖類、資訊閱讀類、生活購(gòu)物 類、影音娛樂(lè)類、常用工具類和投資理財(cái)類。其中,出行地圖類、圖像美化類、投資理財(cái)類和通訊社區(qū)類 APP 未發(fā)現(xiàn)“越界行為” 。
(四)APP 越界行為多存在于對(duì)核心隱私權(quán)限的獲取
對(duì)不同隱私權(quán)限被越界獲取的情況進(jìn)行分析發(fā)現(xiàn),2018 年下半年 Android 端手機(jī)隱私權(quán)限被越界獲取的情況主要存在于核心隱私權(quán)限,APP 對(duì)重要隱私權(quán)限和普通隱私權(quán)限的越界行為幾乎已不存在。另外,在 2018 年下半年新增的測(cè)試權(quán)限中,僅有“寫/刪聯(lián)系 人”權(quán)限存在越界情況,越界獲取比例僅為 0.4%。
(一)iOS 端獲取隱私權(quán)限的 APP 比例略有下降
2018 年下半年調(diào)查發(fā)現(xiàn),iOS 端獲取手機(jī)隱私權(quán)限的 APP 比例繼前兩次連續(xù)增長(zhǎng)之后,出現(xiàn)首次下降。iOS 端獲取手機(jī)隱私權(quán)限的 APP 比例由 2018 年上半年的 93.8%下降到下半年的 90.0%。
(二)iOS 端通訊社區(qū)類 APP 獲取的隱私權(quán)限最多
2018 年下半年對(duì) iOS 端的隱私權(quán)限調(diào)查顯示:通訊社區(qū)類 APP 是獲取手機(jī)隱私權(quán)限最多的 APP,通訊社區(qū)類 APP 平均獲取了 4.9 項(xiàng)手機(jī)隱私權(quán)限。其次是影音娛樂(lè)類和出行地圖類 APP,分別平均獲取了 4.3 項(xiàng)和 3.5 項(xiàng)手機(jī)隱私權(quán)限。網(wǎng)絡(luò)游戲 APP 是獲取手機(jī)隱私權(quán)限最少的 APP 類別,平均獲取了 1.0 項(xiàng)手機(jī)隱私權(quán)限。
(三)照片、定位和相機(jī)是 iOS 端 APP 最常獲取的三大隱私權(quán)限
2018 年下半年對(duì) iOS 端 APP 的調(diào)查發(fā)現(xiàn):照片、定位服務(wù)和打開相機(jī)是 iOS 端 APP 最常獲取的三大隱私權(quán)限,分別有高達(dá) 85%、 79%和 76%的 APP 獲取了以上三種權(quán)限。
(一)用戶應(yīng)盡量減少對(duì) APP 的授權(quán)
本報(bào)告判斷 APP 是否“越界獲取”隱私權(quán)限的標(biāo)準(zhǔn)是 APP 向用戶提供的功能是否必須用到相應(yīng)的權(quán)限。而站在用戶的角度看,其實(shí)只要不妨礙用戶正常使用 APP,某些權(quán)限都是可以不授權(quán)的,這樣用戶可以簡(jiǎn)單而最大程度的保護(hù)個(gè)人隱私。
下面提供部分隱私權(quán)限的極簡(jiǎn)授權(quán)建議,供參考:
(1)地理位置:除非需要使用地圖導(dǎo)航功能,否則都可以不授權(quán)。
(2)相機(jī)/麥克風(fēng):如果不需要掃二維碼、錄音、拍照、拍視頻, 可以不授權(quán)。
(3)電話權(quán)限:常見(jiàn)于 APP 內(nèi)的呼叫按鈕,可不授權(quán)然后復(fù)制電話號(hào)碼然后打出去。
(4)短信/通訊錄:這類權(quán)限一直是重災(zāi)區(qū),最好任何時(shí)候都不要授權(quán)。
(5)讀取應(yīng)用列表:除了幫助用戶管理手機(jī)的 APP,如:應(yīng)用市場(chǎng)、手機(jī)助手、垃圾清理、安全管理類,其他的 APP 都可以不授 權(quán)。
(6)訪問(wèn)網(wǎng)絡(luò):除了離線軟件,訪問(wèn)網(wǎng)絡(luò)對(duì)于大部分 APP 來(lái)說(shuō)都是必要的。
(二)加強(qiáng)權(quán)限管理只是開始,用戶需從更多方面保護(hù)隱私
手機(jī)隱私權(quán)限管理只是保護(hù)隱私的重要措施之一。事實(shí)上,手機(jī)隱私安全問(wèn)題貫穿著手機(jī)整個(gè)使用周期,用戶需從更多方面保護(hù)隱私:
(1)正規(guī)渠道下載:選擇正規(guī)的渠道下載 APP。
(2)手機(jī)隱私權(quán)限管理:重視并慎重對(duì)待手機(jī)隱私權(quán)限管理,盡量減少對(duì) APP 授予的權(quán)限,及時(shí)關(guān)閉使用 APP 時(shí)不必要的權(quán)限。
(3)慎用公共 WiFi:使用公共 WiFi 時(shí)提高警惕,轉(zhuǎn)賬與支付時(shí)改用移動(dòng)數(shù)據(jù)流量。
(4)謹(jǐn)慎填寫個(gè)人信息:謹(jǐn)慎填寫個(gè)人隱私信息,防止信息被無(wú)謂的采集。
(5)隱藏、隔離隱私:使用隱私安全管理 APP,將手機(jī)中照片、 視頻、財(cái)務(wù)相關(guān)等隱私隱藏、隔離。
(6)徹底清空廢舊手機(jī):三步徹底清理舊手機(jī)信息——恢復(fù)出廠設(shè)置-格式化-反復(fù)拷入大文件并刪除。
如果你想獲得完整報(bào)告信息,可以關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”(letshome),發(fā)送暗號(hào)“隱私報(bào)告”,即可獲得下載鏈接。
雷鋒網(wǎng)文章,未經(jīng)授權(quán),嚴(yán)禁轉(zhuǎn)載。
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。
