一、電信營業廳APP申請權限過多被曝光
據新華社報道,記者在華為應用商城中搜索“電信營業廳”的APP時發現,在下載該軟件並安裝完成後,APP彈窗提示記者:……應用程序將訪問傳輸手機號碼、IMSI、IMEI、MEID、手機型號等設備信息,系統驗證通過後提供安全免密登陸、讀取用戶位置信息、讀取手機通訊錄、獲取通話記錄、撥打電話、發短信、修改聯繫人、調用攝像頭、改變WLAN狀態及錄音等權限。如用戶點擊不同意,則自動退出該應用。
在記者點擊同意後,該應用又提出四項用戶授權,分別是:存儲、電話、通訊錄和位置信息,在申請電話權限時,對話框下方小字註明“具體包括:讀取本機識別碼、讀取通話記錄、撥打電話、新建/修改/刪除通話記錄等權限。”在記者點擊“禁止”按鈕後,該APP彈出對話框顯示“請在應用信息-權限中開啟電話權限,以正常使用。”也就是說,用戶一旦拒絕授予該權限,則整個應用都無法使用。
同樣的問題也出現在申請通訊錄使用權限上,系統提示該權限包括:讀取聯繫人、新建/修改/刪除聯繫人等權限。
新華社記者援引未具名的“網絡安全專家”的檢測結果:雖然用戶在初次安裝使用該APP時僅有4項權限提示,但是其向用戶主張了70項子權限。較為敏感的子權限包含修改通訊錄、讀取聯繫人、錄音、修改通話記錄、撥打電話、發送短信以及下載文件並不顯示通知等。
該網絡安全專家認為,“作為一款掌上營業廳APP,向用戶索取諸多與主功能不相關的隱私權限並不恰當。”專家還認為,“諸如撥打電話等權限,一旦被惡意程序利用,有可能在用戶不知情的情況下撥打付費電話,給用戶帶來財產損失”。
二、APP過度申請權限現象普遍存在
應用程序過度申請權限,這個現象非常普遍。例如,“人民日報”客戶端v6.2.1版,這是一個純新聞類的APP。下載後,提示要讀寫SD卡和相冊,不讓讀就不能工作。
到系統設置查看其應用權限,它除了需要存儲功能、定位功能外,還需要電話功能(安裝過程此項無提示)。按上面那個網絡安全專家的觀點,“撥打電話等權限,一旦被惡意程序利用,有可能在用戶不知情的情況下撥打付費電話,給用戶帶來財產損失”。
查了一下,我正在使用的一款手機上安裝的APP所申請的權限包括,撥打電話的13個,寫/刪除通話記錄的3個,發送短信的12個,發送彩信的21個(有了微信後,好像我只發過一次彩信)、寫/刪除短信/彩信的5個,訪問聯繫人的有20個,寫/刪除聯繫人的有8個,使用攝像頭的26個,呼叫轉移的13個(我從來沒用過運營商提供的這個功能)…… 這些真的都需要嗎?好像不少都不是必需的。這說明APP的權限過度申請問題確實很嚴重。
(安卓用戶可到“系統-更多設置-應用”或“系統-更多設置-權限”中查詢相關信息。
三、最不應提防的是電信運營商、操作系統提供商和手機廠商,尤其是電信運營商。
因為你防不勝防,尤其是作為通信服務“管道”的電信運營商,實際上,你使用的短信、彩信、語音、上網、定位(運營商比GPS更準確,尤其是在室內)等服務都是通過運營商網絡實現的,電信運營商有能力接觸到你的這些信息。
也因為這個原因,電信運營商對相關的信息管理提出來相當苛刻的要求,必須保證用戶使用穩定和隱私安全。如果你總擔心運營商盜用你的隱私,對哪個運營商都不放心,那隻能不使用手機了。
四、電信營業廳APP申請的權限都是幹什麼用的?
大多數從名字就可以看出來,而且一些權限實際只需要申請的部分權限。
安全免密登陸這是隻有電信運營商才能提供的既方便又安全的應用登陸方式,運營商自己的營業廳等APP可以這麼登陸,也向其他應用提供。
攝像頭、錄音等可用於客戶服務和故障診斷。
像運營商這樣詳細提醒APP申請權限的並不多。
另:比運營商還危險的是網絡安全軟件和手機信息雲備份服務,它們可能接觸或存儲更重要的隱私。
閱讀更多 TMT流程審計 的文章
