越界代碼很普遍 超半數(shù)APP留索取用戶通訊錄“后門”

嘀嗒出行,、百合婚戀,、和包支付,、瑞錢包,、e代駕,、悟空理財?shù)?0個APP申請了全部6項敏感權(quán)限,；作業(yè)幫,、中興智能家居,、宜人貸、紅包鎖屏等7款A(yù)PP安裝后自動上傳用戶位置信息

8月13日,，《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》發(fā)布,，報告指出，每款A(yù)PP應(yīng)用平均收集20項個人信息,，大量APP存在探測其他APP或讀寫用戶設(shè)備文件等異常行為,，這再度引發(fā)公眾對移動APP違法違規(guī)收集使用個人信息問題的熱議。

目前,，用戶判斷APP收集了哪些信息主要以其索取的權(quán)限為依據(jù),。新京報記者近兩年來持續(xù)關(guān)注APP索取權(quán)限發(fā)現(xiàn)，目前絕大多數(shù)APP均會明示提醒索取的權(quán)限,，但APP究竟在什么時候上傳了哪些用戶信息,，APP在技術(shù)層面能否窺視用戶隱私，對于普通用戶來說依然成謎,。

近日,，新京報記者聯(lián)合國家計算機病毒應(yīng)急處理中心，對109款A(yù)PP的安裝包APK進行了引擎檢測,，檢測結(jié)果發(fā)現(xiàn),，83.6%的APP安裝包中均含有超出其原本業(yè)務(wù)范圍之外的權(quán)限代碼。109款A(yù)PP中有超過半數(shù)的APP安裝包里含有索取用戶通訊錄的代碼,。

據(jù)此新京報發(fā)布了“個人隱私報告第一期”,，本次報告重點關(guān)注APP越界索取權(quán)限問題。109款A(yù)PP中嘀嗒出行,、百合婚戀,、和包支付、瑞錢包,、e代駕,、飛嘀打車、中國工商銀行,、悟空理財,、平安好醫(yī)生、開心消消樂10個APP申請了全部6項敏感權(quán)限,，申請的敏感權(quán)限最多,。

83.6%的APP含越界代碼，中移動旗下的和包支付“越界”嚴重

6月18日,，新京報記者對比《網(wǎng)絡(luò)安全實踐指南-移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》中劃定的不同行業(yè)APP應(yīng)該索取的權(quán)限范圍,，基于安裝APP后開啟的權(quán)限提示，測試了50款常用APP,，發(fā)現(xiàn)其中有24個APP索取的權(quán)限超出范圍,，占比48%,。

而6月25日至27日，新京報記者聯(lián)合國家計算機病毒應(yīng)急處理中心,，對109款A(yù)PP的安裝包APK內(nèi)含有的涉及隱私權(quán)限的代碼進行了引擎檢測,，檢測結(jié)果發(fā)現(xiàn)，除微信,、虎牙直播等18款A(yù)PP外,，其余83.6%的APP安裝包中均含有超出其原本業(yè)務(wù)范圍之外的權(quán)限代碼。

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條,，網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息,；而《網(wǎng)絡(luò)安全實踐指南-移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》給出了哪一類APP收集信息的范圍標準，超出標準即為越界,。

具體來看,，在讀取聯(lián)系人、錄制音頻,、讀取短信,、發(fā)送短信、發(fā)起電話呼叫,、拍攝照片和錄制視頻六個涉敏感權(quán)限中，上述109個APP中有57款A(yù)PP“越界”含有讀取聯(lián)系人的代碼,，占比51.8%,；有44款A(yù)PP“越界”含有錄制音頻的代碼，占比40%,；有30款A(yù)PP“越界”含有拍攝照片和錄制視頻的代碼,，占比27.2%。而讀取短信,、發(fā)送短信,、發(fā)起電話呼叫三項APP權(quán)限被“越界”含有的比例則在20%左右，相對較少,。

其中,，和包支付的安裝包APK擁有全部上述6個涉隱私敏感權(quán)限，但依據(jù)《網(wǎng)絡(luò)安全實踐指南-移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》,，和包支付所屬的金融借貸類APP基于其基本業(yè)務(wù)功能所能收集的必要信息包括手機號碼,、身份信息、征信信息等,，上述6個涉敏感權(quán)限與其基本業(yè)務(wù)功能無關(guān),。

和包支付是中國移動面相個人和企業(yè)提供的一項綜合性移動支付業(yè)務(wù)，開發(fā)者為中國移動旗下子公司中移電子商務(wù)公司,。截至目前,，其在華為應(yīng)用市場中有3340萬次安裝,。

而作為游戲類APP的開心消消樂的安裝包APK同樣擁有全部上述6個涉敏感權(quán)限，不過基于該APP的類型,，錄制音頻屬于其基本業(yè)務(wù)功能之內(nèi),，但讀取聯(lián)系人、讀取短信,、拍攝照片和錄制視頻等其他5項權(quán)限不屬于其基本業(yè)務(wù)功能之列,。

“實際上，絕大多數(shù)用戶對APP的隱私協(xié)議是‘看都不看’的,，對于權(quán)限的開啟也往往不是很在意,，因此看APP到底有能力獲取哪些權(quán)限，在技術(shù)上直接看代碼是最為方便的,?！?月16日，在網(wǎng)安部門負責APP檢測的程序員小武告訴記者,，“代碼不會說謊”,。

嘀嗒出行、百合婚戀等APP安裝包申請全部6項敏感權(quán)限

近日,，新京報記者聯(lián)合國家計算機病毒應(yīng)急處理中心,，對109款A(yù)PP的安裝包APK進行了引擎檢測。

新京報記者查閱109個APP安裝包所申請的6個涉敏感權(quán)限列表發(fā)現(xiàn),，大多數(shù)APP都申請了3至4個敏感權(quán)限,，而嘀嗒出行、百合婚戀,、和包支付,、瑞錢包、e代駕,、飛嘀打車,、中國工商銀行、悟空理財,、平安好醫(yī)生,、開心消消樂10個APP申請了全部6個敏感權(quán)限，申請的敏感權(quán)限最多,。

國家計算機病毒應(yīng)急處理中心在發(fā)給新京報記者的檢測報告中注明,，通過上傳的APP應(yīng)用，自動識別出移動應(yīng)用所屬的行業(yè),，并對應(yīng)到《網(wǎng)絡(luò)安全實踐指南-移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》中不同行業(yè)應(yīng)有的權(quán)限集合,，與被檢測應(yīng)用的AndroidManifest.xml文件進行比對，將多余部分的權(quán)限定義為權(quán)限濫用,。

根據(jù)APP專項治理工作組發(fā)布的《APP申請安卓系統(tǒng)權(quán)限機制分析與建議》,，如果APP因業(yè)務(wù)功能需要申請系統(tǒng)權(quán)限,，通常情況下，APP開發(fā)者可通過在AndroidManifest.xml配置文件中明確聲明的方式(靜態(tài)方式),，以及在代碼運行階段請求的方式(動態(tài)方式)申請系統(tǒng)權(quán)限,。

“AndroidManifest.xml指的是APP安裝包中的配置文件，其包含了APP安裝所必要的各個組件,，其中也有其申請的系統(tǒng)權(quán)限集合列表,。”國家計算機病毒應(yīng)急處理中心工作人員告訴記者,，“例如,，android.permission.READ_CONTACTS代表讀取通訊錄權(quán)限，擁有該代碼的APP在‘基因?qū)用妗途邆淞俗x取用戶通訊錄的意圖,?！?/p>