2018年的新年可能對BAT三大巨頭都并不好過。支付寶被爆出年度賬單存在陷阱,微信忙著解釋他們不看用戶聊天記錄,而百度則是涉嫌侵害消費(fèi)者個(gè)人信息安全被起訴。
今年一月,百度旗下App被江蘇省消保委提起訴訟。
2017年7月,江蘇省消保委結(jié)合手機(jī)應(yīng)用市場上侵犯消費(fèi)者個(gè)人信息的情況,對涉及視聽?wèi)?yīng)用、圖文閱讀、金融支付、旅游出行等用戶較多且具有一定行業(yè)代表性的27家手機(jī)APP所屬企業(yè)進(jìn)行了調(diào)查和約談。
大部分企業(yè)都按時(shí)提交了實(shí)質(zhì)性整改方案。絕大多數(shù)企業(yè)均對其APP進(jìn)行了優(yōu)化,比如,刪除不必要敏感權(quán)限、增加消費(fèi)者提示框、提供消費(fèi)者權(quán)限選擇界面、完善非注冊用戶信息保護(hù)等,以尊重消費(fèi)者的知情權(quán)和選擇權(quán),對消費(fèi)者個(gè)人信息提供了較全面的隱私保護(hù)和安全保障。
2017年7月4日,江蘇省消保委就北京百度網(wǎng)訊科技有限公司旗下的“手機(jī)百度”、“百度瀏覽器”等兩款手機(jī)APP存在的相關(guān)問題,發(fā)送相關(guān)《調(diào)查函》以及要求百度派員前來接受約談。而百度公司僅對相關(guān)問題做了書面的簡單說明,并將權(quán)限通知及選擇等義務(wù)推卸給手機(jī)操作系統(tǒng),“消極應(yīng)對省消保委調(diào)查”。
百度在最終提交的整改方案中,對“手機(jī)百度”、“百度瀏覽器”中 “監(jiān)聽電話”、“讀取短彩信”、“讀取聯(lián)系人”等涉及消費(fèi)者個(gè)人信息安全的相關(guān)權(quán)限拒不整改,也未有明確措施提示消費(fèi)者APP所申請獲取權(quán)限的目的、方式和范圍并供消費(fèi)者選擇,無法有效保障消費(fèi)者知情權(quán)和選擇權(quán)。
其實(shí)百度并沒有監(jiān)控網(wǎng)民通話的意圖。
百度調(diào)用的是READ_PHONE_STATE權(quán)限,域名注冊,READ_PHONE_STATE能夠讀取的信息包括用戶的設(shè)備和 SIM 硬件 ID 以及來電的電話號碼等敏感數(shù)據(jù),而百度表示調(diào)用權(quán)限是為了讀取來電電話號碼,識別騷擾電話,嚴(yán)格來說,百度的權(quán)限是為了監(jiān)聽電話狀態(tài),而小米操作系統(tǒng)把它稱為“監(jiān)聽電話”,操作系統(tǒng)翻譯的不準(zhǔn)確導(dǎo)致了誤會。
但是,這并不意味著百度沒有任何問題,事實(shí)上,權(quán)限濫用的問題是國內(nèi)Android應(yīng)用市場的通病。
讀取IMEI等設(shè)備ID這其實(shí)也是業(yè)界比較普遍的做法,這些設(shè)備ID能夠幫助廠商統(tǒng)計(jì)用戶數(shù)量,也可以幫助了解用戶情況從而修復(fù)bug。然而與國外廠商不同的是,國內(nèi)很多手機(jī)廠商在獲取IMEI號碼時(shí)往往采取強(qiáng)制手段。例如微信會在程序啟動時(shí)申請IMEI及本地存儲權(quán)限,如果用戶拒絕權(quán)限就會自動退出,這種“不給信息就不服務(wù)”的做法在國內(nèi)的應(yīng)用中非常普遍,也飽受網(wǎng)民詬病。
另一方面,應(yīng)用權(quán)限過多的確是中國應(yīng)用市場的現(xiàn)狀,一個(gè)應(yīng)用往往會獲取近百個(gè)權(quán)限,而其中大部分都是無必要的權(quán)限。
為了更加深入地探究應(yīng)用權(quán)限的現(xiàn)狀,我們調(diào)查了市面上主流應(yīng)用的權(quán)限數(shù)量,這些應(yīng)用來自各大廠商,我們盡量選取了能夠進(jìn)行橫向比較的應(yīng)用,以便進(jìn)行分析。
為了更加直觀地展現(xiàn)我們對相關(guān)單元格進(jìn)行了著色,紅色越深,代表權(quán)限越多。
在調(diào)查過程中,我們甚至發(fā)現(xiàn)這些大量的種類繁多的權(quán)限和組件還引起了殺毒軟件的注意:
從統(tǒng)計(jì)圖上我們可以觀察到:
1. 雖然國內(nèi)外廠商的App對比不夠全面(原因是很多國內(nèi)應(yīng)用并沒有對應(yīng)的國外應(yīng)用,例如安全防護(hù)類別;而且國外的巨頭涉獵的應(yīng)用范圍也不廣泛,往往只做特定領(lǐng)域的應(yīng)用,因此無法以廠商對比),但我們還是可以看出,國內(nèi)的應(yīng)用獲取的權(quán)限往往比國外應(yīng)用更多。
2. 即便是同類應(yīng)用,權(quán)限數(shù)量也會有巨大的差別,差距最為懸殊的當(dāng)屬支付工具類,權(quán)限數(shù)量最低的京東錢包(18)與支付寶(229)差了10倍。
3. 支付工具可能存在一定的“安全屬性”,但哪怕是不存在“安全屬性”的瀏覽器,權(quán)限數(shù)量最高的UC瀏覽器(195)與Chrome(33)還是差了不少。
權(quán)限都有啥?
我們以UC瀏覽器的權(quán)限為例,在權(quán)限列表中,我們看到一些不明所以,與瀏覽器身份不符的權(quán)限:
而繼續(xù)查看權(quán)限列表,我們還發(fā)現(xiàn)多個(gè)與推送有關(guān)的權(quán)限。
