央視：安卓對手機權限幾無限制 用戶隱私面臨威脅

手機安全工程師 孫煜：

申請了23權限。發短信呀，獲取聯系人 位置信息算敏感的危險權限。

記者隨后對工具類、金融購物類、閱讀類、游戲類等手機軟件進行了同類下載比較，發現包括短信、聯系人信息和精確位置等隱私信息大都被軟件獲取。其中工具類和視頻閱讀類軟件更多的是獲取位置信息；游戲類軟件更多獲取發送短信權限；而金融類和購物類軟件則大多獲取聯系人信息和精確位置信息。

而在不同類別的手機軟件要求權限數量上，記者發現一般的軟件要求權限都在10幾項左右，最多的竟然獲取了50多個權限。

手機安全工程師在對100多個手機軟件要求的權限進行了統計，記者看到在這些安卓系統的敏感權限當中，讀取電話狀態占到第一位，達到95.51%，其余分別是地址定位54.04%，收發短信45.71%，撥打電話33.71%，讀取聯系人31.16%，錄音28.09%。另外，與手機用戶個人隱私密切相關的獲取運行應用也占到了將近63%。

手機安全工程師告訴記者，在他們看來，被手機軟件獲取的各類手機權限，相當一部分并不是軟件功能所必需的。相對于通訊軟件獲取聯系人信息，導航地圖軟件要求精確地址信息，一些游戲類軟件要求短信權限，閱讀類軟件要求地址信息和讀取通訊錄權限，很難讓人理解。

手機安全工程師 孫煜：

作為一款閱讀軟件來說，它讀取用戶的通訊錄是沒有辦法解釋的一個行為。

記者：缺這些權限的話，這個軟件還可以運行對嗎？

還可以運行。

經過初步調查記者了解到，大量的手機軟件獲取手機的各類權限并不是一個罕見的現象，有的軟件獲取的權限還高達50多個。而涉及手機用戶隱私的權限被獲取也十分普遍。

獲取短信、通信錄、地理位置等隱私權限是否是手機軟件功能上的要求呢？在手機安全技術人員幫助下，記者進行了進一步調查。

記者發現，像微信等通信類軟件也獲取了手機用戶的聯系人、短信記錄、地理位置等信息，但技術人員通過專業的工具進行逆向分析發現，這些權限確實在軟件應用中發揮了作用，最終實現了通信錄好友添加、搖一搖、附近的人等軟件功能。手機安全技術人員在另外10幾款手機軟件中發現，這些軟件都要求了讀取編輯短信、讀取聯系人，甚至攔截撥打電話的權限，但其中5個軟件根本沒有使用這些權限。

手機安全工程師 彭大偉：

有一些就是不必要的權限它也申請了，有些它申請了這項權限，其實從現在來看它沒有代碼去實現這樣的功能。

調查顯示，這幾個軟件在運行中根本沒有使用讀取聯系人、收發短信等功能，但是依然也要求獲取手機用戶的這些隱私權限。

記者了解到，目前的手機操作系統中，安卓系統對手機權限幾乎是沒有限制的，這種開放性雖然吸引了大量的應用軟件開發，但也造成了權限獲取的無序現象。調查發現，很多軟件商就是利用這個漏洞，不管有些權限根本用不到，也盡可能地大量獲取包括隱私權限在內的各類權限，卻絲毫不顧忌手機用戶個人隱私面臨的巨大威脅。

手機安全專家 闞志剛：

我想大部分的這種軟件有這么幾項5、6項、7、8項就足夠了，你要是超過20項或者30項那個(軟件)呢，就是很明顯的一種權限濫用的這么一個嫌疑了。

調查中記者發現，幾乎全部手機軟件在其下載安裝頁面上，只提供了“安裝”和“取消”兩個選項，而手機用戶對軟件所要求的各種權限不能選擇。也就是說，手機用戶只能選擇默認安裝，或者放棄使用。而有的軟件安裝頁面雖然提供了選項，但是記者試驗之后發現，只要取消其中一項權限，就會不斷提示重新設置權限，否則這個軟件就不能安裝，直到全部同意其要求的全部權限為止。

手機安全工程師 彭大偉：

就是你沒有選擇的權利，你只有選擇是或者不是的權利，你沒有去關閉一些權限(的權利)。

記者調查發現，不管用不用，獲取過多的手機權限已經是普遍現象。那么開放給軟件商的個人隱私僅僅是用于軟件實現功能嗎？記者進行了進一步調查。

這款名為“聊天360電話”的手機軟件是一個能夠節省通話費用的軟件，記者下載了這個手機軟件，發現其安裝界面要求獲取手機聯系人，讀取通話記錄等權限。隨后記者聯系到了這個軟件的工作人員。

聊天360電話軟件 工作人：

記者：就是說要求我開放手機通訊錄，這是為什么啊？

就是說你用我們軟件撥打電話呢，就比較方便的這個意思，是沒有其他意思的

記者：那我那個通訊錄信息你們會看到嗎？

看不到的， 你私人的一些什么隱私問題(信息)是不會透露的，你可以放心。

按照這位工作人員的說法，這款“聊天360電話”的手機軟件要求獲取聯系人信息是為了將記者的手機通訊錄同步到軟件頁面，以方便查詢和撥打。如果真是這樣，這款軟件對讀取聯系人權限的要求確實是功能上的需要。但事實會像這位工作人員所說的，手機里的聯系人信息不會被軟件商看到嗎？手機安全工程師登陸了該軟件并進行了數據包抓取，結果發現，在登陸這款軟件的同時，他手機里的所有聯系人信息就傳送到了該軟件的網站后臺。

手機安全工程師 彭大偉：

可以看到這邊，其實它上傳了我個人的這個聯系人的信息，就會直接把我(的隱私信息)上傳到服務器上面去了。

記者看到，手機中的聯系人姓名和電話號碼，分毫不差地顯示在這款軟件傳往后臺的數據包當中，也就是說，這些聯系人信息已經被軟件后臺獲取。記者查閱了2011年發布的《移動互聯網惡意代碼描述規范》，其中關于隱私竊取的描述中規定，“在用戶不知情或未授權的情況下，獲取通訊錄內容”的行為屬于隱私竊取屬性。

手機安全工程師 彭大偉：

你在本地去操作是可以的，但是你不能把我(的隱私信息)上傳到服務器上面去。把這個聯系人(信息)獲取之后，然后再偷偷地上傳到遠程的后臺服務器，那這種行為就是肯定是非常惡意竊取用戶隱私的這種行為。

通過進一步調查記者發現，要求獲取通信錄等隱私信息的手機軟件，有的并不像軟件商宣稱的不會讀取、傳送這些隱私內容，而是在手機用戶毫不知情的情況下，悄悄竊取了手機中的聯系人信息。

調查中記者發現，除了聯系人信息、通話記錄等隱私內容被軟件商竊取之外，手機當中的所有應用軟件竟然也可以傳到軟件商的后臺服務器。手機安全工程師打開了這款名為“愛聊”的手機通訊軟件，這款軟件也需要一些讀取個人的信息，還要求獲取手機正在運行的應用程序信息。登陸之后記者發現，手機中近百個應用程序毫無遺漏地也被傳到該軟件的服務器后臺。