APP安裝包暗藏玄機(jī)：超半數(shù)留索取用戶通訊錄“后門(mén)”

嘀嗒出行、百合婚戀、和包支付、瑞錢(qián)包、e代駕、悟空理財(cái)?shù)?0個(gè)APP申請(qǐng)了全部6項(xiàng)敏感權(quán)限；作業(yè)幫、中興智能家居、宜人貸、紅包鎖屏等7款A(yù)PP安裝后自動(dòng)上傳用戶位置信息

8月13日，《2019年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)》發(fā)布，報(bào)告指出，每款A(yù)PP應(yīng)用平均收集20項(xiàng)個(gè)人信息，大量APP存在探測(cè)其他APP或讀寫(xiě)用戶設(shè)備文件等異常行為，這再度引發(fā)公眾對(duì)移動(dòng)APP違法違規(guī)收集使用個(gè)人信息問(wèn)題的熱議。

目前，用戶判斷APP收集了哪些信息主要以其索取的權(quán)限為依據(jù)。新京報(bào)記者近兩年來(lái)持續(xù)關(guān)注APP索取權(quán)限發(fā)現(xiàn)，目前絕大多數(shù)APP均會(huì)明示提醒索取的權(quán)限，但APP究竟在什么時(shí)候上傳了哪些用戶信息，APP在技術(shù)層面能否窺視用戶隱私，對(duì)于普通用戶來(lái)說(shuō)依然成謎。

近日，新京報(bào)記者聯(lián)合國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心，對(duì)109款A(yù)PP的安裝包APK進(jìn)行了引擎檢測(cè)，檢測(cè)結(jié)果發(fā)現(xiàn)，83.6%的APP安裝包中均含有超出其原本業(yè)務(wù)范圍之外的權(quán)限代碼。109款A(yù)PP中有超過(guò)半數(shù)的APP安裝包里含有索取用戶通訊錄的代碼。

據(jù)此新京報(bào)發(fā)布了“個(gè)人隱私報(bào)告第一期”，本次報(bào)告重點(diǎn)關(guān)注APP越界索取權(quán)限問(wèn)題。109款A(yù)PP中嘀嗒出行、百合婚戀、和包支付、瑞錢(qián)包、e代駕、飛嘀打車(chē)、中國(guó)工商銀行、悟空理財(cái)、平安好醫(yī)生、開(kāi)心消消樂(lè)10個(gè)APP申請(qǐng)了全部6項(xiàng)敏感權(quán)限，申請(qǐng)的敏感權(quán)限最多。

83.6%的APP含越界代碼，中移動(dòng)旗下的和包支付“越界”嚴(yán)重

6月18日，新京報(bào)記者對(duì)比《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》中劃定的不同行業(yè)APP應(yīng)該索取的權(quán)限范圍，基于安裝APP后開(kāi)啟的權(quán)限提示，測(cè)試了50款常用APP，發(fā)現(xiàn)其中有24個(gè)APP索取的權(quán)限超出范圍，占比48%。

而6月25日至27日，新京報(bào)記者聯(lián)合國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心，對(duì)109款A(yù)PP的安裝包APK內(nèi)含有的涉及隱私權(quán)限的代碼進(jìn)行了引擎檢測(cè)，檢測(cè)結(jié)果發(fā)現(xiàn)，除微信、虎牙直播等18款A(yù)PP外，其余83.6%的APP安裝包中均含有超出其原本業(yè)務(wù)范圍之外的權(quán)限代碼。

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條，網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息；而《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》給出了哪一類(lèi)APP收集信息的范圍標(biāo)準(zhǔn)，超出標(biāo)準(zhǔn)即為越界。

具體來(lái)看，在讀取聯(lián)系人、錄制音頻、讀取短信、發(fā)送短信、發(fā)起電話呼叫、拍攝照片和錄制視頻六個(gè)涉敏感權(quán)限中，上述109個(gè)APP中有57款A(yù)PP“越界”含有讀取聯(lián)系人的代碼，占比51.8%；有44款A(yù)PP“越界”含有錄制音頻的代碼，占比40%；有30款A(yù)PP“越界”含有拍攝照片和錄制視頻的代碼，占比27.2%。而讀取短信、發(fā)送短信、發(fā)起電話呼叫三項(xiàng)APP權(quán)限被“越界”含有的比例則在20%左右，相對(duì)較少。

其中，和包支付的安裝包APK擁有全部上述6個(gè)涉隱私敏感權(quán)限，但依據(jù)《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》，和包支付所屬的金融借貸類(lèi)APP基于其基本業(yè)務(wù)功能所能收集的必要信息包括手機(jī)號(hào)碼、身份信息、征信信息等，上述6個(gè)涉敏感權(quán)限與其基本業(yè)務(wù)功能無(wú)關(guān)。

和包支付是中國(guó)移動(dòng)面相個(gè)人和企業(yè)提供的一項(xiàng)綜合性移動(dòng)支付業(yè)務(wù)，開(kāi)發(fā)者為中國(guó)移動(dòng)旗下子公司中移電子商務(wù)公司。截至目前，其在華為應(yīng)用市場(chǎng)中有3340萬(wàn)次安裝。

而作為游戲類(lèi)APP的開(kāi)心消消樂(lè)的安裝包APK同樣擁有全部上述6個(gè)涉敏感權(quán)限，不過(guò)基于該APP的類(lèi)型，錄制音頻屬于其基本業(yè)務(wù)功能之內(nèi)，但讀取聯(lián)系人、讀取短信、拍攝照片和錄制視頻等其他5項(xiàng)權(quán)限不屬于其基本業(yè)務(wù)功能之列。

“實(shí)際上，絕大多數(shù)用戶對(duì)APP的隱私協(xié)議是‘看都不看’的，對(duì)于權(quán)限的開(kāi)啟也往往不是很在意，因此看APP到底有能力獲取哪些權(quán)限，在技術(shù)上直接看代碼是最為方便的。”8月16日，在網(wǎng)安部門(mén)負(fù)責(zé)APP檢測(cè)的程序員小武告訴記者，“代碼不會(huì)說(shuō)謊”。

嘀嗒出行、百合婚戀等APP安裝包申請(qǐng)全部6項(xiàng)敏感權(quán)限

近日，新京報(bào)記者聯(lián)合國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心，對(duì)109款A(yù)PP的安裝包APK進(jìn)行了引擎檢測(cè)。

新京報(bào)記者查閱109個(gè)APP安裝包所申請(qǐng)的6個(gè)涉敏感權(quán)限列表發(fā)現(xiàn)，大多數(shù)APP都申請(qǐng)了3至4個(gè)敏感權(quán)限，而嘀嗒出行、百合婚戀、和包支付、瑞錢(qián)包、e代駕、飛嘀打車(chē)、中國(guó)工商銀行、悟空理財(cái)、平安好醫(yī)生、開(kāi)心消消樂(lè)10個(gè)APP申請(qǐng)了全部6個(gè)敏感權(quán)限，申請(qǐng)的敏感權(quán)限最多。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心在發(fā)給新京報(bào)記者的檢測(cè)報(bào)告中注明，通過(guò)上傳的APP應(yīng)用，自動(dòng)識(shí)別出移動(dòng)應(yīng)用所屬的行業(yè)，并對(duì)應(yīng)到《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》中不同行業(yè)應(yīng)有的權(quán)限集合，與被檢測(cè)應(yīng)用的AndroidManifest.xml文件進(jìn)行比對(duì)，將多余部分的權(quán)限定義為權(quán)限濫用。

根據(jù)APP專(zhuān)項(xiàng)治理工作組發(fā)布的《APP申請(qǐng)安卓系統(tǒng)權(quán)限機(jī)制分析與建議》，如果APP因業(yè)務(wù)功能需要申請(qǐng)系統(tǒng)權(quán)限，通常情況下，APP開(kāi)發(fā)者可通過(guò)在AndroidManifest.xml配置文件中明確聲明的方式(靜態(tài)方式)，以及在代碼運(yùn)行階段請(qǐng)求的方式(動(dòng)態(tài)方式)申請(qǐng)系統(tǒng)權(quán)限。

“AndroidManifest.xml指的是APP安裝包中的配置文件，其包含了APP安裝所必要的各個(gè)組件，其中也有其申請(qǐng)的系統(tǒng)權(quán)限集合列表。”國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心工作人員告訴記者，“例如，android.permission.READ_CONTACTS代表讀取通訊錄權(quán)限，擁有該代碼的APP在‘基因?qū)用妗途邆淞俗x取用戶通訊錄的意圖。”

例如，嘀嗒出行具備音頻與拍照功能，擁有錄音與拍照權(quán)限較為合理，但其同時(shí)也擁有讀取聯(lián)系人權(quán)限，這與其基本業(yè)務(wù)功能不符。

對(duì)此，也有APP設(shè)計(jì)人士向記者抱怨稱，“其實(shí)有不少APP在制作時(shí)，源代碼是復(fù)制其他APP的，有時(shí)不需要的權(quán)限也這樣一股腦兒復(fù)制過(guò)去了，并非是APP自己想要多收集。”

宜人貸、紅包鎖屏、瑞錢(qián)包等“自動(dòng)”上傳用戶位置信息

需要注意的是，引擎檢測(cè)只能檢測(cè)APP安裝包內(nèi)的權(quán)限“基因”，無(wú)法判定APP行為。

7月9日至7月15日，新京報(bào)記者聯(lián)合國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心，從109款A(yù)PP中篩選出了在安裝包層面申請(qǐng)了多個(gè)權(quán)限的14款A(yù)PP，采用“抓包”方式進(jìn)行人工檢測(cè)發(fā)現(xiàn)，14款A(yù)PP中有7款A(yù)PP在首次打開(kāi)授權(quán)但不進(jìn)行操作后，自動(dòng)上傳了用戶的GPS定位等隱私信息，一些APP的定位精確到具體的區(qū)縣。

這14款A(yù)PP包括360借條、和包支付、紅包鎖屏、看拍、球球大作戰(zhàn)、瑞錢(qián)包、搜狗輸入法、同花順、微鎖屏、悟空理財(cái)、宜人貸、中興智能家居、作業(yè)幫等。

其中，球球大作戰(zhàn)、作業(yè)幫、中興智能家居、宜人貸、紅包鎖屏、瑞錢(qián)包等7款A(yù)PP在首次打開(kāi)并對(duì)彈出的提示框點(diǎn)擊確定，并不做任何其他操作的情況下，向網(wǎng)站上傳了用戶的經(jīng)度和維度定位信息。其中作業(yè)幫上傳的內(nèi)容精確到了檢測(cè)機(jī)構(gòu)所在的天津市濱海新區(qū)。

需要注意的是，記者并未在球球大作戰(zhàn)、微鎖屏等APP中直接找到需要使用地理位置的功能，但其仍然向用戶申請(qǐng)了相關(guān)權(quán)限，并在安裝完后立刻上傳了用戶的定位信息。

中國(guó)人民大學(xué)法學(xué)院教授劉俊海認(rèn)為，自由和權(quán)利是有邊界的，APP若貪得無(wú)厭，索取權(quán)限超過(guò)法定范圍就構(gòu)成侵權(quán)，侵犯了消費(fèi)者的隱私權(quán)與個(gè)人信息權(quán)，此時(shí)APP應(yīng)該“懸崖勒馬”。

《APP申請(qǐng)安卓系統(tǒng)權(quán)限機(jī)制分析與建議》也顯示，APP應(yīng)遵循“最少夠用”原則，即APP應(yīng)只申請(qǐng)實(shí)現(xiàn)業(yè)務(wù)功能所必需的系統(tǒng)權(quán)限。選擇系統(tǒng)權(quán)限時(shí)應(yīng)選取能滿足業(yè)務(wù)功能所需的“最少夠用”的權(quán)限，比如，使用“粗略地理位置”即可達(dá)到業(yè)務(wù)目的，完成業(yè)務(wù)功能的，避免使用“精確地理位置”。

不過(guò)，什么是“最少夠用”，APP顯然有不同的理解。有網(wǎng)安部門(mén)的公安干警對(duì)新京報(bào)記者表示，其在執(zhí)法時(shí)常常遇到APP對(duì)索取權(quán)限辯解的各種理由，“比如我去問(wèn)一家游戲APP，你們要地理位置干什么？對(duì)方表示是為了‘觀察哪個(gè)位置的玩家較多，此后可以在該位置架設(shè)服務(wù)器，更好地提升用戶體驗(yàn)’”。

對(duì)此，APP專(zhuān)項(xiàng)治理工作組成員何延哲對(duì)記者表示，以提升服務(wù)體驗(yàn)為借口多索取權(quán)限也是不合理的，“比如游戲類(lèi)APP如果想要根據(jù)用戶位置架設(shè)服務(wù)器，只要看用戶IP就可以了，為什么要獲取地理位置權(quán)限？”

未發(fā)現(xiàn)APP竊聽(tīng)用戶談話

《2019年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)》指出，在目前下載量較大的千余款移動(dòng)APP中，每款應(yīng)用平均申請(qǐng)25項(xiàng)權(quán)限，其中申請(qǐng)了與業(yè)務(wù)無(wú)關(guān)的撥打電話權(quán)限的APP數(shù)量占比超過(guò)30%；每款應(yīng)用平均收集20項(xiàng)個(gè)人信息和設(shè)備信息，包括社交、出行、招聘、辦公、影音等；大量APP存在探測(cè)其他APP或讀寫(xiě)用戶設(shè)備文件等異常行為，對(duì)用戶的個(gè)人信息安全造成潛在威脅。

這引起了不少用戶的共鳴，“我覺(jué)得我說(shuō)話都能被淘寶和小紅書(shū)聽(tīng)見(jiàn)。”8月16日，有接受問(wèn)卷調(diào)查的用戶向新京報(bào)記者抱怨，其有時(shí)會(huì)出現(xiàn)上午和朋友閑聊某商品，下午APP就推送了該商品廣告的情況，“APP一定偷聽(tīng)了我的談話。”

近期，蘋(píng)果、臉書(shū)、亞馬遜、微軟四個(gè)國(guó)外互聯(lián)網(wǎng)巨頭也分別曝出“竊聽(tīng)門(mén)”，臉書(shū)官方承認(rèn)其存在人工轉(zhuǎn)錄用戶語(yǔ)音記錄的行為。

不過(guò)，新京報(bào)記者7月9日至7月15日對(duì)14款A(yù)PP進(jìn)行“抓包”分析發(fā)現(xiàn)，APP上傳最多的用戶數(shù)據(jù)是手機(jī)的設(shè)備型號(hào)、IMEI號(hào)(國(guó)際移動(dòng)設(shè)備識(shí)別碼，相當(dāng)于移動(dòng)電話的身份證)、安卓版本、mac地址等，其次就是地理位置信息。但在此期間并未有APP上傳用戶的語(yǔ)音與圖片數(shù)據(jù)。

“用戶的錯(cuò)覺(jué)來(lái)自定向推送，實(shí)際上，語(yǔ)音竊聽(tīng)與定向推送完全不同。”8月8日，何延哲對(duì)新京報(bào)記者表示，“通過(guò)語(yǔ)音竊聽(tīng)是一種成本最高、效率最低的方法，但當(dāng)APP通過(guò)社會(huì)關(guān)系、喜好習(xí)慣、WiFi場(chǎng)景等各種方式進(jìn)行定推，就會(huì)給民眾‘遭到竊聽(tīng)’的錯(cuò)覺(jué)”。

問(wèn)題1

為何92%的人認(rèn)為APP會(huì)泄露個(gè)人隱私？

8月16日至19日，新京報(bào)以“你覺(jué)得APP會(huì)不會(huì)泄露你的個(gè)人隱私信息”為題在微博、今日頭條以及微信朋友圈進(jìn)行了問(wèn)卷調(diào)查，匯總調(diào)查結(jié)果顯示，200個(gè)回復(fù)的手機(jī)用戶中，有184人認(rèn)為“會(huì)泄露”，有16人認(rèn)為“不會(huì)泄露”，認(rèn)為APP會(huì)泄露隱私的用戶占到了調(diào)查總數(shù)的92%。

與之形成鮮明對(duì)比的是，在新京報(bào)記者測(cè)試的109個(gè)APP中，幾乎所有APP均可找到隱私協(xié)議，且協(xié)議中有類(lèi)似“會(huì)遵循隱私政策收集使用信息”的表述。此外，由于APP專(zhuān)項(xiàng)治理工作的推進(jìn)，APP對(duì)索取權(quán)限進(jìn)行明示提醒幾乎普及了所有主流APP，有網(wǎng)信辦相關(guān)工作人員對(duì)記者表示，對(duì)APP“主要抓合規(guī)性，制定法律法規(guī)，標(biāo)準(zhǔn)規(guī)范，并督促APP落實(shí)”。

是什么造成了用戶認(rèn)知與APP規(guī)范的“割裂”？安全專(zhuān)家劉海(化名)對(duì)記者表示，在技術(shù)上，APP確實(shí)擁有探尋用戶隱私的能力，且由于用戶數(shù)據(jù)上傳至企業(yè)后，對(duì)于公眾而言就屬于數(shù)據(jù)進(jìn)入了“黑箱”狀態(tài)，企業(yè)拿去做什么，只要不被曝光，用戶是毫不知情的，再加上用戶日常會(huì)接到針對(duì)其畫(huà)像的定向推送，所以不信任感會(huì)大大增加。

問(wèn)題2

你的通訊錄是否已被你用的APP讀取？

109個(gè)APP中有57款A(yù)PP“越界”含有讀取聯(lián)系人的代碼，占比51.8%。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心工作人員稱，“android.permission.READ_CONTACTS代表讀取通訊錄權(quán)限，擁有該代碼的APP在‘基因?qū)用妗途邆淞俗x取用戶通訊錄的意圖。”

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心工作人員將代碼比喻為APP的“武器庫(kù)”，“檢測(cè)出來(lái)了就說(shuō)明APP有‘武器’，但APP是否拿出這個(gè)‘武器’并予以使用，還要看后續(xù)具體用戶是否同意權(quán)限申請(qǐng)。”

劉海對(duì)記者表示，一般來(lái)說(shuō)APP只要在具體操作行為上彈窗提示征得了用戶同意，即便權(quán)限越界也無(wú)不可，“但安裝包上搭載越界代碼的行為也值得討論，APP的主要功能明明不需要這一權(quán)限，為什么還要搭載這個(gè)代碼？這是否就屬于對(duì)用戶安全的‘潛在威脅’”？

梆梆安全CTO方寧表示，要檢測(cè)APP是否上傳了用戶隱私數(shù)據(jù)，需要通過(guò)做逆向分析、滲透測(cè)試等方式，但這需要具備專(zhuān)業(yè)的技術(shù)能力，普通老百姓不可能做到。

問(wèn)題3

APP會(huì)否竊聽(tīng)你的談話？

業(yè)內(nèi)人士稱，竊聽(tīng)性價(jià)比不高。APP專(zhuān)項(xiàng)治理工作組曾發(fā)文稱，“偷聽(tīng)”的性價(jià)比確實(shí)不高。因?yàn)锳PP要克服識(shí)別環(huán)境噪音、是否是非本人購(gòu)物意向等，相比用戶平時(shí)的搜索、瀏覽、訂單歷史習(xí)慣，“竊聽(tīng)”錄音的行為屬于舍近求遠(yuǎn)，避簡(jiǎn)就繁，不符合商業(yè)邏輯。

此外，竊聽(tīng)行為違反《網(wǎng)絡(luò)安全法》第四十一條“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度；網(wǎng)絡(luò)運(yùn)營(yíng)者必須公開(kāi)收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意”的相關(guān)規(guī)定，企業(yè)如果存在使用技術(shù)手段“偷聽(tīng)”語(yǔ)音并上傳的行為，對(duì)企業(yè)聲譽(yù)的影響是致命的。