Quantcast

【技术分享】第16期:手机取证之“MFSocket推送失败”解决方案

直播自爆“下面没穿”没人信 女主播当场狂啪?

骚妈妈,贱妈妈

血饮丨香港暴动背后是中国拔掉中情局最大海外据点的中美谍战较量!

韩国小清新污漫画《同居》第23话

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

查看原文

上海消保委测评后,相关地图APP承诺不再获取发送短信权限

李玲 钱柳君 隐私护卫队

你被地图类APP套路了吗?


7月18日,上海市消保委公布5款手机地图产品个人信息权限测评结果。测评发现,部分APP存在过度索权,缺少让用户“一次性授权”选项等问题。19日,高德、百度和腾讯等3款被测地图APP回应,将取消获取不必要的敏感权限。

百度地图优化短信功能 高德上线改进后版本

今年6月初,上海市消保委对百度地图、高德地图、腾讯地图、搜狗地图、图吧导航等5款热门地图类APP涉及个人信息权限状况进行评测。结果显示,搜狗地图、高德地图、图吧导航等3款APP申请的部分敏感权限,未能找到对应的实际功能。


19日,高德地图、百度地图、腾讯地图等企业,向上海市消保委提交了相关情况说明及整改报告。


高德地图回应,已紧急对相关权限申请进行下线处理,取消涉及获取用户联系人等权限申请。20日将发布改进后的产品版本。


高德地图的相关负责人告诉隐私护卫队,在接到上海消保委的通知后,第一时间对产品进行了自查,此次测评发现短信和通讯录两组与实际功能无法对应的权限,是因为相关功能下线了。


针对腾讯地图iOS版本获取通讯录权限的相关问题,腾讯地图解释,这主要基于产品的分享功能。当用户分享位置信息时,可在通讯录中选择一个联系人进行分享。目前,腾讯地图的安卓版本已停止获取该权限,iOS将在后续的新版本中删除。

5款地图APP获取的敏感权限数量。(图片来源:上海消保委)


在5款被测APP中,百度地图需要获取用户的敏感权限最多,包括通讯录、短信、麦克风等14项,但所申请的权限与实际功能均可对应。百度地图表示,鉴于用户使用短信分享功能的场景有限,经内部评估,可在后续的版本中去除短信分享的功能,从而不再获取发送短信的权限。


同时百度地图称,在现有的弹窗基础上结合系统可实现情况进行功能升级,针对通讯录和短信这两个权限将进行单次授权的优化,百度地图将在随后的产品版本中持续完善。


搜狗地图和图吧导航:了解情况后将核查

上述通报中,上海消保委对三家企业的表态表示赞赏,同时敦促未参加新闻通气会的搜狗地图、图吧导航作出切实改进,以落实企业的诚信责任。


测评结果显示,这两款APP被发现存在申请的敏感权限与实际功能不完全对应的问题。其中图吧导航所获取的13个敏感权限均在“安装时授权”。

各应用敏感权限授权方式。(图片来源:上海消保委)


根据安卓6.0授权流程,APP开发者应在用户开始运行应用时,向其请求权限,而不是在应用安装时。这种授权方式是为了简化应用安装过程,同时让用户更好地控制和管理应用权限。


上海消保委指出,图吧导航通过设置较低版本的系统适用环境,绕开较安全的安卓6.0系统获取敏感权限,存在一定的安全风险。


有安卓工程师向隐私护卫队分析,安卓6.0以下的权限管理的方式会导致不授权就无法安装软件的情况,授权后APP可能会在后台执行一些危险权限下的工作,但是用户并不知情。而安卓6.0之后版本,系统不会在软件安装时就赋予该App开发者申请的所有权限,一些危险级别的权限,APP需要在运行时分别询问用户,请求授予权限。

三款APP被指申请的敏感权限与实际功能不完全对应。(图片来源:上海市消保委)


19日,隐私护卫队致电图吧导航,相关负责人表示,将会与上海市消保委核实具体哪些权限逾越了正常的使用范围。若存在过度读取用户权限的情况,会让公司有关部门进行核查。


搜狗地图的相关负责人也对隐私护卫队表示,目前尚未收到上海消保委的相关通知。搜狗地图一向尊重用户隐私并重视对用户隐私的保护,产品的权限申请遵循国家相关法律法规及行业规范的最小必要原则。


“对于上海消保协提出的相关问题,我们将积极的与其进行沟通了解具体情况,同时我们会对产品进行自查,充分保证用户的知情权和信息安全。”上述负责人表示。


南都倡议APP不再读取短信 获两千人支持

事实上,APP过度申请权限的现象普遍存在。


去年12月,南都个人信息保护研究中心连续推出“安卓应用市场乱象”系列调查报道。南都记者查阅50款APP的个人信息权限状况发现,50款APP覆盖了28个隐私相关权限。仅有2款APP列出的权限都是“核心”权限,却有5款APP所列出的均是没必要收集的权限,即存在“越界”行为。其中还有23款应用的“越界”权限占比超过50%。

南都个人信息保护研究中心曾对50款APP获取用户权限情况进行测评。


有从事安卓手机开发的技术人员曾告诉隐私护卫队,实际上获取大部分用户隐私信息并不用来完成应用某项功能,而是用于进行未来业务规划。


“比如说拿到用户的位置,就知道自己的用户在哪个省份比较活跃,未来如果公司想开线下实体店,就会优先选择某些省份;而拿到用户的通讯录,主要是为了社交联系,推荐你通讯录里的好友也来使用同一产品”。上述技术人员表示。


这组调查报道推出后,南都个人信息保护研究中心发出倡议:APP不再读取用户的短信内容。短时间内,获得近2000名读者线上线下签名赞成。不难发现,规范APP个人信息收集和使用情况,已成为公众关注的焦点。


对此,上海市消保委也呼吁,尽快完善APP开发的相关规范和标准。对于个人隐私关系度密切的通讯录、短信等敏感权限,建议APP开发者能够提供单次授权的选项,以更好地保护消费者个人信息。


报料请点击E隐私投诉小程序 

推荐阅读:

吓出冷汗!房主上我爱我家出租房屋,几天后却被黑中介换了锁

继江苏消保委后,上海消保委也开始测评APP了,这次瞄准地图类

专家:网络产业的规模化发展需要有长期战略和顶层设计

    文章有问题?点此查看未经处理的缓存