English

APP“越權”﹕把用戶信息當不設防的跑馬場﹖

2017-08-09 17:51:45

APP“越權”﹕把用戶信息當不設防的跑馬場﹖  在智能手機已普及的當下﹐用戶的手機桌面﹐已成了裝機量考核牽引下的APP們的“兵家必爭之地”。但當

  在智能手機已普及的當下﹐用戶的手機桌面﹐已成了裝機量考核牽引下的APP們的“兵家必爭之地”。但當下﹐有些APP卻並不怎麼“本分”。

  日前有媒體報道﹐現在有很多APP權限不但五花八門﹐有些還涉及用戶的個人隱私﹐比如“讀取短信”“讀取聯繫人”“讀取通話記錄”﹐甚至“監聽電話”“修改通話記錄”等。

  你下載個地圖APP﹐它可能要監聽你的電話﹔你下個應用分發軟件﹐它可能修改你的通話記錄……想想就覺得“鬧心”﹕有句話說“不想當裁縫的廚子不是好司機”﹐莫非不想“越權”的APP不是好應用﹖總想著掌握和軟件功能無關的權限﹐真把用戶信息當不設防的跑馬場﹐想怎麼染指就怎麼染指﹖

  但這類“不正經”的APP﹐還真不是一個兩個。早在2013年央視“3‧15”晚會上﹐多款安卓APP調取用戶隱私信息﹐比如通訊錄﹑地理位置信息﹐甚至將用戶名和密碼以明文形式傳送的問題就遭曝光和聚焦。當時360互聯網安全中心數據還顯示﹐其時有近4成的手機遊戲存在調用過多權限的情況﹐導致通訊錄﹑短信等用戶敏感的數據被隨意讀取﹐有的APP還加入了惡意扣費代碼。“不告而取謂之竊”﹐有些APP就是未經用戶許可強行調用﹐還有的雖然表面上告知了﹐也是伴著“可能影響正常使用”提示的軟性強制﹐跟強取沒太大差別。

APP“越權”﹕把用戶信息當不設防的跑馬場﹖

  這些APP其實是在鑽安卓操作系統“開源設計”的漏洞﹕安卓系統不像iOS系統那樣封閉﹐將那些私人信息放在設備上而非雲端﹐其開放性也導致了安全性的部分讓渡。有些手機廠商和第三方APP能讀取用戶的通訊錄﹑短信等信息﹐也能逼著用戶卸掉其他不兼容的APP﹐這也導致有些APP為了不被後臺清理而強行“超出”權限。

  儘管2016年12月發佈﹑今年7月1日正式實施的《移動智能終端應用軟件預置和分發管理暫行規定》明確了,生產企業和互聯網信息服務提供者所提供移動智能終端應用軟件﹐不得調用與所提供服務無關的終端功能。今年新推出的《網絡安全法》也要求﹐廠商收集和使用用戶信息﹐需要明示同意﹐明確披露信息用途﹑適用範圍﹑時效等。

  可從工信部公佈的2017年二季度檢測發現問題的應用軟件名單看﹐42款軟件中不少就涉及未經用戶同意﹐收集﹑使用用戶個人信息﹔惡意操控用戶手機等。這些問題會否在法規實施後被迅速清理﹐著實難說﹐畢竟現在大數據越來越重要﹐而APP“越權”能攫取很多用戶數據﹐還方便了今後調用那些看似多餘的功能﹐這對其有利可圖。有些應用商店和APP開發者是同一家或友商﹐審核時也難免“開後門”。

  而APP隨意“越權”﹐導致信息洩露的風險不小﹐特別是某些無良APP﹐很可能借機販賣用戶信息。這不是杞人憂天﹕騰訊社會研究中心與DCCI互聯網數據中心聯合發佈的《網絡隱私安全及網絡欺詐行為研究分析報告(2017年一季度)》就表明﹐手機APP越界獲取個人信息﹐已經成為網絡詐騙的主要源頭。

  去年的徐玉玉事件發生後﹐無論是立法還是執法﹑司法層面﹐國家對電信詐騙和信息洩露的治理都迎來了堪稱質變的“系統昇級”。可如果仍留下APP“越權”調用信息這個bug﹐那也就意味著﹐個人信息“安全門”並未完全合上。

  基於此﹐法律層面顯然該對用戶數據的歸屬權﹑使用權確權﹐並對侵權行為的處罰力度與主題加以明確﹐可對APP“越權”的情況採取從“禁入”到警告的梯度懲戒機制﹐也強化應用商店的把關責任。此外﹐就算有些APP調用某個權限是否屬於濫用難以甄別﹑它可能是為了提供更多服務﹐那也得經過用戶授權──這裡的授權﹐必須是以通過跳出對話框等方式明示其信息及用途﹑不得跟軟件垂直功能捆綁或拒絕服務為前提﹐經過用戶確認﹐並允許取消授權﹐而不是用戶授權協議上做手腳﹐將隱私條款藏在協議中“半掩琵琶半遮面”﹐還無限制收集和使用。

  用戶隱私不是能隨意“破門而入”以竊取的後花園﹐對於APP讀取用戶隱私權限﹐在列紅線之外更要做出更明細的界定﹐如“與所提供服務無關”如何界定﹐怎麼避免被鑽空子被繞開規定﹐如果違規了怎樣溯責……總之﹐不能讓公眾成為數據安全防線輕易失守的受害者。(佘宗明)

責任編輯﹕陳城
分享

更多銳評敬請關注

手機光明網

光明網版權所有

光明日報社概況 | 關於光明網 | 報網動態 | 聯繫我們 | 法律聲明 | 光明員工 | 光明網郵箱 | 網站地圖

光明網版權所有