個人App授權(quán)后被頻繁調(diào)取信息？軟件后臺在干啥？

一小時內(nèi)某平臺獲取位置16次 讀取及修改照片和文件121次

頻繁調(diào)取個人數(shù)據(jù) 軟件后臺在干啥

11月1日，個人信息保護(hù)法正式實施，個人隱私安全問題又重回大眾視線。此前，就有博主曬出iPhone手機(jī)更新系統(tǒng)后，發(fā)現(xiàn)很多主流軟件都在后臺頻繁獲取用戶信息，對用戶隱私安全造成威脅。北京青年報記者實測發(fā)現(xiàn)，確實有不少軟件頻繁調(diào)用個人位置和圖片信息，甚至有社交軟件一小時獲取定位達(dá)到75次，如此頻繁調(diào)用隱私信息，他們到底想干啥？

現(xiàn)象

個人App授權(quán)后被頻繁調(diào)取信息？

市民劉女士向北青報記者爆料，10月30日，她在某App購物后，因頻繁被推送“附近商品推薦”，于是便關(guān)閉了應(yīng)用的位置權(quán)限。但沒想到系統(tǒng)提示“需要同意該隱私權(quán)政策才能繼續(xù)使用”。劉女士選擇了“仍不同意”按鈕，沒想到軟件閃退且無法再繼續(xù)使用。當(dāng)她再次嘗試，并在頁面點擊“查看協(xié)議”，才發(fā)現(xiàn)上面寫著：“基于您的明示授權(quán)，我們可能會獲取您的位置，為您提供附近的商品、店鋪……您有權(quán)拒絕或取消授權(quán)”。當(dāng)她點下不同意該協(xié)議按鈕時，軟件依舊無法使用。

不過，針對App過度索取手機(jī)權(quán)限的問題，網(wǎng)上就一直詬病不斷，10月8日，就有用戶貼出截圖稱“iOS版微信在后臺反復(fù)讀取用戶相冊”。根據(jù)用戶描述，新版iOS15的“隱私”功能有“記錄App活動”，可以存儲7天內(nèi)App訪問位置或麥克風(fēng)等數(shù)據(jù)。上述用戶發(fā)現(xiàn)，某社交平臺App在用戶未主動激活應(yīng)用的情況下，在后臺數(shù)次讀取相冊，每次讀取時間長達(dá)40秒至1分鐘不等。

該用戶同時表示，發(fā)現(xiàn)多款國產(chǎn)軟件也存在后臺頻繁讀取用戶相冊的行為。如此頻繁地調(diào)取隱私數(shù)據(jù)，讓很多網(wǎng)友開始擔(dān)心自己的隱私安全問題。

體驗

一小時測試：微信要定位75次

美團(tuán)讀改照片121次

針對劉女士“不授權(quán)不能使用App”的情況，11月2日，記者進(jìn)行體驗，不過，在系統(tǒng)權(quán)限管理一欄中，“允許訪問位置信息權(quán)限”頁面發(fā)生了改變，與此前劉女士的情況不同，記者在選擇“禁止”后，軟件依舊能正常使用。

但調(diào)用隱私信息的情況卻依然明顯，記者利用能夠監(jiān)測App行為記錄的手機(jī)，在開放權(quán)限的情況下，記錄了微信、微博、抖音、美團(tuán)、釘釘、淘寶、高德地圖共七款常用軟件的用戶信息調(diào)用情況。

經(jīng)過一小時的觀察，在七款軟件皆處于后臺狀況下，記者發(fā)現(xiàn)，高德獲取位置信息32次，修改系統(tǒng)設(shè)置8次；釘釘獲取位置18次，讀取剪貼板10次；美團(tuán)獲取位置16次，讀取及修改照片和文件121次；抖音獲取位置11次，讀取及修改照片24次；淘寶獲取位置24次；微博獲取位置32次，讀取及修改照片和文件16次；微信獲取位置75次，修改系統(tǒng)設(shè)置9次，讀取及修改照片和文件22次，讀取剪貼板5次。

而此前的5月26日，記者也曾做過類似測試，在拒絕定位權(quán)限的情況下，微信曾有過6分鐘索取定位信息800余次的情況。

此前微信回應(yīng)稱，iOS系統(tǒng)為App開發(fā)者提供相冊更新通知標(biāo)準(zhǔn)能力，相冊發(fā)生內(nèi)容更新時會通知到App，提醒App可以提前做準(zhǔn)備，App的該準(zhǔn)備行為會被記錄成讀取系統(tǒng)相冊。

當(dāng)用戶授權(quán)微信可以讀取“系統(tǒng)相冊權(quán)限”后，為便于用戶在微信聊天中按“+”時可以快速發(fā)圖，微信使用了該系統(tǒng)能力，使用戶發(fā)送圖片體驗更快速流暢。

微信表示，上述行為均僅在手機(jī)本地完成，最新版本中將取消對該系統(tǒng)能力的使用，優(yōu)化快速發(fā)圖功能。

揭秘

軟件在后臺調(diào)用權(quán)限是正常需求嗎？

奇安盤古隱私安全業(yè)務(wù)負(fù)責(zé)人趙帥表示，在個人信息保護(hù)方面，操作系統(tǒng)的權(quán)限設(shè)計是為了讓App收集使用個人信息的行為受到限制，讓用戶能夠主動去控制App能否采集特定類型的個人信息，如通訊錄、地理位置等。后臺調(diào)用權(quán)限的行為在特定場景下是合理的，比如我們用手機(jī)導(dǎo)航的場景，雖然切換到后臺，但我們?nèi)栽谑褂眠@個App；也有一些場景是非必要的，比如我們將App切換到后臺，暫時不用這個App提供服務(wù)，那么這種情況下的后臺調(diào)用權(quán)限可能就已經(jīng)超出正常需求的范圍。

民間互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍認(rèn)為，從技術(shù)角度來講，調(diào)用次數(shù)其實并不能直接說明問題，還是以它的應(yīng)用場景實際做了什么才能確認(rèn)是否合規(guī)。

軟件收集用戶隱私權(quán)限的邊界在哪？

關(guān)于App手機(jī)用戶數(shù)據(jù)，趙帥表示，從技術(shù)角度上看應(yīng)分為幾種不同的情況：包括系統(tǒng)權(quán)限保護(hù)的個人信息，如通訊錄、錄音、定位等；未受用戶權(quán)限保護(hù)的個人信息，如用戶主動錄入的身份證號碼、病歷、婚姻狀況等；用戶在使用App過程中產(chǎn)生的一些使用偏好信息，這些可能由App主動記錄產(chǎn)生，如喜歡聽的歌曲、經(jīng)常去的餐館等。

對于系統(tǒng)權(quán)限保護(hù)的個人信息，軟件應(yīng)充分明示并征得用戶同意后，才能調(diào)用這些權(quán)限獲取個人信息，并應(yīng)確保獲取的范圍、頻率、方式符合最小必要的原則。對于用戶主動錄入的信息，應(yīng)當(dāng)充分說明錄入的合理性及可能造成的影響，給予用戶選擇是否錄入的權(quán)利。對于軟件使用過程中收集的數(shù)據(jù)，應(yīng)該做到明確告知用戶，并說明后續(xù)的用處。

用戶信息被收集有哪些風(fēng)險？

曲子龍說，隱私泄露之后被精準(zhǔn)推送廣告并不是最大的風(fēng)險，不良企業(yè)會通過大數(shù)據(jù)殺熟，甚至不法軟件裝入手機(jī)后獲取通訊錄及相冊權(quán)限，經(jīng)過分析提取用于實現(xiàn)“個人身份信息盜用”、“定向網(wǎng)絡(luò)詐騙”等用途。建議用戶不要輕易讓第三方軟件獲取通訊錄及相冊權(quán)限，相冊中也盡量不要存放身份證、銀行卡等包含敏感信息的照片內(nèi)容。

曲子龍認(rèn)為，必要權(quán)限按照行業(yè)區(qū)分，法律上國家已經(jīng)規(guī)定得很明確了，大部分產(chǎn)生爭議的是一些個性化的內(nèi)容，比如支付寶是一個支付軟件，但是里面加了小程序后就變成了“公眾應(yīng)用平臺”，屬性發(fā)生變化獲取的權(quán)限也自然跟著發(fā)生變化，最好的方式是應(yīng)用內(nèi)的第三方服務(wù)如果僅是偶爾使用的應(yīng)用，都采用二次授權(quán)，并且即用即授權(quán)原則，如果長期使用的應(yīng)用則制定權(quán)限開關(guān)，用戶隨時可以手動關(guān)閉停止授權(quán)，可能會是一個較好的解決方案。

文/本報記者 董振杰 宋霞

說法

調(diào)權(quán)限屬正常行為 但平臺要掌握好度

中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測評實驗室副主任何延哲表示，此前權(quán)限強(qiáng)制、濫用的問題突出，用戶不想用這個功能，平臺卻強(qiáng)制使用，個人信息保護(hù)法出臺以后，這個問題基本解決了，用戶可以自由選擇。他表示，如果權(quán)限被開通后，獲取的信息是否在合理范圍內(nèi)使用，是需要考慮的問題。

App索要相機(jī)權(quán)限一般是為了拍照、掃二維碼，要地理位置就是定位導(dǎo)航，這些在相關(guān)隱私協(xié)議里都寫得很清楚。但目前仍有些細(xì)節(jié)確實存在問題，比如讀取的次數(shù)，本來可能只需要10次，最后獲取了20次。

此前的情況更嚴(yán)重，讀取次數(shù)能達(dá)到幾百次上千次，如今次數(shù)只是個位數(shù)和十位數(shù)之間，這在檢測過程中一般不會被判定成違規(guī)，“需要調(diào)權(quán)限有很多是因為安全風(fēng)控的問題，比如賬戶異地登錄，平臺會拿這個去判斷，原因非常復(fù)雜，只要控制在十幾次內(nèi)，基本上都不是什么問題。”何延哲表示，后臺讀取也是同樣的道理，也是需要看頻率，如果賬戶存在異常會通過后臺讀取進(jìn)行探測，不一定會將數(shù)據(jù)讀走。“這要看是單純驗證位置，還是上傳數(shù)據(jù)，后臺的事情不合理因素更多，需要具體問題具體分析。”

標(biāo)簽： App 個人信息 偏好信息 明示授權(quán) 支付寶