聚美贝贝等9款App涉嫌过度获取权限!当心你的日历被偷看

2019年03月28日 14:33:48 | 来源: 中国消费者报

字号变大| 字号变小

  装个地图APP却要授权通讯录和短信?这种情况你遇到过吗

  今年1月,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,对网购平台、旅游出行、生活服务等39款手机APP开展涉及个人信息权限评测。

  而截止到3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进。

  39款手机APP涉及网购平台、旅游出行类平台、生活服务类平台。 本文图片 中国消费者报微信公号

  本次评测主要从四个维度进行:

  1

  APP所使用的目标API级别。当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式 ,存在可规避系统安全机制的漏洞;

  2

  APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;

  3

  注敏感权限的授权方式。是否存在一揽子授权的模式,如何向用户提出授权请求;

  4

  查看是否存在无实际功能对应用的权限申请。

  评测结果

  -1-

  本次评测发现,14款应用敏感权限与实际功能均能对应。

  -2-

  上海市消保委与手机APP企业进行沟通,16款应用完成改进。

  为推动相关问题的解决,上海市消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。

  在前期沟通确认中,有8款应用第一时间进行沟通,并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。

  在本次会议前(截止到3月23日),上海市消保委再次进行了测试,又有8款应用完成了改进。

  -3-

  仍有9款应用未能就其权限和功能无法对应的问题进行改进

  截止到3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进。问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。

  (截至2019年3月23日)

  提醒!关于日历权限

  本次评测发现,不少网购类APP获取了日历权限,而调查也表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。

  上海市消保委通过上海市消保委、上海新消费微信公众号和腾讯大申网开展的网络调查显示:

  69.9%的消费者关注手机APP获取个人权限问题。其中,通讯录权限最为关注,占43.5%;26%的消费者关注电话、短信权限。值得关注的是,仅有0.4%的消费者关注日历权限。

  而52.5%的消费者用手机日历功能记录个人行程。其中,24.7费者选择记录日常生活行程;18.5%的消费者记录日常生活及工作等行程。

  重要提醒!

  网购类平台使用日历权限

  给消费者带来的场景

  可以用其他技术手段加以替代

  上海市消保委建议

  如消费者经常使用日历记录敏感事项,对APP的日历权限应谨慎授权;

  APP开发者如无十分必要,建议尽可能不使用手机日历权限。(原文标题:聚美、贝贝等9款App涉嫌过度获取权限!当心你的“日历”被偷看......)

下载荔枝新闻APP客户端,随时随地看新闻!

我要说两句

layer
快乐分享