1月12日,某网友在网上发布信息爆料,在与客服沟通领取“拼多多”红包后发现,其使用的vivo手机操作系统提示,“检测到‘拼多多’已删除照片或视频”,该网友表示,随后发现自己提供给客服的截图证据被删除,仅在已删除图片中可找到。

该名网友再次与拼多多客服沟通,质疑其侵害用户隐私。但拼多多客服不认为App有此行为,而是用户自己“误操作”或者“清除缓存”导致。该名网友遂又与vivo客服沟通,vivo客服声称手机操作系统不会对图片和视频进行操作,如用户授予了App存储权限,则App是可以利用此权限执行相应操作的。

此事被曝光后,立即受到网民和媒体强烈关注,迅速登上了微博热搜榜。1月12日晚上19点拼多多发布了《关于个别用户反馈“vivo手机提示拼多多删除照片”的说明》,声明会删除客服聊天页面拍摄且编辑的照片原图。这则说明也表明了,App在获取“存储”权限后,确实具备读增删改图片等的能力。

现象分析

抛开该事件的结论如何,事件凸显的个人信息安全风险已经很明确了,那就是一旦App获取用户手机的存储权限,该App就有能力获取你的手机公共存储区的数据,包括你的相机照片、截图、录屏文件、录音等文件。

一、测试发现,授权App存储权限后,手机中个人数据面临的风险客观存在

为了验证App是否有能力读取截图和照片等,小编编写了一些测试程序用于输出App的文件操作行为,发现被测App打开后没多久,在只进行了浏览页面的操作时,该App就读取了用户的相册照片和截图,见下图。

二、安卓最新系统更新优化了存储权限管理机制,但尚未完全解决手机数据面临的风险

“存储”权限同时包括读、写(包含删除操作)两个分权限,Android 10之前的App在申请“存储”权限时,只能一次性全部申请,用户在授权时也是一次性全部授予。由于授权机制的颗粒度太粗,App获得访问共享存储空间的权限后,就能够访问、删除、上传存储在此空间的文件。

Android 11从操作系统层面升级了存储权限的管理机制,已经分开读权限和写权限(见下图),这从系统层面增强了用户授予App权限的颗粒度能力。

Android11 还增加了“分区存储”机制(见下图),在分区存储中,应用可以将通过分区存储将媒体项添加到对应的文件夹中,例如 DCIM、Movies 和Download 等。在这种情况下,App不需要有存储权限也可以读写到它们最初提供给媒体存储的文件。从某种程度上,做到部分App不申请存储权限同时又能实现相应功能。

虽然安卓操作系统在系统层面上对权限管理机制上不断改进,让授权逐步做到“最小化”。而实际上,面对用户需要上传照片等实际需求,权限又不得不打开,打开后,权限怎么用、何时用?由于这种天生的“矛盾性”,App拥有自行操作的空间始终存在。手机操作系统、App在权限使用机制上还需进一步创新发展,以压缩滥用的可能和空间。

现象点评

不只是“存储”权限,任何一个权限都存在理论上被滥用的可能,滥用之所以危害巨大,是一旦发生一起,将会对用户安全感产生“致命”危害,即便是后续做很多合规工作也难以挽回用户的“信任”,是一条不能碰的“高压线”。

此次的事件折射的是App和用户之间权利不对等关系,App获取存储权限之后,既可执行对应的产品功能,也可以在用户无感的情况下进行操作,甚至违规收集、删除用户数据。很明确的是,如果App对用户数据的操作行为未能让用户知晓,则可能会被认定为未能履行好明示收集、使用个人信息规则,未经用户同意或违反双方约定收集、使用个人信息。

此次的事件本身已经提供了一个非常值得参考的防范风险的思路,即由手机操作系统对疑似高风险行为进行记录、提示。如果相关行为由用户自行发起,用户自然不会产生怀疑,如果是App的私自行为,则会因为暴露而被曝光。而通过庞大的社会监督力量,便可促使App的行为更加“规矩”。

显然,推动安卓手机操作系统能够具备将App读写公共存储区等敏感行为进行记录、提示将是防范该风险最为有效的方式之一。

(本文部分图片来源于互联网,作者:App治理工作组 邓诗智)

声明:本文来自App个人信息举报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。