你被地图类APP套路了吗?
7月18日,上海市消保委公布5款手机地图产品个人信息权限测评结果。测评发现,部分APP存在过度索权,缺少让用户“一次性授权”选项等问题。19日,高德、百度和腾讯等3款被测地图APP回应,将取消获取不必要的敏感权限。
百度地图优化短信功能 高德上线改进后版本
今年6月初,上海市消保委对百度地图、高德地图、腾讯地图、搜狗地图、图吧导航等5款热门地图类APP涉及个人信息权限状况进行评测。结果显示,搜狗地图、高德地图、图吧导航等3款APP申请的部分敏感权限,未能找到对应的实际功能。
19日,高德地图、百度地图、腾讯地图等企业,向上海市消保委提交了相关情况说明及整改报告。
高德地图回应,已紧急对相关权限申请进行下线处理,取消涉及获取用户联系人等权限申请。20日将发布改进后的产品版本。
高德地图的相关负责人告诉隐私护卫队,在接到上海消保委的通知后,第一时间对产品进行了自查,此次测评发现短信和通讯录两组与实际功能无法对应的权限,是因为相关功能下线了。
针对腾讯地图iOS版本获取通讯录权限的相关问题,腾讯地图解释,这主要基于产品的分享功能。当用户分享位置信息时,可在通讯录中选择一个联系人进行分享。目前,腾讯地图的安卓版本已停止获取该权限,iOS将在后续的新版本中删除。
5款地图APP获取的敏感权限数量。(图片来源:上海消保委)
在5款被测APP中,百度地图需要获取用户的敏感权限最多,包括通讯录、短信、麦克风等14项,但所申请的权限与实际功能均可对应。百度地图表示,鉴于用户使用短信分享功能的场景有限,经内部评估,可在后续的版本中去除短信分享的功能,从而不再获取发送短信的权限。
同时百度地图称,在现有的弹窗基础上结合系统可实现情况进行功能升级,针对通讯录和短信这两个权限将进行单次授权的优化,百度地图将在随后的产品版本中持续完善。
搜狗地图和图吧导航:了解情况后将核查
上述通报中,上海消保委对三家企业的表态表示赞赏,同时敦促未参加新闻通气会的搜狗地图、图吧导航作出切实改进,以落实企业的诚信责任。
测评结果显示,这两款APP被发现存在申请的敏感权限与实际功能不完全对应的问题。其中图吧导航所获取的13个敏感权限均在“安装时授权”。
各应用敏感权限授权方式。(图片来源:上海消保委)
根据安卓6.0授权流程,APP开发者应在用户开始运行应用时,向其请求权限,而不是在应用安装时。这种授权方式是为了简化应用安装过程,同时让用户更好地控制和管理应用权限。
上海消保委指出,图吧导航通过设置较低版本的系统适用环境,绕开较安全的安卓6.0系统获取敏感权限,存在一定的安全风险。
有安卓工程师向隐私护卫队分析,安卓6.0以下的权限管理的方式会导致不授权就无法安装软件的情况,授权后APP可能会在后台执行一些危险权限下的工作,但是用户并不知情。而安卓6.0之后版本,系统不会在软件安装时就赋予该App开发者申请的所有权限,一些危险级别的权限,APP需要在运行时分别询问用户,请求授予权限。
三款APP被指申请的敏感权限与实际功能不完全对应。(图片来源:上海市消保委)
19日,隐私护卫队致电图吧导航,相关负责人表示,将会与上海市消保委核实具体哪些权限逾越了正常的使用范围。若存在过度读取用户权限的情况,会让公司有关部门进行核查。
搜狗地图的相关负责人也对隐私护卫队表示,目前尚未收到上海消保委的相关通知。搜狗地图一向尊重用户隐私并重视对用户隐私的保护,产品的权限申请遵循国家相关法律法规及行业规范的最小必要原则。
“对于上海消保协提出的相关问题,我们将积极的与其进行沟通了解具体情况,同时我们会对产品进行自查,充分保证用户的知情权和信息安全。”上述负责人表示。
南都倡议APP不再读取短信 获两千人支持
事实上,APP过度申请权限的现象普遍存在。
去年12月,南都个人信息保护研究中心连续推出“安卓应用市场乱象”系列调查报道。南都记者查阅50款APP的个人信息权限状况发现,50款APP覆盖了28个隐私相关权限。仅有2款APP列出的权限都是“核心”权限,却有5款APP所列出的均是没必要收集的权限,即存在“越界”行为。其中还有23款应用的“越界”权限占比超过50%。
南都个人信息保护研究中心曾对50款APP获取用户权限情况进行测评。
有从事安卓手机开发的技术人员曾告诉隐私护卫队,实际上获取大部分用户隐私信息并不用来完成应用某项功能,而是用于进行未来业务规划。
“比如说拿到用户的位置,就知道自己的用户在哪个省份比较活跃,未来如果公司想开线下实体店,就会优先选择某些省份;而拿到用户的通讯录,主要是为了社交联系,推荐你通讯录里的好友也来使用同一产品”。上述技术人员表示。
这组调查报道推出后,南都个人信息保护研究中心发出倡议:APP不再读取用户的短信内容。短时间内,获得近2000名读者线上线下签名赞成。不难发现,规范APP个人信息收集和使用情况,已成为公众关注的焦点。
对此,上海市消保委也呼吁,尽快完善APP开发的相关规范和标准。对于个人隐私关系度密切的通讯录、短信等敏感权限,建议APP开发者能够提供单次授权的选项,以更好地保护消费者个人信息。
采写:南都记者 李玲 实习生 钱柳君
声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。