2
过半App未告知权限获取目的
App超范围收集个人信息、获取权限除了表现在强制获取、频繁弹窗上 ， 还表现在申请获取的权限和隐私政策中告知的权限、App的实际功能不能一一对应上 。 公安部今年的通报中 ， 近半成都存在“未向用户明示申请的全部隐私权限”的问题 。
报告针对日历、相机、联系人、定位、麦克风、电话、存储等敏感权限测评发现 ， 150款App中 ， 有57款未在隐私政策中告知所申请的敏感权限 ， 如“华尔街见闻”“莉景天气”；还有63款App申请的敏感权限无法在App内找到对应功能 ， 如“百度新闻”申请了相机、电话、联系人、日历四项权限 ， 但App内未能找到相应功能 。
报告还发现 ， 存在上述问题的App数量呈现从头部到尾部逐渐递增的趋势 。 这意味着 ， 头部App的表现好于中尾部 。 报告认为 ， 中尾部App应主动积极合规 ， 监管部门也可适当加大对中尾部App的监管力度 。
除了需要获取哪些权限 ， 告知获取这些权限的目的同样重要 。
报告发现 ， 150款被测App中 ， 仅有68款在申请获取权限的弹窗中详细告知了目的 。 告知方式主要分为两种：先弹窗告知目的 ， 再弹窗申请 ， 以及弹窗申请的同时在屏幕顶部展示申请目的 。 相比之下 ， 后者的用户体验可能更好 。
如“58同城”App还在第一个弹窗中增加了拒绝选项——如果用户选择“取消”则意味着直接拒绝授权 ， 如果选择“去授权” ， 才会出现权限申请弹窗 。 “今日头条”App则在申请“电话”权限时 ， 屏幕上方弹出了“设备权限使用说明”的“蒙层” ， 用户只需一次点击 ， 即可了解权限获取目的并做出是否授权的选择 。
成功获取权限后 ， App就有了读取用户信息的权利 。 很多情况下 ， App需要将用户产生的信息从设备传输到服务器进行处理 。 在这个过程中 ， 可能涉及到身份证号、银行账户、人脸信息等敏感个人信息 ， 因此对数据加密至关重要 。
技术测评结果显示 ， “学而思网校”“爱彼迎”等29款App未对传输的数据内容加密 ， 占比近两成 ， 用户的电话号码、身份证号、昵称、账号密码、验证码、手机型号以及地理位置均明文可见 ， 存在数据泄露的高度风险 。

文章图片

学而思网校App数据传输内容

文章图片

【南都实测应用获权：拒绝十次还弹窗，五分钟内读定位超两千次】爱彼迎App数据传输内容
3
莉景天气五分钟内调取定位超两千次
近年来 ， 小米、华为、苹果手机陆续上线记录App活动的功能——App何时访问了什么数据 ， 一目了然 。 借助这一功能 ， 微信、美团被曝出在后台频繁访问相册、地理位置；经南都采访人员实测 ， 支付宝、中国农业银行、王者荣耀、大众点评等App也存在类似行为 。
在汉华飞天信安科技有限公司的技术支持下 ， 报告对150款App在一段时间内调用敏感权限的频率进行测评 ， 包括前台和后台两种场景 。
报告参考《信息安全技术 移动互联网应用程序（App）个人信息安全测评规范》（征求意见稿） ， 将标准定为：对于定位权限 ， 在地图导航、位置追踪等实时定位场景中 ， 合理调取频率为每秒1次；展示周边可用服务等场景下 ， 每30秒1次；识别当前地址等场景下 ， 只应一次性读取 。 至于其他敏感权限 ， 均只能在用户主动触发时读取或经用户明确授权后读取 。