看小說的APP要讀取用戶短信、貸款類APP要訪問攝像頭并拍照、上網(wǎng)類APP要讀取用戶通訊錄……伴隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，大量APP在不知不覺中收集了一些與自身業(yè)務無關的信息，個人信息在網(wǎng)絡空間中“裸奔”的現(xiàn)象屢禁不絕。?

?

8億用戶的APP被曝超范圍收集用戶信息?

?

一款號稱可“一鍵連接WiFi”的APPWiFi鑰匙已成為不少人的手機必備。公開數(shù)據(jù)顯示，其月活躍用戶已經(jīng)達到8億。然而，這款被視為“蹭網(wǎng)利器”的APP，近期卻被曝光存在超范圍收集用戶信息的行為。 ?

廣東省公安廳近日公布，2019年一季度，廣東警方共監(jiān)測發(fā)現(xiàn)1670余款APP存在超范圍收集用戶信息行為。其中WiFi鑰匙、錢聚易等10款APP問題突出，特別是WiFi鑰匙問題比較多，共超范圍收集了7類信息。據(jù)通報，WiFi鑰匙（4.3.56版本）存在讀取用戶短信或彩信、聯(lián)系人，收集用戶設備上已知賬號，使用用戶設備攝像頭或麥克風等問題。

??

APP超范圍收集用戶信息現(xiàn)象并不少見。根據(jù)愛加密大數(shù)據(jù)中心提供的數(shù)據(jù)，截至2019年3月底，該中心已收錄安卓應用270多萬個，iOS應用190多萬個，30%以上的APP存在不同程度的越權、超范圍收集等行為。

??

“這么做多是為了收集用戶的經(jīng)濟狀況、消費偏好、活動區(qū)域等信息，對用戶進行精細的人物畫像，以支持產(chǎn)品研發(fā)更新，或精準推送廣告?！睆V東省公安廳網(wǎng)警總隊案件科副科長黃建邦說。?

?

暨南大學網(wǎng)絡空間安全學院院長翁健表示，“獲取用戶設備上已知賬號列表”易泄露用戶隱私。攻擊者有可能利用掌握的賬號，實行撞庫等網(wǎng)絡攻擊，即從安全性較弱的賬號中獲取的用戶名密碼，來推測強安全措施的賬號和密碼。?

?

此外，調(diào)用權限發(fā)送短信也是手機木馬的主要傳播方式之一。翁健介紹，應用程序可通過該種方式將帶有病毒的鏈接放入短信中，并依次發(fā)送給用戶相關聯(lián)系人，一旦有人點擊該鏈接，則會感染病毒。 ?

過度索權套路多“迷魂陣”里走不出 ?

一款主打便捷連網(wǎng)的APP為啥要索取這些“八竿子打不著”的信息權限？ ?

記者在安卓手機應用市場上下載該APP后發(fā)現(xiàn)，頁面彈出的窗口詢問“WiFi鑰匙需要以下權限，是否允許？”包括用戶位置、電話、信息、通訊錄、相機等權限，但只有點擊“允許”才可下載。

??

該產(chǎn)品有關負責人表示，目前，WiFi鑰匙除了提供WiFi連接以外，產(chǎn)品中也提供資訊、社交等其他服務，廣東警方提到的額外獲取的權限，是所有社交軟件都會需要獲取的正常權限。 ?

記者發(fā)現(xiàn)，安卓版本的WiFi鑰匙產(chǎn)品內(nèi)，確有所謂的社交功能“附近的人”，然而記者點擊后發(fā)現(xiàn)，使用“附近的人”功能需要另外下載“連信”APP。不僅如此，該APP的下載安裝并未經(jīng)過應用市場。截至記者發(fā)稿時，“連信”APP在安卓應用市場內(nèi)仍無法通過關鍵字搜索出來。 ?

業(yè)內(nèi)人士表示，此舉意味著WiFi鑰匙的相關產(chǎn)品“連信”APP未經(jīng)過安卓應用市場的審核，即使用戶可以自主選擇提供或不提供相應權限，但用戶下載使用仍存在一定的風險。 ?

此外，WiFi鑰匙調(diào)用的權限實際上是為另一款APP使用，這是為其他APP規(guī)避監(jiān)管“打掩護”，既侵犯了用戶的知情權，同時也把用戶拉進了“迷魂陣”——難以辨別哪一類信息權限是與產(chǎn)品服務直接相關的。 ?

那么是否關掉所有的權限即可保護用戶個人信息呢？事實上并不容易。

?

翁健表示，有的權限看似與APP運行無關，其實后臺的服務需要這些權限。然而，有的開發(fā)者故意將APP的超范圍權限與正常權限的模塊“打包”，導致在阻隔了APP的超范圍權限后，正常程序無法運行。?

?

專家建議從源頭端加強公民個人信息保護 ?

黃建邦表示，正因為企業(yè)收集這些信息的成本遠低于可能的收益，導致很多APP索權無度，也就有了“不管有用沒用，先收集來再說”的心態(tài)和做法。 ?

對于如何從源頭端保護用戶個人信息，專家建議，首先應用商店要做好把關，對上架下載量大的APP要求經(jīng)過人工檢測，并確立一個原則——每個APP只給比較低的信息收集權限，且每次信息收集都要獲得用戶許可。 ?

近日，由中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局指導成立的APP專項治理工作組起草了《APP違法違規(guī)收集使用個人信息行為認定方法（征求意見稿）》，該征求意見稿將APP違法違規(guī)收集使用個人信息分為7種情形。翁健認為，該文件明確了違規(guī)APP行為的具體認定標準，有助絡安全法的相關要求真正落地見效。 ?

黃建邦呼吁，從立法的角度對用戶個人信息進行分類分級管理，明確APP收集哪一類信息需要哪些授權程序，可探索信息收集備案制，信息收集只有經(jīng)過法律授權而非簡單用戶授權才可行。 ?

來源：新華網(wǎng) ?

作者：胡林果、毛鑫