你的個人信息或許正在“泄露” 廈門女子用了2年多才知道App有漏洞

原標題：你的個人信息或許正在“泄露” 廈門女子用了2年多才知道App有漏洞

海峽網(wǎng)1月7日訊 (海峽導報記者 黃敏江 陳巧思)各種各樣的手機App滿足了人們的不同需求，很多App在安裝時提示“是否允許該軟件讀取通訊錄”、“是否允許讀取您的地理位置”等。便利的同時，一部分App也涉嫌過度收集用戶的敏感信息，導致隱私很可能會被曝光。

你是否想過，這些權(quán)限請求是應用本身實現(xiàn)功能的需要，還是為了獲取用戶的信息呢？最近，這些App因過度收集用戶敏感信息被中國互聯(lián)網(wǎng)協(xié)會點名了。

事件 多款App過度收集用戶個人信息

近日，在工業(yè)和信息化部信息通信管理局部署下，中國互聯(lián)網(wǎng)協(xié)會在京召開手機App收集和使用用戶個人信息情況專家評議會。

通過技術(shù)檢測以及用戶舉報發(fā)現(xiàn)，QQ音樂等18款App疑似存在過度收集“短信”“通訊錄”“位置”“錄音”等用戶敏感信息，萬能看等9款App疑似存在未經(jīng)用戶同意收集使用用戶個人信息。

針對發(fā)現(xiàn)的問題，結(jié)合相關(guān)互聯(lián)網(wǎng)企業(yè)的意見，經(jīng)過評議，專家一致認為互聯(lián)網(wǎng)企業(yè)在加強用戶個人信息保護方面仍然存在一些不規(guī)范的問題，14款App存在過度收集用戶個人信息、未經(jīng)用戶同意收集使用用戶個人信息等問題。

根據(jù)評議會，這14款App存在的問題有：涉嫌過度申請通訊錄功能、過度申請短信功能、過度申請定位功能、過度申請錄音功能、未經(jīng)用戶同意收集使用用戶個人信息。

講述 用了2年多，才知道App有漏洞

家住思明區(qū)湖濱南路的黃女士從事外貿(mào)行業(yè)。因為工作需要，她經(jīng)常要出差到國外。為方便訂購機票和酒店，2年多前開始，她也在手機里下載了攜程旅行的App。

而根據(jù)中國互聯(lián)網(wǎng)協(xié)會公布的《存在問題的手機App名單》，通過技術(shù)檢測以及用戶舉報發(fā)現(xiàn)，攜程旅行App（v8.0.1版本）存在過度申請通訊錄功能的問題。黃女士蘋果手機里使用的攜程旅行App版本正是出問題的那個版本，因為她沒有更新軟件。“這款App存在這種問題，是一個巨大的缺陷和漏洞，那么用戶的通訊錄存在被曝光的可能，我手機通訊錄里有很多國際友人，一旦被曝光，他們也會受到牽連和騷擾。”黃女士說，因為平時工作繁忙，也沒有特別去留意，這些漏洞往往很隱蔽，用戶很難發(fā)現(xiàn)這款App的缺陷。“得知此消息后，我已經(jīng)及時更新了最新版本，希望不要再有類似的問題存在”。

調(diào)查 漏洞很隱蔽，用戶難以發(fā)現(xiàn)

16歲的高中男生小邱是一名音樂愛好者。他的手機下載了多種音樂播放App，有蝦米音樂、網(wǎng)易云音樂，也包括此次涉事的酷我音樂、QQ音樂App。

此次涉事的酷我音樂、QQ音樂涉嫌過度申請短信功能。“每一款音樂App，我都會購買會員并且用手機號注冊。使用了那么久，我一直都沒察覺。這些App的缺陷和漏洞很隱蔽，用戶難以發(fā)現(xiàn)，實在讓人很擔心。”小邱這樣說。

從事金融行業(yè)的胡女士平時也會通過聽音樂放松心情，此前她也下載了QQ音樂，“手機短信里經(jīng)常有一些大額的轉(zhuǎn)款信息和驗證碼，是不是也存在泄露的可能性？真是令人防不勝防。”對此，她也表示擔憂和質(zhì)疑。

而導報記者的手機也下載了酷我音樂App，不過并沒有用手機號注冊，所以該款App申請短信的功能很可能無法實現(xiàn)。

體驗 涉事App都已進行軟件更新

昨日下午2點多，導報記者也下載了攜程旅行App并且注冊，不過這款App已經(jīng)是全新的版本了（V8.0.2）。

隨后，導報記者撥通攜程旅行的客服電話，一位男客服接通了電話。導報記者自稱是用戶，提及過度申請通訊錄功能時，客服人員說：“你的App不存在這種功能，你只要用最新版本就好。”

接下來，導報記者又下載了快手App，發(fā)現(xiàn)這也是更新過的最新版本。導報記者繼續(xù)按照涉事的14款App名單下載，發(fā)現(xiàn)包括網(wǎng)易新聞、有道詞典、手機天貓、書旗小說等，這些App都已經(jīng)進行軟件服務更新。

至于上述涉事問題，需要專業(yè)的軟件技術(shù)檢測，從用戶體驗而言，導報記者很難發(fā)現(xiàn)它們是否還存在那些漏洞。

數(shù)據(jù) 98.8%的App濫用讀寫通話記錄權(quán)限

2018年9月6日，在2018　ISC互聯(lián)網(wǎng)安全大會“移動安全論壇”上，360互聯(lián)網(wǎng)安全中心聯(lián)合泰爾終端實驗室發(fā)布《2018手機安全生態(tài)研究報告》（以下簡稱“報告”）。

報告顯示，2018年申請錄音權(quán)限的App最多，占比47%；98.8%的App濫用讀寫通話記錄權(quán)限，89.6%的App濫用讀取聯(lián)系人權(quán)限。

360互聯(lián)網(wǎng)安全中心抽樣了2160個流行移動應用軟件樣本進行分析，發(fā)現(xiàn)App權(quán)限越界行為整體上呈增長趨勢，尤其在涉及用戶隱私的相關(guān)權(quán)限使用上。2017年，申請撥打電話權(quán)限的App占比72.5%，但是到2018年上半年，申請撥打電話權(quán)限的App占比45%；2017年，僅有3.5%的App申請讀取聯(lián)系人權(quán)限，但是截至2018年上半年，申請了該權(quán)限的App就已占比29.3%。

對于App來說，錄音、撥打電話、讀寫通話記錄和讀寫聯(lián)系人是高危的權(quán)限，直接涉及到用戶手機上的個人敏感信息。App權(quán)限濫用，可能會導致用戶個人信息被不法分子非法獲取，從而造成用戶的個人信息安全和財產(chǎn)安全的受損。

相關(guān)專家表示，人們在享受移動App帶來的便捷生活的同時，自身的位置信息、通話記錄、通訊錄名單、照片等個人信息也有可能暴露在互聯(lián)網(wǎng)上。有些App申請的權(quán)限會涉及到用戶的隱私，甚至會威脅到用戶的個人信息安全。

提醒

下載使用App注意個人信息保護

從事IT行業(yè)的方先生建議，市民在下載、使用手機App時，千萬要注意個人信息安全的保護，“安裝注冊App時，用戶務必要看清楚彈出的對話框提示，比如‘是否允許該軟件讀取通訊錄’、‘是否允許讀取您的地理位置’等，可根據(jù)自身需求來選擇。而App讀取相關(guān)的信息，用戶可在手機設置中進行操作是否讓App讀取有關(guān)信息，比如‘定位服務’可設置為使用期間讀取。”

律師說法

用戶信息誰收集誰負責

對此，福建自暉律師事務所王民暉認為：《中華人民共和國網(wǎng)絡安全法》第40條明確規(guī)定：“網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。”該法條明確了“誰收集，誰負責”的基本原則。

對于這些過度收集用戶信息的App而言，雖然用戶為了使用App選擇同意其收集用戶信息，但App這種強制手機用戶“授權(quán)同意”其收集個人信息的行為，可以視同為對用戶不利的單方“霸王條款”，在法律上應屬于無效條款。也就是說，盡管用戶為了使用App而被迫選擇了“同意”的選項，這樣的選擇也是無效的，一旦發(fā)生糾紛，App照樣要承擔侵犯個人隱私權(quán)的法律責任。且一旦發(fā)生信息泄露，造成用戶財產(chǎn)損失，其網(wǎng)絡服務提供商除應當承擔相應的民事?lián)p害賠償責任外，還涉嫌拒不履行信息網(wǎng)絡安全管理義務罪。

對于手機用戶而言，也要加強自我防范和法治維權(quán)意識，在注冊App用戶時，一定要認真閱讀相關(guān)協(xié)議，不能輕易就選擇“同意”，對那些惡意收集個人信息的App應當拒絕使用；一旦遭遇App泄露個人信息，要利用多種渠道維護自身的合法權(quán)益，包括向消費者協(xié)會和有關(guān)監(jiān)督部門舉報、投訴等，若因個人信息泄露造成利益受損，還可以通過法律途徑維護自身合法權(quán)益。