首頁(yè)>要聞>沸點(diǎn) 沸點(diǎn)

APP安裝包暗藏玄機(jī):超半數(shù)留索取用戶通訊錄“后門”

2019年08月20日 08:41 | 來(lái)源:新京報(bào)
分享到: 

APP安裝包“暗藏玄機(jī)”:

越界代碼很普遍 超半數(shù)APP留索取用戶通訊錄“后門”

嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、悟空理財(cái)?shù)?0個(gè)APP申請(qǐng)了全部6項(xiàng)敏感權(quán)限;作業(yè)幫、中興智能家居、宜人貸、紅包鎖屏等7款A(yù)PP安裝后自動(dòng)上傳用戶位置信息

8月13日,《2019年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)》發(fā)布,報(bào)告指出,每款A(yù)PP應(yīng)用平均收集20項(xiàng)個(gè)人信息,大量APP存在探測(cè)其他APP或讀寫用戶設(shè)備文件等異常行為,這再度引發(fā)公眾對(duì)移動(dòng)APP違法違規(guī)收集使用個(gè)人信息問(wèn)題的熱議。

目前,用戶判斷APP收集了哪些信息主要以其索取的權(quán)限為依據(jù)。新京報(bào)記者近兩年來(lái)持續(xù)關(guān)注APP索取權(quán)限發(fā)現(xiàn),目前絕大多數(shù)APP均會(huì)明示提醒索取的權(quán)限,但APP究竟在什么時(shí)候上傳了哪些用戶信息,APP在技術(shù)層面能否窺視用戶隱私,對(duì)于普通用戶來(lái)說(shuō)依然成謎。

近日,新京報(bào)記者聯(lián)合國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心,對(duì)109款A(yù)PP的安裝包APK進(jìn)行了引擎檢測(cè),檢測(cè)結(jié)果發(fā)現(xiàn),83.6%的APP安裝包中均含有超出其原本業(yè)務(wù)范圍之外的權(quán)限代碼。109款A(yù)PP中有超過(guò)半數(shù)的APP安裝包里含有索取用戶通訊錄的代碼。

據(jù)此新京報(bào)發(fā)布了“個(gè)人隱私報(bào)告第一期”,本次報(bào)告重點(diǎn)關(guān)注APP越界索取權(quán)限問(wèn)題。109款A(yù)PP中嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、飛嘀打車、中國(guó)工商銀行、悟空理財(cái)、平安好醫(yī)生、開心消消樂(lè)10個(gè)APP申請(qǐng)了全部6項(xiàng)敏感權(quán)限,申請(qǐng)的敏感權(quán)限最多。

83.6%的APP含越界代碼,中移動(dòng)旗下的和包支付“越界”嚴(yán)重

6月18日,新京報(bào)記者對(duì)比《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》中劃定的不同行業(yè)APP應(yīng)該索取的權(quán)限范圍,基于安裝APP后開啟的權(quán)限提示,測(cè)試了50款常用APP,發(fā)現(xiàn)其中有24個(gè)APP索取的權(quán)限超出范圍,占比48%。

而6月25日至27日,新京報(bào)記者聯(lián)合國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心,對(duì)109款A(yù)PP的安裝包APK內(nèi)含有的涉及隱私權(quán)限的代碼進(jìn)行了引擎檢測(cè),檢測(cè)結(jié)果發(fā)現(xiàn),除微信、虎牙直播等18款A(yù)PP外,其余83.6%的APP安裝包中均含有超出其原本業(yè)務(wù)范圍之外的權(quán)限代碼。

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條,網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息;而《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》給出了哪一類APP收集信息的范圍標(biāo)準(zhǔn),超出標(biāo)準(zhǔn)即為越界。

具體來(lái)看,在讀取聯(lián)系人、錄制音頻、讀取短信、發(fā)送短信、發(fā)起電話呼叫、拍攝照片和錄制視頻六個(gè)涉敏感權(quán)限中,上述109個(gè)APP中有57款A(yù)PP“越界”含有讀取聯(lián)系人的代碼,占比51.8%;有44款A(yù)PP“越界”含有錄制音頻的代碼,占比40%;有30款A(yù)PP“越界”含有拍攝照片和錄制視頻的代碼,占比27.2%。而讀取短信、發(fā)送短信、發(fā)起電話呼叫三項(xiàng)APP權(quán)限被“越界”含有的比例則在20%左右,相對(duì)較少。

其中,和包支付的安裝包APK擁有全部上述6個(gè)涉隱私敏感權(quán)限,但依據(jù)《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》,和包支付所屬的金融借貸類APP基于其基本業(yè)務(wù)功能所能收集的必要信息包括手機(jī)號(hào)碼、身份信息、征信信息等,上述6個(gè)涉敏感權(quán)限與其基本業(yè)務(wù)功能無(wú)關(guān)。

和包支付是中國(guó)移動(dòng)面相個(gè)人和企業(yè)提供的一項(xiàng)綜合性移動(dòng)支付業(yè)務(wù),開發(fā)者為中國(guó)移動(dòng)旗下子公司中移電子商務(wù)公司。截至目前,其在華為應(yīng)用市場(chǎng)中有3340萬(wàn)次安裝。

而作為游戲類APP的開心消消樂(lè)的安裝包APK同樣擁有全部上述6個(gè)涉敏感權(quán)限,不過(guò)基于該APP的類型,錄制音頻屬于其基本業(yè)務(wù)功能之內(nèi),但讀取聯(lián)系人、讀取短信、拍攝照片和錄制視頻等其他5項(xiàng)權(quán)限不屬于其基本業(yè)務(wù)功能之列。

“實(shí)際上,絕大多數(shù)用戶對(duì)APP的隱私協(xié)議是‘看都不看’的,對(duì)于權(quán)限的開啟也往往不是很在意,因此看APP到底有能力獲取哪些權(quán)限,在技術(shù)上直接看代碼是最為方便的。”8月16日,在網(wǎng)安部門負(fù)責(zé)APP檢測(cè)的程序員小武告訴記者,“代碼不會(huì)說(shuō)謊”。

嘀嗒出行、百合婚戀等APP安裝包申請(qǐng)全部6項(xiàng)敏感權(quán)限

近日,新京報(bào)記者聯(lián)合國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心,對(duì)109款A(yù)PP的安裝包APK進(jìn)行了引擎檢測(cè)。

新京報(bào)記者查閱109個(gè)APP安裝包所申請(qǐng)的6個(gè)涉敏感權(quán)限列表發(fā)現(xiàn),大多數(shù)APP都申請(qǐng)了3至4個(gè)敏感權(quán)限,而嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、飛嘀打車、中國(guó)工商銀行、悟空理財(cái)、平安好醫(yī)生、開心消消樂(lè)10個(gè)APP申請(qǐng)了全部6個(gè)敏感權(quán)限,申請(qǐng)的敏感權(quán)限最多。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心在發(fā)給新京報(bào)記者的檢測(cè)報(bào)告中注明,通過(guò)上傳的APP應(yīng)用,自動(dòng)識(shí)別出移動(dòng)應(yīng)用所屬的行業(yè),并對(duì)應(yīng)到《網(wǎng)絡(luò)安全實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》中不同行業(yè)應(yīng)有的權(quán)限集合,與被檢測(cè)應(yīng)用的AndroidManifest.xml文件進(jìn)行比對(duì),將多余部分的權(quán)限定義為權(quán)限濫用。

根據(jù)APP專項(xiàng)治理工作組發(fā)布的《APP申請(qǐng)安卓系統(tǒng)權(quán)限機(jī)制分析與建議》,如果APP因業(yè)務(wù)功能需要申請(qǐng)系統(tǒng)權(quán)限,通常情況下,APP開發(fā)者可通過(guò)在AndroidManifest.xml配置文件中明確聲明的方式(靜態(tài)方式),以及在代碼運(yùn)行階段請(qǐng)求的方式(動(dòng)態(tài)方式)申請(qǐng)系統(tǒng)權(quán)限。

“AndroidManifest.xml指的是APP安裝包中的配置文件,其包含了APP安裝所必要的各個(gè)組件,其中也有其申請(qǐng)的系統(tǒng)權(quán)限集合列表?!眹?guó)家計(jì)算機(jī)病毒應(yīng)急處理中心工作人員告訴記者,“例如,android.permission.READ_CONTACTS代表讀取通訊錄權(quán)限,擁有該代碼的APP在‘基因?qū)用妗途邆淞俗x取用戶通訊錄的意圖。”

編輯:周佳佳

01 02 03

關(guān)鍵詞:APP安裝包

更多

更多