上海市消保委:聚美、贝贝、穷游等9款App索取权限超过实际功能
艾媒网3月28日获悉,上海市消保委于3月27日发布了针对39款网购平台、旅游出行、生活服务等手机App涉及个人信息权限的评测结果,共有25款存在问题,其中穷游、百度糯米、神州租车等9款App存在向消费者索取的权限与实际功能不对应的问题。
在今年1月,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,对网购平台、旅游出行、生活服务等39款手机APP开展涉及个人信息权限评测。而截止到3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进,涉及网购平台、旅游出行类平台、生活服务类平台。
据了解,本次评测主要从以下四个维度进行:
1. APP所使用的目标API级别。当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式 ,存在可规避系统安全机制的漏洞;
2. APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;
3. 注敏感权限的授权方式。是否存在一揽子授权的模式,如何向用户提出授权请求;
4. 查看是否存在无实际功能对应用的权限申请。
评测结果显示,仅有14款应用敏感权限与实际功能均能对应,于是上海市消保委与其他企业进行沟通,相关企业在排查后对存在的问题作出解释和优化意见。截止3月23日,上海市消保委再次进行了测试,有16款应用完成了改进,仍有聚美、贝贝、穷游、TripAdvisor猫途鹰、神州租车、一嗨租车、饿了么、百度糯米、格瓦拉生活等9款应用未能就其权限和功能无法对应的问题进行改进。问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
本次评测值得关注的是,不少网购类APP获取了日历权限,据上海市消保委开展的网络调查显示,52.5%的消费者用手机日历功能记录个人行程,其中,24.7%的消费者选择记录日常生活行程;18.5%的消费者记录日常生活及工作等行程。有69.9%的消费者关注手机APP获取个人权限问题。其中,通讯录权限最为关注,占43.5%;26%的消费者关注电话、短信权限,而仅有0.4%的消费者关注日历权限。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
为了保护用户的信息不被泄露,上海市消保委建议,如消费者经常使用日历记录敏感事项,对APP的日历权限应谨慎授权;APP开发者如无十分必要,建议尽可能不使用手机日历权限。