南都实测143款App发现,后果包括不断复制用户剪贴板、读取短信内容上传服务器……
近日,南都记者使用技术手段实测了143款App,尝试研究在我们把收集权限交给App之后,会发生什么。结果我们在App行为测试的结果中明文看到了App调取了用户的短信内容并上送;此外,还有App向多个第三方服务器发送用户信息,可谓触目惊心。
“金信宝”App更新安装后申请获取用户G P S信息、读取通讯录、拍摄照片和视频等12项权限。
2月20日凌晨一点多,小媛在微博写下了这样一段话。天亮后,等待她的将是一场由网贷平台发起的“狂风骤雨”。
果然,8点53分,一个被多人标记为“骚扰电线分,另一个显示是老家江西赣州的座机号也来问候;9点54分后,小媛的手机开始响个不停,威胁、谩骂、诋毁接踵而来。
更让小媛焦虑的是,这样的手机轰炸不只是针对她本人,她通讯录里的亲友也陆续收到了催债电话与短信,她觉得自己在他人眼中的形象已经破产,尊严全无。
其实,从小媛下载网贷App,并允许它读取自己的通讯录开始,这样的结局似乎就已经注定。只是在使用包括网贷在内的App前,人们鲜少考虑交出这项手机权限可能带来的影响,等到催收的骚扰范围扩展到整个通讯录,波及到无辜的第三方,才追悔莫及。
借贷类App在获取权限后会做什么是显而易见的,对通讯录里的家人朋友进行轰炸型的催债是能够切实地感知到的,除了这些,我们授权出去的权限还会被App怎么用?那些非借贷类的App又会怎么处理我们的个人信息?
近日,南都记者使用技术手段实测了143款App,尝试研究在我们把收集权限交给App之后,会发生什么。结果我们在App行为测试的结果中明文看到了App调取了用户的短信内容并上送;此外,还有App向多个第三方服务器发送用户信息,可谓触目惊心。
27岁的小媛从未想过生活会这样失控。回想最初,债务从一两万元滚到近三十万元,只是短短28天。
三年前,她和丈夫离婚,带着9个月大的女儿回到娘家。孩子一天天长大,生活的细碎开销让这个每月工资仅有3600元的单亲妈妈不堪负重。
最难的时候,她想到了信用卡,却不想因入不敷出影响个人征信记录,小媛用了一种最笨的方法,通过借网贷来偿还信用卡债。二十多天里,她下了90多个借贷A pp,一些钱是到手了,可是网贷的口子一旦打开,随即而来的是意想不到的“无底洞”。
“网贷借款基本以7天为周期,借款金额4250元,实际到账只有2921元。”小媛告诉南都记者,还款期一到,当天催收电话就来了。随后开始爆通讯录,家人朋友相继接到电话威胁恐吓,这意味逾期者通讯录里的所有人,包括家人朋友甚至是并不熟悉的联系人都可能成为被催收的对象。
更让她感到惊恐的是,一些带有侮辱性的短信和不雅P图也被群发到各处。当个人通讯等隐私信息曝光在网贷平台和催收公司面前,小媛此刻不如意的生活人尽皆知,名誉毁于一旦,隐私和尊严更是无从谈起。
和小媛一样,最近三个月,来自河北石家庄的王先生也正在经历这样的生活。苹果手机里安装的250个借贷A pp时刻提醒他,身上背负的55万元欠款。最多的时候,他一天接到了400个催收电话。
每个深陷网贷泥潭者的故事背后,大抵都有相似的遭遇:以贷养贷,让人喘不过气的2000%年利率。一旦逾期被爆通讯录,频繁遭到催收骚扰,日子不得安宁但却无计可施。
聚投诉平台发布的一份年度报告显示,2018年,在聚投诉平台上的第一大被投诉行业是互联网消费金融,有效投诉量共计20.9万件,占投诉总量的66.4%.消费者投诉的两大突出问题,仍然是恶性催收与利率超标。
那么,依托爆通讯录,曝光借款者个人隐私的催收怪圈是如何形成的呢?其实,早在下载现金贷A p点击同意授权“读取通讯录权限”、“同意交出通话记录”开始,小媛、王先生及通讯录里所有人的信息已成透明。而这样的同意授权,往往始于借款人的无意识与疏忽。
“当打开App时,一个允许读取联系人、允许读取定位等信息的页面一闪而过,随后才进入贷款申请环节。”小媛说。
王先生使用过的250个网贷A pp中,有些并非从应用商店下载来的,而是通过扫描指定的二维码,绕过苹果手机的A pp审核机制安装到他手机上的。在扫码下载借贷A pp后,用户需在手机里选择“可信任”设置才能打开。
他告诉南都记者,进入借贷A pp之后,还需经过信用评估才能借款。信用评估即填写自己的个人信息,大都包括如姓名、身份证、学历、婚姻状况、紧急联系人、手机运营商网上营业厅的账号信息、银行卡、芝麻分授权等。
数据一旦交出,意味着王先生的个人隐私尽被网贷平台掌握,而且有可能分享给催债公司或是其它第三方。
需要关注的是,即便用户足够重视信息安全,或许也难逃App收集个人信息的套路。
近日,南都个人信息保护研究中心实测143个App,从有无隐私政策、内文是否存在霸王条款、收集个人信息前是否公示收集使用规则、有无强制同意非必要权限、收集个人敏感信息时是否再次获取明示同意、有无注销功能等方面,实际考察A pp获取个人信息的情况。
测评发现,App使用“一揽子协议”的方式过度收集个人信息的现象仍然普遍存在。
一款名为“贝壳钱包”的App在用户协议中提及,“您授权贝壳钱包在业务运营中获悉您的手机通话详单、手机服务密码、第三方网络平台的账户和密码信息。”也就是说,用户同意这份个人信息收集的协议后,即代表允许平台获取你的通话记录,你常用联系人、通话时长等信息可能都被知晓。
另一款名为“盈盈有钱”的借贷A pp在《隐私权保护声明》中提到,会收集来自第三方的信息,其中包括认证芝麻分和运营商。上述声明提及,“一旦开始使用该A pp的服务并提交本隐私保护声明所示信息材料,我们即有权根据您提供的运营商信息,获取您最近6个月的信息记录,包括但不限于通话、短信、流量记录、运营商报告等。”
单从隐私政策或用户协议看,这些A pp需要获取的用户信息范围广泛,但与哪些核心功能相关、适用于何种场景,并未作过多说明,更有A pp甚至要求用户确认位置信息并非个人隐私。
一个名为“在外”的旅游交通类A pp在明确条款中写道:“用户确认其地理位置信息为非个人隐私信息,用户成功注册‘在外’账号视为确认授权公司提取、公开及适用地理位置信息。”
而根据两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,行踪轨迹信息、通讯内容、征信信息、财产信息均属于个人敏感信息,非法获取、出售或者提供50条以上即算“情节严重”。
在测评中,南都记者还发现,部分移动金融A pp通过捆绑甚至强制获取的方式,要求用户一次性同意多项敏感权限。
以“融360”和“钱站”为例,当使用华为手机(安卓版本8.0)在华为应用商店下载安装这两款A pp时,页面弹窗需要获取用户的以下权限:存储、电话、位置信息、相机、麦克风、通讯录、信息、通话记录、其他等九大类敏感权限,并要求用户一揽子选择“允许”或“取消”。
另一款名为“金信宝”的App捆绑索取的权限也较多,当初次打开应用时,要求获得“存储”权限并提示有版本更新,更新安装后申请获取用户GPS信息、读取通讯录、拍摄照片和视频等12项权限。
一旦点击“取消”,用户即无法正常安装这款App.南都记者在测评中发现,类似的问题至少出现在16款App内,其中近一半为移动金融类App.
另有部分App存在不同意授权个别权限,无法正常使用的情况。比如“LOHAS乐活”,如果用户不同意授权摄像头、录音权限便会出现频繁弹出,无法使用的情况,“新浪有借”在用户初次打开App时要求获得存储、电话权限,拒绝后也出现无法打开的问题。
“不同意就退出”,不授予权限连打开App的可能都没有,这实际上是一种变相的强迫同意。
上海市信息安全行业协会副主任张威告诉南都记者,Android5.0应用系统基本采用一揽子授权的方式,但随着Android版本的升高,开始对权限的管理进行区分,获取用户敏感权限需经过同意,但现阶段仍有部分App存在这种打擦边球的行为,模糊授权的界限。
根据《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循必要的原则,不得收集与其提供的服务无关的个人信息。南都记者关注到,今年2月,《个人信息安全规范》修订草案中特别新增了“不得强迫收集个人信息”的要求。
在现实情况中,一款A pp在应用商店或首次开启后显示申请的权限并不意味着实际只调取这些权限。对用户而言,也很难知晓相关代码是否被执行,或者有无足够必要性。
为此,除了考察被测A pp隐私政策透明度、用户端实际操作行为是否合规外,在此次测评中,南都个人信息保护研究中心分别通过两个途径,利用技术手段对部分App的iOS客户端和Android客户端个人信息收集情况进行分析。这两种渠道分别是利用“直节隐私合规助手”进行测评分析,以及联合第三方测评机构中国金融认证中心(CFCA)技术检测手段进行分析。
根据中国金融认证中心(CFCA)的测试结果,Android版本号为3.4.6的“融360”存在如果用第三方账号登录,会将用户第三方平台上的社保与公积金查询账号密码发送至己方的业务服务器,由后台代为查询的问题,并且使用的是明文传输。中国金融认证中心认为,如果明文传输,黑客很容易就能通过网络嗅探和劫持的方法获得这些信息,存在安全风险。
另一款名为“榕树贷款”的Android3.3.3版本App,除了存在上述行为,还被检测捕捉到应用调用系统接口获取通话记录、联系人信息、短信记录等行为,并在数据流量中发现上送信息。在对“榕树贷款”的短信记录权限进行检测时,类似“老板该给我涨工资了”的短信内容明文可见。
值得一提的是,铁友火车票则被检测到应用在运行过程中会不断获取系统的剪贴板内容。
此外,这款A pp还存在向第三方服务器明文传输用户的个人信息行为。比如传输能够标记到个人的用户与设备之间的绑定信息,在运行中不断获取的地理位置信息不仅上传到自身服务器,还向数个第三方服务器发送,过程中包含其他隐私信息。
直节隐私合规助手的测试结果显示,铁友火车票A pp向系统申请了17个敏感权限,但安装包里存在敏感权限相关的A PI调用(有使用可能)则有19个,其中,读取短信、接收短信等敏感权限是A pp中未申请但调用A PI的相关权限。这意味着,这款A pp自身或者集成的第三方工具包代码中存在冗余代码。冗余代码具备在A pp版本更新时,在用户不知情的情况下调用敏感权限的可能。
此外,直节隐私合规助手测评结果显示,一些A pp会使用大量的SD K(软件开发工具包,可以理解为一种植入App的第三方工具包),这些SD K也会获取使用权限,例如铁友App嵌入了56款SDK,融360也嵌入了49款SD K.不少SD K需要获取用户的网络连接、精确地理位置、手机状态与身份等用户信息。
专家指出,获取权限首先应该符合必要性原则,即与一定的场景与功能相关,没有该项权限这一功能无法实现;其次应该获取用户的知情同意。但第三方SDK获取的权限往往不会在一款A pp的隐私政策中提及,更不用说告知用户具体使用的场景和功能,因此很难说已经获取了用户的同意。
不难理解,在经济利益的驱使下,网络运营者有着天然的冲动最大限度地收集个人信息。
“对厂商来讲,能拿到的用户信息越多越好,这有利于分析用户的使用习惯。而知道了用户习惯就能更好地推送产品。”中国网络空间安全人才教育联盟秘书长、广州大学鲁辉副研究员告诉南都记者,“但是绝对不能以牺牲用户的隐私为前提。”
“从根本上说,这些为了占有更多数据的不合理的权限申请是对消费者基本权益的严重侵害,也是垄断和不正当竞争无限孵化的温床。”南京信息工程大学法政学院教授蒋洁直言。
如何打破一揽子授权,解决A pp过度收集个人信息的问题?有观点认为,应对A pp调用的权限进行动态的单独授权,以达到用户信息最小化授权的效果。
南都记者注意到,这也是此次《个人信息安全规范》修订草案提出的新方案,即当产品或服务提供多项需收集个人信息的业务功能时,平台不得违背用户的自主意愿,强迫用户接受信息收集请求,不得通过捆绑各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求。
如何理解?鲁辉对南都记者解释,以某些需要身份识别的App为例,用户在App上办理业务时,需要用户的人脸信息或者语音信息,这时就需要获得手机的拍照和录音权限。这个听起来是合理的,使用的时候可能也是必需的。“但是问题在于,用户是否有必要一直给予这种权限,还是说只需要在用到拍照或录音功能的那几分钟临时授权就行。”
在鲁辉看来,从保护用户隐私角度,应该是临时授权,并且这在技术上实现起来并不难,但是很多App并未做到。
“如果一概要求重新授权,可能会降低用户体验。但一揽子的授权方式又会给个人信息安全带来较大风险。”蒋洁对南都记者表示,目前获得较多赞同的说法是区分功能性质,对于App的基本功能或主体功能及其更新,可以进行一揽子授权,而对于拓展功能或辅助功能,则需要再次授权。
值得一提的是,App的信息安全已经引起官方重视。今年1月底,中央网信办联合工信部、公安部、市场监管总局等四部门表态,今年将在全国范围内发起专项治理活动。严重违法违规收集个人信息的App运营者,将被依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
在蒋洁看来,除了大幅提升违法违规企业的惩罚力度,还需制定App过度索权的评估标准和有力的监管体系,并健全救济机制。
鲁辉则表示,用户在安装App时需要有保护隐私的意识,不要随意输入自己的姓名、证件号信息,诸如定位、通讯录、通话记录、摄像头和录音等敏感权限在授予平台时,需格外谨慎。