手機應用索取權限貪得無厭 滋養網絡黑灰產業

日前，有關中國電信旗下一APP索要70多項權限並修改通訊錄的報導再次引發了人們對APP過度索權、隱私泄露話題的關注。

隨後，中國電信回應稱，“在用戶同意的前提下，遵循合法、正當、必要的原則，該APP採用統一申請用戶授權的方式，以便根據用戶需要及時提供所需服務。”當用戶同意授權後，該APP才能使用這些權限。”

“不管是手機APP還是PC端，一些企業肆無忌憚地收集大量的用戶資訊，但是用這些資訊就能有效實現商業價值嗎？也未必，有可能它（企業）也不知道真的能做什麽，或者一直沒用上。”火絨安全聯合創始人馬剛在接受第一財經記者採訪時表示。

在數據是石油的時代背景下，不少企業認為數據越多越好，過度獲取用戶數據。一方面，是企業對用戶數據的極度渴望；另一方面，企業並未妥善保管這些數據，甚至進行地下交易，導致網絡黑灰產業已相當龐大。

提防過度獲取權限

從年初今日頭條麥克風權限“偷聽”隱私事件，支付寶2017年度账單默認勾選《芝麻信用協定》，到微信是否會存儲、讀取聊天記錄的探討，一次次事件不斷刺激著用戶敏感的神經。

中國用戶真的不在乎隱私嗎？

清研智庫最近的一份調查顯示，近七成受訪者“用隱私換便捷”是“被自願”，七成以上的人認為網絡平台在尊重和保護用戶隱私方面做得不好。北京市消費者協會3月7日發布的手機APP個人資訊安全調查報告也顯示，有近九成的人認為手機APP存在過度采集個人資訊，近八成的人認為手機APP上的個人資訊不安全。

為何是“被自願”？以安卓市場手機APP索權為例，用戶在下載安裝APP時，多會被要求開通多項權限，包括使用電話權限、使用位置權限、使用通訊錄權限等。如果不同意，則無法使用APP。

手機APP過度獲取用戶權限與APP開發者的立場和企業商業邏輯有關。一位業內人士對記者表示，很多剛開發的APP隻提供相對簡單的功能，發展到一定階段會提供更多功能和服務，需要一些新權限。“很多開發者不知道未來這個軟體需要哪些權限，在開發第一個版本時就會申請很多權限，方便以後更新更新。但是很多功能，它即使申請權限也不一定用，這種佔坑的情況非常普遍。”

今年年初，騰訊社會研究中心與DCCI互聯網數據中心聯合發布了《2017年度網絡隱私安全及網絡欺詐行為分析報告》（下稱《報告》）。《報告》顯示，通過手機應用獲取用戶隱私現象十分普遍。2017年下半年，有98.5%的安卓應用在獲取用戶隱私權限。其中，有9%的手機應用存在越界獲取用戶隱私權限的現象。

如何界定過度獲取資訊？馬剛對記者表示，“夠用就好，不能收集更多”。對於有些軟體而言，強製授權有一定合理性，如地圖類、出行類軟體需要獲取用戶的位置資訊。

但是更多的情況是，APP在初次安裝打開時隻通知用戶一些敏感權限，實際會獲取更多的權限。記者查看手機權限管理時發現，絕大部分已下載的APP都會默認讀取已安裝應用列表。據悉，目前不少大數據公司都通過獲取已安裝應用列表權限，掌握用戶同時安裝的其他軟體，借此分析競品的市場份額，並對用戶標簽化，為商業企業提供精準行銷服務。

一位網絡安全專家告訴記者，在判斷手機APP是否過度申請權限時，用戶需要結合自己的需求，“假如一個非常簡單的工具類APP，如手電筒、小遊戲要獲取較多權限，就可以把較為敏感的權限，如聯繫人、定位等關了。”在應對強製授權問題時，該專家表示，目前這需要手機系統層面解決。對於用戶而言，在安裝時如果被迫選擇授權，彌補措施是，安裝後再用權限管理軟體關閉相應的權限。

打響個人資訊保衛戰

獲取權限不是作惡的第一步，判斷一個軟體是否真的惡意不能僅看權限。

造成用戶資訊泄露原因眾多，APP只是其中的一個入口，還涉及到資訊數據的管理、網站本身的原因，或者黑客攻擊等，“其實手機APP過度索權問題沒有想的那麽嚴重，如果大家都把眼光只看到APP行為本身，或者是隻盯著APP的權限上這個是不夠的。”上述網絡安全專家表示。

2017年6月1日起，《中華人民共和國網絡安全法》正式開始實施。國家公務人員或者某些掌握數據的人員泄露用戶數據，已經可以通過法律製裁，但個人隱私保護的相關法律不夠完善，“相關的草案（《中華人民共和國個人資訊保護法（草案）》）已經公布了，但是目前也沒有定下來”，而要靠行業規範難度也不小，“各個廠商、各個APP開發者對APP申請權限都有自己的理由。你很難讓各家公司或相應的開發者達成共識。現有的這種情況下，可能還是需要依靠作業系統本身的改進來解決這個問題。”該專家表示。

網民在無意中泄露自己資訊的情況也極其普遍。以現金貸為例，一些現金貸企業對資訊的獲取沒有指定，也完全沒有底限。參與現金貸的人毫無隱私可言。

由此衍生的黑灰色產業已相當龐大。此前，阿里巴巴集團安全部副總裁杜躍進曾對媒體表示，中國現在網絡黑灰產業一年的產值已達千億，而網絡安全的全部產值不到300億，其中黑灰產業造成的損失至少乘以20倍。他稱，很多黑灰產業從業者利用大數據的能力甚至超過一些知名互聯網企業，能夠精準獲取數據，進行精確詐騙。

資訊的售賣對象包括詐騙、盜竊等行業，以及金融、精準行銷等。被兜售最多的資訊便是用戶的聯繫方式、账號密碼。

馬剛告訴記者，通過账號密碼等個人資訊真正盜取用戶的資金或財產的情況比較少，“這些明顯違法的很少，一般大家都不敢乾，更多的主要就是用來推銷、做廣告。”由於目前法律法規的不完善，很多所謂向用戶推送商業資訊、廣告的精準行銷處於灰色地帶。“雖然知道這好像不對，或者涉嫌侵權，但是沒有明確規定，處罰也不是很明確，處於灰色地帶，就會放開了乾。”

為防止個人隱私資訊泄露，《報告》建議，用戶可從以下五點著手：一是下載軟體選擇正規管道，如安卓市場等；二是謹慎填寫個人隱私資訊，防止資訊被無謂地采集；三是管理手機軟體中的隱私權限，了解軟體權限行為，關閉不必要的授權；四是防範公共WiFi，轉账與支付時改用數據流量；五是通過“恢復出廠設定-格式化-反覆拷入大檔案並刪除”三步驟，徹底清理舊手機資訊。