地圖類APP為什麽要收集通訊錄資訊？

7月21日，尋找中國創客記者使用一台安卓手機實測發現，高德地圖、騰訊地圖已下線獲取用戶通訊錄、簡訊等相關權限的設定，百度地圖仍未下線。

本文共計2645字，閱讀時間5分鐘。

本文為尋找中國創客（ID:xjbmaker）原創

記者 / 薛星星

編輯 / 趙力

應用程式侵犯或泄露用戶隱私在今天早就不是什麽新鮮事了。

近日，又有三家主流地圖應用被曝出涉嫌侵犯用戶隱私的情況。上海市消保委的調查顯示，百度地圖、高德地圖、騰訊地圖、搜狗地圖、圖吧導航等五款地圖類 APP 存在過度獲取用戶敏感權限的問題，且申請的敏感權限與實際功能不完全對應。

移動互聯網席卷一切的當下，個人資訊泄露的風險幾乎呈幾何倍數增長。與之相對應的，是企業在關於獲取用戶隱私資訊上的“不竭努力”。

問題來了，這些地圖類的手機應用，申請獲取通訊錄、簡訊等資訊要做什麽呢？

5家地圖 APP 被曝過度獲取用戶敏感權限

通報後百度地圖隱私選項仍包含監聽電話等

7月29日，上海市消保委發布了一份關於地圖類手機 APP 侵犯個人資訊的通報，稱包括百度地圖、高德地圖及騰訊地圖在內的5款地圖類 APP 存在申請的敏感權限與實際功能不符的情況。

上海市消保委稱，評測的5家地圖類 APP 均存在過度獲取用戶敏感權限的問題。其中，騰訊地圖獲取敏感權限數量最少，只有7個；百度地圖獲取敏感權限最多，為14個；搜狗地圖、高德地圖、圖吧導航獲取敏感權限的數量分別為10個、11個、13個。

這些應用申請的敏感權限與實際功能不完全對應，部分應用申請的權限甚至未找到對應的實際功能。並且缺少讓消費者“一次性授權”的選項（“一次性授權”即用戶授權 APP 使用相關權限僅限當次使用），一些與用戶隱私相關的通信錄、簡訊等敏感權限，一旦授權則 APP 將永久獲取該權限。

當然，用戶可通過系統設定的後台關閉其權限，不過，大多數用戶可能連這些 APP 申請了什麽權限都不知道。比如，從2010年起，高德地圖就在安卓系統中要求“讀取聯繫人”“讀取簡訊”等敏感的通訊錄資訊，持續至今。此外，這些設定一般入口較深，普通用戶很難知曉。

有的應用甚至利用技術手段繞開手機系統的授權流程。上海市消保委點名一款名為“圖吧導航”的 APP，該 APP 獲取的13個敏感權限中有8個未找到對應功能。

“圖吧導航通過設定較低版本的系統適用環境，繞開較安全的安卓6.0系統，獲取敏感權限，存在一定的安全風險。”上海市消保委在通報中稱。

通報發出後，幾家 APP 的都迅速回應稱將下線相關權限。

高德地圖稱，正在緊急對相關權限進行下線處理，並在7月20日發布新版，新版本中將全部取消獲取用戶通訊錄等權限申請。百度回應稱將在後續的版本中去除簡訊分享的功能，從而不再獲取發送簡訊的權限。此外表示將針對通訊錄和簡訊這兩個權限將進行單次授權的優化。騰訊地圖同樣稱，已在安卓版本中停止獲取通訊錄權限，IOS端會在後續更新中刪除該權限。

三家的聲明中，對涉及獲取用戶通訊錄、簡訊等權限的解釋是為了向聯繫人分享位置。這個解釋的說服力十分有限。這年頭，還有人用簡訊去分享個人位置嗎？據了解，高德地圖從2008年就申請了該權限，考慮到當時的網絡環境社交網絡尚不發達，但十年過去，這一權限申請一直存在。

7月21日，尋找中國創客（ID：xjbmaker）記者使用3台不同的安卓手機實測發現，百度地圖、高德地圖、騰訊地圖三款地圖類應用中，高德地圖、騰訊地圖已下線獲取用戶通訊錄、簡訊等相關權限，在百度地圖的權限管理列表裡的隱私相關選項中，仍包含讀取簡訊、監聽電話、讀取聯繫人等項目，不過這些項目的狀態為“詢問”，這些項目在高德和騰訊地圖隱私相關選項中不存在。

3個地圖APP實測截圖

“手機百度”曾因申請“監聽電話”權限被起訴

上海消保委副秘書長唐健盛在接受媒體採訪時作了一個比喻，“‘權限’好比消費者家裡的大門鑰匙，如果沒有必要，APP開發者就不應該去拿，而且不用了也應返還給用戶。”

現實是，把別人家鑰匙揣自己兜裡的人不在少數。2017年，江蘇省消保委曾對市場上二十多家出行旅遊、影片動畫類APP 侵犯用戶個人資訊的情況做了一次調查，包括愛奇藝、攜程、去哪兒等多個 APP 均存在不同程度的侵犯用戶敏感權限的行為。

江蘇省消保委約談了相關企業後，大部分 APP 都進行了整改，刪除了不必要的敏感資訊。不過，兩款百度旗下軟體在一眾 APP 中有些“特立獨行”。

百度旗下的“手機百度”、“百度瀏覽器”兩款 APP 在江蘇省消保委的調查中被指申請了“監聽電話”、“讀取短彩信”、“讀取聯繫人”多個敏感權限，但百度一直“消極應對”江蘇省消保委的調查，最終提交的整改方案也對申請的敏感權限“拒不整改”。

去年12月，江蘇省消保委提起了消費民事公益訴訟，把百度告上了法庭。今年1月，南京市中級人民法院正式立案， 這是全國首例針對個人資訊安全提起的公益訴訟。

成為被告後，百度的態度緊急轉彎。相關媒體報導中稱，“立案後，百度公司主動與省消保委聯繫，態度端正，前後多輪派員前來當面溝通，並就方案制定及軟體優化更新改造情況進行匯報。”

今年3月，江蘇省消保委宣布，鑒於百度公司對 APP 整改到位，撤回了對百度的起訴。有意思的是，當月底舉行的中國發展高層論壇上，百度創始人兼CEO李彥巨集發表了一通“中國人願用隱私換效率”的言論，引發不少爭議。而另一邊，Facebook的小扎正在為Facebook泄露用戶數據的事件登報導歉。

APP收集隱私資訊一般用於“行銷”

為什麽這麽多 APP 都熱衷於搜集用戶的敏感數據？

IT行業分析師唐欣表示，通訊錄的一大作用是可以實現社交。對於大部分工具類的 APP來說，如果只有純粹的工具屬性，APP 的用戶流失率較高。而通過通訊錄則可以快速地在產品內部構建一個社交網絡，提升APP 的用戶留存率和活躍度。

前段時間，航旅類 APP 航旅縱橫就曾在應用內上線“虛擬客艙功能”，可以實現同機艙乘客在一個虛擬視窗下的交流，被指試圖向社交化轉型。但因為用戶可通過這個功能查看同艙乘客的歷史飛行地點及頻率等隱私資訊，而引發公眾對於隱私泄露的擔憂。

這樣的例子不勝枚舉，今年7月，有用戶稱使用微信登錄大眾點評後，會看到“微信好友去過的餐廳和酒店”，大眾點評之後發表致歉聲明，並對 APP 內功能進行整改。

頂象技術安全專家田際雲則表示，相關 APP 申請用戶的隱私權限“一般會用於行銷”，包括內容或服務推送、廣告推送、管理推廣等，例如像用戶的通訊錄好友推送服務，引導用戶的好友下載，從而提升 APP 的下載注冊量。

同時，收集用戶的敏感資訊可用於大數據的精準分析，可得到用戶喜好、行為、習慣、行程等，從而刻畫出用戶畫像，為企業提供更精準的服務和行銷做準備。“現在興起的人工智能，同樣離不開數據的分析。”田際雲說。

需要注意的是，相關 APP 搜集的用戶敏感資訊存在一定程度的泄露風險。田際雲稱，一般平台方會將用戶資訊保存在相關伺服器及雲端，用於用戶行銷或分析，一旦該APP因為安全漏洞或其他問題泄露，就可能導致用戶資訊大面積泄露。

事實上，我國《網絡資訊安全法》中對網絡運營者搜集個人資訊作出明確表述，要求必須經被收集者同意，且不得收集與其提供服務無關的個人資訊。然而在實際操作中，很多 APP 會在第一次使用時在隱私條款中注明，但絕大部分人都是直接忽略同意。

田際雲告訴記者，蘋果手機可以根據個人需求對APP做權限控制，部分安卓手機也可以。他建議用戶多選擇大公司、知名公司的 APP，並且去正規商店或官網下載，降低被濫用的可能。

尋找中國創客小程式上線啦！

輕戳，輕鬆讀懂創投圈

本文為尋找中國創客原創

未經授權不得轉載