天极传媒：天极网全国分站
您现在的位置：
& >>手机APP过度索权的背后 竟是这么回事
手机APP过度索权的背后 竟然是这么回事
Yesky天极新闻
作者：August
责编：熊嫒
　　【天极网网络频道】确实为我们带来了极大的便利，但同时也带来了一系列安全隐患，不少APP趁机向用户索取位置、通讯录等隐私信息，比如写作业APP会读取用户位置、云笔记APP会默认获取用户通讯录等等。
　　大家都知道，当我们安装一款APP时，会有“用户协议”阅读并同意选项，不过大多数时候我们都忽略了这一步骤，直接安装。事实上，这些所谓的“同意、信任”暗藏玄机，通过“调用”和“启用录音”等不断获取权限，从而获取用户信息。
手机APP过度索权的背后 竟然是这么回事
　　有媒体报道称，上安装的61款软件中，所有APP都有“读取已安装应用列表”权限，由此可以了解用户的行为习惯及分析同行情况;第二受关注的权限就是“读取本机识别码”，这是用于确定用户，因为每个识别码都是独一无二的;第三则是“读取位置信息”权限，以此可搜集用户的活动范围。
　　比如，、APP默认获取权限、共享通讯录、位置信息等，版关闭位置权限后无法使用(iOS不会)，OFO共享单车也要求共享通讯录权限，而这些权限对应用本身是根本不需要的。
手机APP过度索权的背后 竟然是这么回事
　　DCCI互联网数据中心在《2016年中国隐私安全报告》显示，13%的非游戏类APP越界获取“位置信息”权限，9.1%的非游戏类APP越界获取“访问联系人”权限;高达26%的APP越界获取“位置信息”权限。
　　业内人士透露，滥用权限的背后，涉及当前互联网企业的商业逻辑。当前各大APP都热衷于“个性化推荐服务”，而要想做到精准就必须尽可能地多掌握用户数据，“不管有用没用，多收集一点总没坏处。大数据时代，没人知道哪些数据会成为重点，足够多的数据才是重点。”
　　而APP越界索取用户权限，也就让用户信息泄露的风险增大，尽管有关部门早已有明文禁止，但处罚力度不够、效果甚微。
　　这时，就需要消费者自身保护好隐私安全，尽量少安装APP(还占)，就算必须使用也得在安装好之后及时前往“设置”关闭不必要的权限(前提是能正常使用)，并采用、管家等一系列手机安全软件，随时查看、清理恶意信息。
（作者：August责任编辑：熊嫒）
天极新媒体&最酷科技资讯扫码赢大奖
* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
DIY整机企业级软件APP乱象 “隐私越轨”背后的商业牟利 - 长江商报官方网站
长江商报新闻热线：027-
当前位置： > APP乱象 “隐私越轨”背后的商业牟利
APP乱象 “隐私越轨”背后的商业牟利
长江商报消息 据中国互联网数据中心数据显示，在国内各类Android市场下载量前1400位的APP内，有66.9%的智能手机移动应用在抓取用户隐私数据，其中，34.5%的移动应用有“隐私越轨”行为。
“隐私越轨”行为是指APP抓取用户隐私信息并非APP服务功能所必需。报告认为，61%的短信记录读取权限，73%的通话记录读取权限，是移动应用功能中不必要的权限，即存在“隐私越轨”行为。
记者采访中发现，一些第三方应用通过出售信息、绕开安全应用与硬件厂商联合牟利的现象也大量存在。
“隐私越轨”愈演愈烈
腾讯移动安全实验室专家陆兆华表示，APP读取用户隐私正在被大众逐步地认知，但这一现象也在进一步抬头，窃取用户核心隐私的趋势正在加强。
截至2013年第一季度，据腾讯移动安全实验室软件池数据分析显示，含广告插件的APP总数为2038139个，在所有软件样本中占比43.5%；广告插件类APP已成为手机用户隐私的巨大威胁。
上述机构还抽取了近470万个软件包进行代码扫描，分析软件中是否同时含有申请隐私权限以及读取隐私信息的API结果相关代码问题。统计发现：有读取用户隐私权限的相关操作的软件比例达到71%，即有超过333万个软件包同时申请了隐私权限，且含有读取用户的隐私权限相关操作的代码。
权限是否“必需”成判断标准
在这333万个软件中，读取设备识别信息与本机手机号的占比61.75%与28.33%；读取地理位置信息的占比28.27%；读取通讯录的占比10.29%，读取短信的占比4.22%；打开手机摄像头与录音器的分别占据4.15%与3.75%的比例；读取通话记录的占比2.86%；读取浏览器书签的占比7.93%。
陆兆华表示，一款应用是否属于过度读取隐私权限，主要是看该款软件读取该项隐私权限是基于什么目的，即是否属于功能必需的范畴之内，反之则属于“隐私越轨”行为。
一般而言，安全软件、系统管理软件、通讯软件、社交软件等软件针对用户的通讯录等隐私读取是在合理的权限之内，而LBS、手机地图软件、导航软件等针对用户的地理位置读取与定位也属于合法的权限范畴等。但例如一款游戏软件或壁纸软件需要读取用户的通讯录和短信信息则大可不必。
用户关键隐私受严重威胁
360方面人士表示，2013年上半年的热门应用中，一款应用拥有1-5个隐私权限的应用比例达64.5%，拥有6-10个隐私权限的应用占28%，11个以上权限也要占4.9%，不申请任何隐私权限的仅为2.6%。
以热门手机游戏“神庙逃亡”为例，腾讯手机管家针对在Google Play上下载的官方正版Temple Run（“神庙逃亡”）、含广告插件版Temple Run（以下简称”神庙逃亡”）、被植入了病毒代码的伪“神庙逃亡”三个版本的软件权限读取情况进行了对比研究，结果统计发现，官方正版的“神庙逃亡”没有读取隐私权限；而含广告插件的“神庙逃亡”读取了手机号、GPS、IMEI和IMSI、拍照、浏览器书签、弹通知栏通知共6项权限；被打包了“病毒代码”的伪“神庙逃亡”则读取了11项权限，在广告插件类“神庙逃亡”读取的6项权限的基础上，还获取了联系人、通话记录、发送短信、拨打电话这4项用户核心隐私权限，用户的关键隐私遭受严重威胁。
据第一财经日报
通过软件权限获取用户信息
记者发现，某知名手机输入法应用读取的用户权限包括5种，分别是：获取短信内容、获取联系人、获取通话记录、手机定位以及获取手机识别码。该软件一名内部人士介绍了如下信息：
获取手机识别码
基本是每一个手机应用都会调用的权限，主要为了获取该手机的型号来进行应用适配，以及将本地手机号码作为登录账户。
获取短信内容
是为了方便让输入法做到快捷输入。
获取联系人
是为了导入用户的好友联系人来优化词库，也是为了方便用户在手机上的便捷输入。
是为了扩充输入法应用基于用户流量的商业模式，比如你用输入法敲打“餐馆”这个词，输入法可能会基于你所在的地理位置来推荐附近的餐厅。
获取通话记录
据调查，调用“获取通话记录”权限的热门应用还包括微信、手机QQ等。
金山安全反病毒工程师李铁军表示，一些应用调用“获取通话记录”权限主要是为了获悉用户的通话状态，在用户来电话时，软件会采取相应的动作。例如，音乐类应用，当用户接电话时，需要暂停音乐播放。而一些语音类应用也可能会调用该权限，但如果是其他种类应用调用该权限的目的就不好说了。
由于收集地理位置、设备识别信息、本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告，并进行有效的用户消费行为分析，符合部分急功近利的广告商的利益诉求，APP开发者也可以因此而获取广告分成，因而获取这类信息成为某些不正规广告商与APP开发者共同的核心利益。
——腾讯移动安全实验室专家陆兆华
APP软件“隐私”
背后的商业牟利
这些被泄露的用户隐私，变现的渠道包括用户隐私信息的出售，以及自身的广告推广。而获得用户隐私信息的买家，则可能用于垃圾短信、骚扰甚至诈骗电话等，或者为广告公司牟利。
而与此同时，广告插件类APP读取联系人、通讯录等核心隐私的现象也大规模存在。
联想移动终端事业部软件产品经理陈宇表示，对第三方应用开发者来说，他们希望调用的用户权限越多越好。
调用用户权限越多，就越了解用户信息，越接近ROM（存放手机固件代码的存储器，近似于操作系统）的价值，其商业价值就越大。
通过查看一款手机应用调用了哪些权限，如果这些权限不是拿去出售而是自用，也可以大致了解该应用未来可能涉及的一些商业模式。
第三方应用是否涉非法
未来将依赖于监管
还有一些应用调取了“发送短信”的权限。例如，天气类工具应用墨迹天气，可能是出于功能上对天气服务的短信推送需要。而其他的一些应用调取该权限，也可能是需要通过发送短信来认证注册。但在申请得到了该权限后，第三方应用未来会否涉足非法行为，这就依赖于监管了。
为了获得收益，一些应用商店在热门软件中植入恶意广告和病毒木马，并通过应用软件升级来切换成自己开发的“伪应用”的事情也屡有发生。此外，今年1月，通过MDK后门程序，控制者可以随时窃取并上传用户短信内容、私人照片和通讯录，并在后台悄悄下载大量软件，也会消耗大量手机流量。
联想移动终端事业部软件产品经理陈宇表示，目前一些对外宣传可以屏蔽第三方应用权限的安全软件，也并非能做到真正地屏蔽。例如调用“获取手机定位”权限的应用，如果安全软件直接屏蔽掉该功能可能导致用户无法启动该应用，而一些安全软件的做法就是通过给该应用输出一些虚拟的地理位置信息，来达到保护用户隐私的目的。据央视、中新社股票/基金&
安卓成恶意应用重灾区 手机安全软件不可少
　　在央视3?15曝光了部分Android手机应用滥用权限，窃取用户隐私信息后，手机应用权限滥用问题被各界广泛关注。但目前手机应用的权限管理仍然无规范，大量Android手机应用还在肆意读取用户隐私信息。　　笔者随意安装了一款常用的输入法软件，结果发现该输入法软件存在获取手机位置、手机识别码等与输入法本身无关的权限。而似乎所有手机应用都存在获取用户手机位置、手机识别码的权限，这也成用户隐私泄露的重点。　　另据腾讯移动安全实验室《2013年2月手机安全报告》显示，隐私获取类手机病毒占据总病毒的19.2%，仅次于资源消耗类手机病毒。隐私获取类病毒与滥用权限的手机App一起成为手机隐私泄露的主要途径。　　据了解，由于Android手机应用至今无有效盈利模式，大量手机App以免费形式提供给用户使用，加之应用同质化严重，竞争异常激烈。90%的Android应用开发者没赚到钱，因此通过窃取用户隐私，将手机号码、位置信息等出售给广告商、诈骗团伙成为他们的牟利方式。　　这也是为何手机App权限管理混乱，窃取隐私严重的主要原因。对此，我们除了呼吁Google对Android系统的手机应用权限管理进行有效规范，以及监管部门出台相关限制手机App滥用权限外，普通手机用户最好安装手机安全软件，可以更好的了解手机应用都在获取哪些权限，是否存在安全隐患。　　目前，腾讯手机管家是安卓手机用户使用最多的手机App应用监控软件之一，可以轻松的查看每一款应用获取了哪些权限。若安卓手机获取了Root权限，用户通过手机管家的隐私监控还能够直接关闭一些用户不想要的权限。　　此外，当有手机App偷偷读取用户敏感信息的时候，腾讯手机管家会自动弹窗提醒用户拒绝读取，如果用户在15秒内不做处理，手机管家则会自动帮助用户拒绝手机App读取敏感信息，从而有效保护用户隐私。　　手机安全专家表示，当越来越多的安卓手机应用肆意读取用户隐私信息，肆意调用手机权限，安卓手机将变得及其不全。当前最有效的防范方法就是下载安装专业手机安全软件，并开启隐私监控，让恶意软件、手机病毒不敢肆意妄为。
04/11 05:4204/10 08:0804/10 00:2504/09 12:0204/09 10:0404/09 07:0004/07 16:3604/07 16:32
暂无专家推荐本文
同时转发到我的微博
将自动提交到和讯看点，
请输入您的观点并提交。
请输入您的观点 168字以内
同时转发到我的微博置顶我的观点
科技精品推荐
每日要闻推荐
精彩焦点图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。彩虹糖4052
主题帖子积分
彩虹糖：4052
权限管理为什么不能禁止软件获取手机识别码和本机号码
&查看：1170
OPPO R9（全网通）
R9tm_11_A.26_160716
手机管家 > 权限管理
下了个恶意软件，获取走了手机识别码和手机号码，造成经济损失，权限中心并没有此类权限禁止，
满意度评价
彩虹糖4052
主题帖子积分
彩虹糖：4052
来自OPPO OPPO R9tm手机
短信权限是给的禁止发送，所以不是发送代码扣费，信息也没有发送记录
彩虹糖18762
主题帖子积分
彩虹糖：18762
来自OPPOR9PlusmA手机
麻烦工程师看一下…
彩虹糖5964
主题帖子积分
彩虹糖：5964
缺少相关软件信息以及权限配置截图，请补充上传以上信息。
彩虹糖4052
主题帖子积分
彩虹糖：4052
来自OPPO OPPO R9tm手机
相关软件已删除
彩虹糖4052
主题帖子积分
彩虹糖：4052
来自OPPO OPPO R9tm手机
你会留着那种软件？
彩虹糖26331
主题帖子积分
彩虹糖：26331
来自OPPOR9PlusmA手机
你好，并不是所有的程序都会禁止其权限的，当应用读取权限时会有响应提示，如果不需要可以在安全中心，权限管理中禁止
主题帖子积分
彩虹糖：102
来自OPPOR9s手机
缺少手机软件识别码
主题帖子积分
来自OPPOR9m手机
怎么才可以禁止读取手机识别码
申请条件：限时申请，截止日期2月11日，鸡年大吉。
仅限在新年期间申请开放
申请条件：截图公测qq群中的证明信息，提供公测名称和群里的号码。截图并发私信给管理员阳光
申请条件：截图内测qq群中的证明信息，提供内测名称和群里的号码。截图并发私信给管理员阳光
申请条件：截图微博关注ColorOS账号，并私信发图片给管理阳光
申请条件：截图微信关注ColorOS账号，并私信发图片给管理阳光
申请条件：限时申请，截止日期8月10日，单身快乐经验2894 米
在线时间92 小时
版本7.3.23
积分 2955, 距离下一级还需 2045 积分
积分 2955, 距离下一级还需 2045 积分
机型小米手机4c
签到次数107
MIUI版本7.3.23
我在MIUI6之前都是有的功能，现在MIUI8没有了，其实应该很有需求。需要开发人员可以考虑一下加入
分享到微信朋友圈
打开微信，点击底部的“发现”，使用 “扫一扫” 即可将网页分享到我的朋友圈。
经验30229 米
在线时间298 小时
版本7.11.17
机型小米手机3/4 WCDMA版
签到次数55
MIUI版本7.11.17
MIUI8。6.0有的
经验30229 米
在线时间298 小时
版本7.11.17
机型小米手机3/4 WCDMA版
签到次数55
MIUI版本7.11.17
Screenshot_-00-37-09-478_com.miui.securitycenter.png (148.4 KB, 下载次数: 0)
经验2894 米
在线时间92 小时
版本7.3.23
积分 2955, 距离下一级还需 2045 积分
积分 2955, 距离下一级还需 2045 积分
机型小米手机4c
签到次数107
MIUI版本7.3.23
我是小米4C用户
已关注微信
已关注极客秀微信
关注腾讯微博
已关注腾讯微博
关注新浪微博
已关注新浪微博
万圣节勋章
参加回帖活动
MIUI七夕鹊桥勋章
MIUI七周年
MIUI 9纪念勋章
小米众筹2周年
参加回帖活动
小米7周年勋章
2017米粉节晒单赢专属勋章
“澎湃S1 ”芯片纪念勋章
参与活动回帖可得
APP 1000万
MIUI论坛APP注册用户突破1000万纪念勋章
MIUI 300周
MIUI 300周更新纪念勋章
为奥运加油勋章
为奥运加油勋章
MIUI六周年
MIUI六周年纪念勋章
Copyright (C) 2017 MIUI
京ICP备号 | 京公网安备34号 | 京ICP证110507号