发布时间:2022-11-13 07:20:16 文章来源:互联网
微博 微信 QQ空间

360借条开启通讯录权限,安装时一揽子索要通讯录、相机等权限,斗米、虎牙直播等遭举报

刚下载安装App,即要求一揽子同意并默认打开电话、位置信息、麦克风、通讯录等权限,51信用卡管家、闪送、斗米、Wi-Fi万能钥匙、360借条等遭用户举报。

4月2日,“App个人信息举报”微信公众号发布消息称,在受理用户提交的App违法违规收集使用个人信息的举报中,这是很典型的一类问题。

经过分析,此类问题在于App所声明的Target SDK Version(目标SDK版本)值小于23,这意味着App使用的是低于6.0版本安卓系统,可以一次性申请所有可能用到的权限,同时安装App后权限便是默认开启状态。

隐私护卫队了解到,去年电信终端产业协会联合八大主流应用市场发起自律公约,将拒绝上架和更新低API等级应用,并倡议今年5月1日,新上架和预置应用应基于Android 8.0(API等级26)及以上开发。

十款App涉嫌一揽子申请并默认开启权限

今年1月28日,中央网信办、工信部、公安部、市场监管总局等四部门召开新闻发布会,联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》。

根据该公告,受上述四部委委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组,并于3月1日上线“App个人信息举报”微信公众号,受理对App违法违规收集使用个人信息的举报。

据App治理工作组介绍,最近收到很多用户反馈,某些App在用户安装时就声明索要所有权限,一旦安装,这些权限就默认打开了。

App一次性申请权限过程。图自“App个人信息举报”

App治理工作组披露,除前述5款外,平安惠普、瓜子二手车、虎牙直播、拉钩招聘、汽车之家等App也存在这种情况。

十款App目标 SDK版本值小于23,即安卓系统低于6.0版本。

App治理工作组对此类问题进行分析,发现共性问题,这些App所声明的Target SDK Version值小于23。Target SDK Version对应着App开发时设置的API(应用程序编程接口)等级。App对应的API等级越高,通常在权限管理和安全设计机制方面更加完善。

十款App下载安装后权限默认打开。图自“App个人信息举报”微信公号

隐私护卫队了解到,API等级23对应的是安卓系统6.0版本,低于6.0版本安卓系统允许App一次性申请所有可能用到的权限(包括通讯录、相册等“危险权限”),同时安装App后权限便是默认开启状态。API等级大于23的,并不会一次性申请所有权限,而会在用户使用过程中确需用到某项权限时,实时向用户申请。

设置较低目标API等级,为绕过新系统保护机制

从安卓系统6.0版本开始,获取用户敏感权限就需要单独授权。目前国内主流安卓系统已经升级至6.0及更高版本,较新的一个版本是9.0(API等级28),增加了更多的安全设计。

随着安卓系统的持续升级,为何还有App将API等级设置低于23,继续延续低于6.0版本时的授权机制呢?据隐私护卫队了解,安卓系统具有很高的兼容性,即便开发者的应用是针对旧版系统开发的,也能在新版系统上运行。同时新系统很“大度”,会允许应用沿用旧的API 交互方案。

有专家分析,一些应用开发者故意设置较低的目标API等级,而低API 等级应用运行在高版本的安卓系统上,可绕过新系统的信息保护机制。由此一来,用户若想正常安装使用,就必须进行打包授权,不能把部分不必要的敏感权限关掉。

不过,也有App开发者回应称,一些用户的安卓手机比较老、操作版本低,特别是边远贫困地区,这是为了兼容老版本便于更多用户使用。

对此,App治理工作组建议,既想兼容老版本又真心想对用户个人信息负责的App,可以提醒用户在安装完毕后逐项关闭权限,需要某项权限时再提醒用户打开。

自5月1日起,API等级低于26的应用将被拒绝上架

2018年11月,中国泰尔实验室、电信终端产业协会和中国互联网协会联合发布《智能终端产业个人信息保护白皮书》指出,目前国内应用达到目标 API 等级 26 及以上的比例大致为 10%,低API等级应用规避安卓安全机制、权限申请过度现象严重等现象存在的风险值得关注。

其实早在去年7月,电信终端产业协会便发起《移动应用软件高API等级预置与分发自律公约》,倡议开发者使用 Android 8.0 (API 26)及以上的版本进行应用开发,以保护用户权益。

上述自律公约规定,自2019年5月1日起,新上架和预置应用应基于Android 8.0(API等级26)及以上开发。自2019年8月1日起,现有应用的更新应基于Android 8.0(API等级26)及以上开发。

OPPO、华为、百度、360、阿里、小米、vivo、腾讯等八家发起单位共同签约该自律公约并表示将严格遵守和履行自律公约规定,拒绝上架和更新低API等级应用。

针对涉嫌一揽子申请并默认开启权限,或Target SDK Version低于23的App,App治理工作组也表示,请广大网友继续反馈情况。

用户可扫描关注“App个人信息举报”微信公号。

采写:南都记者李玲

另一视角

换一换