APP“越权”:把用户信息当不设防的跑马场?

2017-08-09 17:37 来源:光明网-时评频道 
2017-08-09 17:37:37来源:光明网-时评频道作者:责任编辑:陈城

  作者:佘宗明

  在智能手机已普及的当下,用户的手机桌面,已成了装机量考核牵引下的APP们的“兵家必争之地”。但当下,有些APP却并不怎么“本分”。

  日前有媒体报道,现在有很多APP权限不但五花八门,有些还涉及用户的个人隐私,比如“读取短信”“读取联系人”“读取通话记录”,甚至“监听电话”“修改通话记录”等。

  你下载个地图APP,它可能要监听你的电话;你下个应用分发软件,它可能修改你的通话记录……想想就觉得“闹心”:有句话说“不想当裁缝的厨子不是好司机”,莫非不想“越权”的APP不是好应用?总想着掌握和软件功能无关的权限,真把用户信息当不设防的跑马场,想怎么染指就怎么染指?

  但这类“不正经”的APP,还真不是一个两个。早在2013年央视“3·15”晚会上,多款安卓APP调取用户隐私信息,比如通讯录、地理位置信息,甚至将用户名和密码以明文形式传送的问题就遭曝光和聚焦。当时360互联网安全中心数据还显示,其时有近4成的手机游戏存在调用过多权限的情况,导致通讯录、短信等用户敏感的数据被随意读取,有的APP还加入了恶意扣费代码。“不告而取谓之窃”,有些APP就是未经用户许可强行调用,还有的虽然表面上告知了,也是伴着“可能影响正常使用”提示的软性强制,跟强取没太大差别。

  这些APP其实是在钻安卓操作系统“开源设计”的漏洞:安卓系统不像iOS系统那样封闭,将那些私人信息放在设备上而非云端,其开放性也导致了安全性的部分让渡。有些手机厂商和第三方APP能读取用户的通讯录、短信等信息,也能逼着用户卸掉其他不兼容的APP,这也导致有些APP为了不被后台清理而强行“超出”权限。

  尽管2016年12月发布、今年7月1日正式实施的《移动智能终端应用软件预置和分发管理暂行规定》明确了,生产企业和互联网信息服务提供者所提供移动智能终端应用软件,不得调用与所提供服务无关的终端功能。今年新推出的《网络安全法》也要求,厂商收集和使用用户信息,需要明示同意,明确披露信息用途、适用范围、时效等。

  可从工信部公布的2017年二季度检测发现问题的应用软件名单看,42款软件中不少就涉及未经用户同意,收集、使用用户个人信息;恶意操控用户手机等。这些问题会否在法规实施后被迅速清理,着实难说,毕竟现在大数据越来越重要,而APP“越权”能攫取很多用户数据,还方便了今后调用那些看似多余的功能,这对其有利可图。有些应用商店和APP开发者是同一家或友商,审核时也难免“开后门”。

  而APP随意“越权”,导致信息泄露的风险不小,特别是某些无良APP,很可能借机贩卖用户信息。这不是杞人忧天:腾讯社会研究中心与DCCI互联网数据中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2017年一季度)》就表明,手机APP越界获取个人信息,已经成为网络诈骗的主要源头。

  去年的徐玉玉事件发生后,无论是立法还是执法、司法层面,国家对电信诈骗和信息泄露的治理都迎来了堪称质变的“系统升级”。可如果仍留下APP“越权”调用信息这个bug,那也就意味着,个人信息“安全门”并未完全合上。

  基于此,法律层面显然该对用户数据的归属权、使用权确权,并对侵权行为的处罚力度与主题加以明确,可对APP“越权”的情况采取从“禁入”到警告的梯度惩戒机制,也强化应用商店的把关责任。此外,就算有些APP调用某个权限是否属于滥用难以甄别、它可能是为了提供更多服务,那也得经过用户授权——这里的授权,必须是以通过跳出对话框等方式明示其信息及用途、不得跟软件垂直功能捆绑或拒绝服务为前提,经过用户确认,并允许取消授权,而不是用户授权协议上做手脚,将隐私条款藏在协议中“半掩琵琶半遮面”,还无限制收集和使用。

  用户隐私不是能随意“破门而入”以窃取的后花园,对于APP读取用户隐私权限,在列红线之外更要做出更明细的界定,如“与所提供服务无关”如何界定,怎么避免被钻空子被绕开规定,如果违规了怎样溯责……总之,不能让公众成为数据安全防线轻易失守的受害者。(佘宗明)

[责任编辑:陈城]

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有

立即打开