IT时报 -V1 时报要闻-
V1 时报要闻 下载阅读 下一版
1时报要闻
  • ·迅雷:互联网区块链第一股的“烽火连三月”
  • ·百度百度、、支付宝支付宝,,为何读取为何读取我的通讯录我的通讯录??
  • ·什么值得借?

百度百度、、支付宝支付宝,,为何读取为何读取我的通讯录我的通讯录??

记者实测数十款App,大量安卓App“过度”索取用户手机权限

  

IT时报记者章蔚玮潘少颖
近日,有媒体爆出国内不少App存在强制向用户索取隐私权限的行为。《IT时报》记者调查发现,来自不同应用商店的同一款App对用户隐私权限读取要求竟截然不同——在安卓平台上要求读取的通讯录、通话记录等权限到了苹果应用商店竟全都不见了踪影,是这款应用的功能改变了吗?并不是。
据了解,目前国内手机App审核上线是一种企业行为,由平台制定审查规则,而App 开发者在申请地理位置、通讯录、通话记录等涉及用户隐私的权限时,无需提供任何资质备案,上线后还可随时开通,因此想要获取涉及用户隐私权限几乎没有阻碍,这种情况在安卓应用市场尤为严重。
事实上,根据2017年7月1日实施的《移动智能终端应用软件预置和分发管理暂行规定》,移动智能终端应用软件不得调用与所提供服务无关的终端功能,但由于并无细则落地,不少App都在“浑水摸鱼”。

记者实测对用户隐私权限的索取因平台而异
  同一款App为何在安卓手机应用商店和苹果应用商店内提出截然不同的权限要求?记者对比了来自金融、公共服务、搜索、娱乐四个领域的十款App后发现,绝大部分App对用户隐私权限的索取都因平台而异。
从华为手机自带的应用商店内下载的“百度”App,在默认状态下,不仅被“允许”读取用户联系人、通话记录、位置信息,同时还被允许新建/修改通话记录。作为一款浏览器,百度是否需要调用这么多与用户隐私相关权限?记者又打开从苹果商店内下载的“百度”,根据系统显示,“允许百度访问”的权限仅包括:照片(读取与写入)、位置、麦克风、无线数据、Siri与搜索、后台应用刷新等七项权限,并不涉及用户通话、联系人等隐私权限。同时为获得用户对其位置服务信息授权,百度还明确备注了“为了你使用天气、本地资讯及个性化搜索等服务,请允许百度App访问位置信息。”
同样的情况也发生在支付宝。从OPPO手机的安卓商店下载支付宝,默认状态下,被允许读取用户电话、通讯录、短信、位置信息、相机、麦克风等近二十项权限。而从苹果商店内下载的支付宝App,初始状态下,仅允许访问“位置、面容ID、Siri与搜索、通知、无线数据、后台应用刷新”七项权限。在实际使用中一旦涉及转账等功能,系统会弹出窗口询问用户“是否允许访问您的通讯录”。
为何在苹果应用商店内不需要调用的通讯录、通话记录等隐私权限,到了安卓应用商店就成了必选项呢?记者在一位华为手机用户的权限设置项中看到,总计45个应用中,默认状态下,被允许读取联系人权限的应用达36个,允许读取短信权限达到28个,允许读取通话记录权限达到15个,允许读取位置信息达到44个,允许读取本机识别码达到45个,而在要求开放通讯录等隐私权限的App中,九成以上并未在苹果应用商店内索取同类权限。
与苹果商店对App的权限审核相比,安卓应用商店的大部分应用对用户隐私的调用不仅涉嫌“越权”,同时缺少明确交代,比如一款音乐类App究竟会在什么应用场景下需要获取用户的通讯录?
在记者调查的数十款App中,铁路12306火车票平台的做法最为规范,不仅在安卓应用商店和苹果应用商店内申请读取权限一致,同时对调用权限的用途进行了明确说明,比如对于申请开启的电话权限,12306的说明是“为方便拨打客服电话”,同时在最后注明“不使用这些功能,可不开启权限,不影响正常购票。”在铁路12306申请开通的4项权限中,默认状态都为关闭。

应用商店管理宽松
  “这些权限都不是应用商店审查的重点。”据业内人士透露,目前App上线审核由各家应用商店自行完成。不同商店对审核的规则各有不同,除了对涉及金融理财、支付类App有明确资质审核外,其余权限都非重点审核,同时由于类似地理位置、通讯录、通话记录等涉及用户隐私的权限申请,开发者不需要提供相关资质,因此在审核过程中很难做到有据可查。“审查最为严格的苹果商店也只能根据应用软件在申请时进行的功能说明来判断是否需要开通涉及用户隐私权限功能。”上述人士透露,为了规避审查风险,在市场上还存在违规应用软件事后补上线的做法。
(下转第3版)