央視：安卓對手機權限幾無限制 用戶隱私面臨威脅

　　被濫用的手機權限

　　共同打造高質量的生活，歡迎收看《每周質量報告》。根據相關統計，目前我國智能手機的用戶已經超過了4個億，可以說我們現在已經進入了一個移動互聯的時代。手機上網在給我們帶來了巨大便利的同時，也帶來了一些新的隱患和問題，而且有很多隱患可能是我們作為用戶平常并沒有注意到的。比如所我們在使用手機下載軟件的時候，有很多軟件要求我們開放通訊錄、短信、圖片、地理信息等涉及到隱私信息的手機權限，否則就無法正常下載和使用這些軟件。那么，這種近似強制性的要求開放隱私權限的目的到底是什么呢？來看今天的記者調查。

　　撥打電話權限、發送短信權限、獲取手機號權限、訪問聯系人權限、讀取地理位置信息權限，如今智能手機用戶下載更新一款軟件時，常常會遇到這樣的要求，而這些權限正是廣大手機用戶需要保護的隱私內容。

　　手機用戶 王冰：

　　“一共有10個，10個選項?！?/p>

　　手機用戶小王在下載一款團購網站時，發現這款軟件要求開放10多個手機權限，其中包括撥打電話、讀取通訊錄等隱私權限，這讓她感到十分感到擔憂。

　　手機用戶 王冰：

　　“涉及到通訊錄啊還有個人信息什么的。而且有的里面，像剛才說到有一款(軟件)里面有一個敏感日志、數據之類的(權限)，這些有可能就會涉及到我們的隱私?！?/p>

　　小王發現，一些僅僅起到閱讀、購物等功能的軟件，也像導航、通訊軟件一樣，要求用戶開放編輯短信、精確地理位置等權限。這樣的權限要求讓小王感到難以理解。

　　手機用戶 王冰：

　　“如果這款軟件不是特別必要的話，它要求過多的權限，可能我就不會選擇這款軟件，我就覺得可能會泄露我的隱私。”

　　記者了解到，目前我國安卓系統的手機應用軟件已經接近70萬個，由于安卓系統極端開放的特性，大量的金融、購物、視頻閱讀、工具以及游戲軟件，大都要求手機用戶開放各類手機權限，其中涉及隱私的權限就達30多個，其中撥打電話、發送短信、獲取手機號碼、讀取手機通訊錄、讀取短信記錄、讀取通話記錄、讀取地理位置信息、獲取設備信息這8項，是涉及隱私信息的核心權限。

　　那么大量的手機軟件應用時都會要求一些什么權限呢？什么樣的手機軟件會要求開放短信、通話等個人隱私信息呢？在一家手機安全機構技術人員的幫助下，記者進行了抽樣試驗。記者在手機上下載了這款閱讀軟件，發現讀取手機狀態和身份、直接撥打電話號碼、讀取編輯信息、讀取發送短信信息、拍攝照片和視頻、要求精確位置、讀取通訊錄等手機權限，都在這款軟件獲取的內容。

　　手機安全工程師 孫煜：

　　申請了23權限。發短信呀，獲取聯系人 位置信息算敏感的危險權限。

　　記者隨后對工具類、金融購物類、閱讀類、游戲類等手機軟件進行了同類下載比較，發現包括短信、聯系人信息和精確位置等隱私信息大都被軟件獲取。其中工具類和視頻閱讀類軟件更多的是獲取位置信息；游戲類軟件更多獲取發送短信權限；而金融類和購物類軟件則大多獲取聯系人信息和精確位置信息。

　　而在不同類別的手機軟件要求權限數量上，記者發現一般的軟件要求權限都在10幾項左右，最多的竟然獲取了50多個權限。

　　手機安全工程師在對100多個手機軟件要求的權限進行了統計，記者看到在這些安卓系統的敏感權限當中，讀取電話狀態占到第一位，達到95.51%，其余分別是地址定位54.04%，收發短信45.71%，撥打電話33.71%，讀取聯系人31.16%，錄音28.09%。另外，與手機用戶個人隱私密切相關的獲取運行應用也占到了將近63%。

　　手機安全工程師告訴記者，在他們看來，被手機軟件獲取的各類手機權限，相當一部分并不是軟件功能所必需的。相對于通訊軟件獲取聯系人信息，導航地圖軟件要求精確地址信息，一些游戲類軟件要求短信權限，閱讀類軟件要求地址信息和讀取通訊錄權限，很難讓人理解。

　　手機安全工程師 孫煜：

　　作為一款閱讀軟件來說，它讀取用戶的通訊錄是沒有辦法解釋的一個行為。

　　記者：缺這些權限的話，這個軟件還可以運行對嗎？

　　還可以運行。

　　經過初步調查記者了解到，大量的手機軟件獲取手機的各類權限并不是一個罕見的現象，有的軟件獲取的權限還高達50多個。而涉及手機用戶隱私的權限被獲取也十分普遍。

　　獲取短信、通信錄、地理位置等隱私權限是否是手機軟件功能上的要求呢？在手機安全技術人員幫助下，記者進行了進一步調查。

　　記者發現，像微信等通信類軟件也獲取了手機用戶的聯系人、短信記錄、地理位置等信息，但技術人員通過專業的工具進行逆向分析發現，這些權限確實在軟件應用中發揮了作用，最終實現了通信錄好友添加、搖一搖、附近的人等軟件功能。手機安全技術人員在另外10幾款手機軟件中發現，這些軟件都要求了讀取編輯短信、讀取聯系人，甚至攔截撥打電話的權限，但其中5個軟件根本沒有使用這些權限。

　　手機安全工程師 彭大偉：

　　有一些就是不必要的權限它也申請了，有些它申請了這項權限，其實從現在來看它沒有代碼去實現這樣的功能。

　　調查顯示，這幾個軟件在運行中根本沒有使用讀取聯系人、收發短信等功能，但是依然也要求獲取手機用戶的這些隱私權限。

　　記者了解到，目前的手機操作系統中，安卓系統對手機權限幾乎是沒有限制的，這種開放性雖然吸引了大量的應用軟件開發，但也造成了權限獲取的無序現象。調查發現，很多軟件商就是利用這個漏洞，不管有些權限根本用不到，也盡可能地大量獲取包括隱私權限在內的各類權限，卻絲毫不顧忌手機用戶個人隱私面臨的巨大威脅。

　　手機安全專家 闞志剛：

　　我想大部分的這種軟件有這么幾項5、6項、7、8項就足夠了，你要是超過20項或者30項那個(軟件)呢，就是很明顯的一種權限濫用的這么一個嫌疑了。

　　調查中記者發現，幾乎全部手機軟件在其下載安裝頁面上，只提供了“安裝”和“取消”兩個選項，而手機用戶對軟件所要求的各種權限不能選擇。也就是說，手機用戶只能選擇默認安裝，或者放棄使用。而有的軟件安裝頁面雖然提供了選項，但是記者試驗之后發現，只要取消其中一項權限，就會不斷提示重新設置權限，否則這個軟件就不能安裝，直到全部同意其要求的全部權限為止。

　　手機安全工程師 彭大偉：

　　記者調查發現，不管用不用，獲取過多的手機權限已經是普遍現象。那么開放給軟件商的個人隱私僅僅是用于軟件實現功能嗎？記者進行了進一步調查。

　　這款名為“聊天360電話”的手機軟件是一個能夠節省通話費用的軟件，記者下載了這個手機軟件，發現其安裝界面要求獲取手機聯系人，讀取通話記錄等權限。隨后記者聯系到了這個軟件的工作人員。

　　聊天360電話軟件 工作人：

　　記者：就是說要求我開放手機通訊錄，這是為什么??？

　　就是說你用我們軟件撥打電話呢，就比較方便的這個意思，是沒有其他意思的

　　記者：那我那個通訊錄信息你們會看到嗎？

　　看不到的， 你私人的一些什么隱私問題(信息)是不會透露的，你可以放心。

　　按照這位工作人員的說法，這款“聊天360電話”的手機軟件要求獲取聯系人信息是為了將記者的手機通訊錄同步到軟件頁面，以方便查詢和撥打。如果真是這樣，這款軟件對讀取聯系人權限的要求確實是功能上的需要。但事實會像這位工作人員所說的，手機里的聯系人信息不會被軟件商看到嗎？手機安全工程師登陸了該軟件并進行了數據包抓取，結果發現，在登陸這款軟件的同時，他手機里的所有聯系人信息就傳送到了該軟件的網站后臺。

　　手機安全工程師 彭大偉：

　　可以看到這邊，其實它上傳了我個人的這個聯系人的信息，就會直接把我(的隱私信息)上傳到服務器上面去了。

　　記者看到，手機中的聯系人姓名和電話號碼，分毫不差地顯示在這款軟件傳往后臺的數據包當中，也就是說，這些聯系人信息已經被軟件后臺獲取。記者查閱了2011年發布的《移動互聯網惡意代碼描述規范》，其中關于隱私竊取的描述中規定，“在用戶不知情或未授權的情況下，獲取通訊錄內容”的行為屬于隱私竊取屬性。

　　手機安全工程師 彭大偉：

　　你在本地去操作是可以的，但是你不能把我(的隱私信息)上傳到服務器上面去。把這個聯系人(信息)獲取之后，然后再偷偷地上傳到遠程的后臺服務器，那這種行為就是肯定是非常惡意竊取用戶隱私的這種行為。

　　通過進一步調查記者發現，要求獲取通信錄等隱私信息的手機軟件，有的并不像軟件商宣稱的不會讀取、傳送這些隱私內容，而是在手機用戶毫不知情的情況下，悄悄竊取了手機中的聯系人信息。

　　調查中記者發現，除了聯系人信息、通話記錄等隱私內容被軟件商竊取之外，手機當中的所有應用軟件竟然也可以傳到軟件商的后臺服務器。手機安全工程師打開了這款名為“愛聊”的手機通訊軟件，這款軟件也需要一些讀取個人的信息，還要求獲取手機正在運行的應用程序信息。登陸之后記者發現，手機中近百個應用程序毫無遺漏地也被傳到該軟件的服務器后臺。

　　手機安全工程師 彭大偉：

　　我裝了什么東西都上傳上去了。

　　記者：就是你這個手機上所有的應用全給你上傳了是嗎？

　　對對，我裝的所有應用，都已經被上傳到后臺服務器了。

　　記者看到，手機中的新浪微博、支付錢包等手機應用軟件，在傳往軟件后臺的數據包中都能一一找到，所有的手機應用軟件已經被打包傳送出去，而記者卻毫無察覺。手機安全工程師告訴記者，這意味著手機用戶的愛好、習慣應經被惡意竊取者通過這些軟件摸得一清二楚。特別是一些炒股、金融和支付等軟件的賬號和密碼，如果被惡意監視，則會帶來更大大的財產損失隱患。

　　記者發現，除了能夠通過隱私權限違規傳送通訊錄、應用軟件等內容，一些軟件特別是游戲軟件還能夠通過收發短信權限實現惡意扣費。而這款軟件被點擊的同時，還悄悄地自動下載其他應用，推銷其他軟件，暗中損耗了手機用戶的流量。

　　在調查過程中我們發現，有些軟件要求開放一些隱私權限確實是軟件本身功能上的需要，比如說導航軟件要求用戶開放準確的位置信息是合理的，但是有更多的軟件要求用戶開放與軟件功能無關的隱私信息權限顯然就是不合理的了，而用戶一旦開放了這些權限，自己的隱私信息就可能被軟件開發商和運營商掌握，留下很大的安全隱患，而如果不開放呢，對不起，就不能使用這些軟件了。對于用戶來說，這些軟件提出了這種近乎無理的要求就這樣成了一個難解的困局，那么到底有沒有破解這個困局的出路和辦法呢？繼續來看記者的調查。

　　通過大量的調查記者發現，安卓系統手機權限的無限開放和管理缺失，使得眾多的軟件商任意獲取手機用戶隱私權限成為了一種普遍現象。業內人士告訴記者，隨著移動網絡競爭愈加激烈，精準營銷成為趨勢，一些軟件開發者即使暫時用不上相關權限，也樂于獲取能夠體現手機用戶身份、交際特點、活動軌跡等特點的各類隱私信息。

　　手機安全專家 闞志剛：

　　這些信息呢雖然現在沒有發揮作用，有可能以后呢會賣到很多很多的這個錢，所以說大家呢都是懷著一種儲備信息的這么一個概念，來去做這個事情。這個開發者為什么用過多地用這些權限的一個最根本的原因，我想呢還是有這種商業利益來驅使的。

　　而不容忽視的是，手機權限濫用還帶來了更為嚴重的資費損失和隱私外泄。專家分析認為，有的軟件是通過自身獲取的權限竊取隱私，暗中扣費。有的軟件被惡意程序或病毒利用，被二次打包之后投放市場，同樣暗中竊取隱私，甚至通過竊取賬號和密碼獲利。不管通過什么途徑，手機權限濫用帶來的嚴重威脅已經潛伏每一個手機用戶身邊。

　　目前，我國智能手機用戶已經超過4億，安卓系統智能手機的用戶也已超過2億。在這樣一個數字面前，手機權限的隨意濫用以及帶來的危害值得警惕。專家認為，手機權限的審核、分級勢在必行。

　　手機安全專家 闞志剛：

　　也就是有多大碗裝多大(少)飯，你干什么活呢，你就是需要什么樣的這個權限如果你是安全類的，那就能夠給你對應著安全類有幾個權限，視頻類的有八個權限你就可以用這八個權限就可以 ，什么應用什么類別，每個類別對應的什么權限，對于每一個開發者來講呢都是一目了然的，對于來百姓來講呢也是一目了然的。

　　專家提示，瀏覽器歷史記錄和書簽、手機聯系人資料和日歷活動、本機號碼等個人隱私信息，一般會被系統優化、系統安全、地圖、輸入法、瀏覽器等系統管理應用獲取權限，而小游戲之類的安卓應用需要獲取該項權限，有短信扣費風險；信息權限一般是短信管理應用軟件應用才需要獲取該權限。游戲需要這個權限也可能有扣費隱患。位置權限一般使用在地圖、生活服務等安卓軟件應用中。

　　下載手機軟件就必須按照要求開放隱私信息權限，否則就不能下載和使用，這樣的要求可真是夠霸道的。專家分析之后指出，之所以會出現這種現象，一個重要的原因，是現在移動互聯網的世界，過分強調開放性而忽視了必要的規范性，如果能針對不同種類軟件的功能，制定出相應的開放隱私權限的標準，其實就能改變這種霸道的不公平現象。從這個角度來看，加強規范性的要求和引導，對于移動互聯網的健康成長無疑是非常必要的。好，感謝收看《每周質量報告》，下周同一時間再見。

?

相關鏈接

?