上海市消保委通报关于规范浏览器、输入法、综合视频等手机APP涉及个人信息权限的测评结果 结果令人震惊

 

11月28日下午，上海市消保委通报关于规范浏览器、输入法、综合视频等手机APP涉及个人信息权限的测评结果，有的手机甚至出现自动发送短信等异常现象有意思的是，在这场通报会之前，上海市消保委已邀请18家涉事企业进行沟通。

15家企业火速修改相关权限或者发布新版本猎豹浏览器、触宝输入法、芒果tv三家企业未参加沟通会，APP也没有任何改进11月28日的发布会上，这三家企业仍然没有到场，超功能的权限设置也没有改变其中，猎豹浏览器，甚至默认开通监听外拨电话、位置信息、发送短信的权限。

“权限”相当于钥匙，手机APP获得与功能对应的权限可以理解，但如果申请的权限超过功能所需，消费者的个人信息就可能莫名外泄。

11月28日，上海市消保委发布会现场澎湃新闻记者 邹娟 图实际上，这已经不是上海市消保委第一次做APP个人隐私类的测评2018年7月18日，上海市消保委发布《地图类手机APP涉及个人信息权限评测结果》引起社会广泛关注。

结果反映出的申请的敏感权限与实际功能不完全对应等问题当时，高德地图、百度地图、腾讯地图等企业积极回应，并提交了相关情况说明及整改报告未参加发布的搜狗地图、图吧导航也在会后积极与上海市消保委进行沟通，并根据测评反映的问题进行优化升级。

企业通过紧急下线、取消获取、功能优化、版本更新等形式进行改进，相关问题得到解决有消费者称，当前手机APP涉及个人信息保护的问题受到各界关注，但仍存在监管空白消费者希望上海市消保委在地图APP的基础上，扩大范围，进一步规范和推动行业发展。

为此，2018年8月-10月，上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司，对消费者反映集中及目前用户使用频度较高的 “输入法、浏览器、综合视频”三类18款应用进行了规范18款应用涉及的手机APP有：输入法（搜狗输入法、百度输入法、讯飞输入法、QQ输入法、触宝输入法）；浏览器（UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、华为浏览器1、华为浏览器2）；综合视频（优酷视频、腾讯视频、爱奇艺视频、芒果TV、哔哩哔哩）。

评测内容涉及“应用敏感权限的授权请求方式、申请的敏感权限是否存在与之对的服务功能”两方面问题主要集中在部分应用所申请的敏感权限存在无实际对应功能以及部分应用所采用的Android目标API版本过低方面其中，167项与用户个人信息密切相关的“敏感权限”中，发现存在25项无实际功能对照的权限申请，主要集中在：电话权限（5个）、短信权限（15个）、定位权限（2个）、日历权限（2个），读取附件（1），均与终端用户的个人信息密切相关。

有4款应用的Android目标API版本设定过低而过低的API目标版本，一是在权限管理方面存在用户可知而不可控的问题，二是存在可规避系统安全机制的漏洞，容易造成用户个人信息泄漏，引发大量终端安全和个人信息保护风险。

为此，上海市消保委经过三个多月300多次多维度测试，法律团队和技术团队与企业进行五十几次沟通，就企业提供的数十份报告进行了审评为推动相关问题的解决，2018年10月，上海消保委与手机APP企业进行技术沟通，相关企业也在排查后对存在的问题作出解释和优化意见。

一个月时间内，各相关应用厂商剔除无用权限达到23个，3款APP提升API目标版本，并均将全新修正版本向社会发布2018年11月，上海消保委再次针对这18款应用的最新版本进行技术验证，15款应用在敏感权限的申请、使用方面做到了合理申请、自主授权，充分保证了用户的知情权、选择权。

上海市消保委供图其余3款应用，由于未到座谈会进行沟通，在新版本中，仍存有部分用途不明的敏感权限申请行为其中：猎豹浏览器（V4.87.4） 存在：Android 目标 API版本过低、申请了与电话相关的权限、与短信相关权限，具体用途不明问题。

触宝输入法（6.8.0.5）存在申请了与短信和定位相关的权限，具体用途不明问题芒果TV （6.0.2）存在申请了与短信相关的权限，具体用途不明问题上海市消保委副秘书长唐健盛透露，这些应用获得的权限，大多数有短信或者通话权限，如此，即使消费者不知情，也可能手机自动发送消息。

而且这些信息发送后，在手机上并不留痕迹此外，API版本在23之下手机应用，相当于安全没有保障，建议不要使用上海市消保委副秘书长唐健盛回答澎湃新闻记者提问时表示，目前，国家对手机APP权限的开发、立法和标准不完善。

简单说，很多都是概念上的规定，只要求必要正当合理但是什么是必要正当合理，并没有明确的规定和规范事实上，目前市场上的APP开发者，全凭觉悟在做“而且，觉悟高的不多”唐健盛说道为此，上海市消保委透露，希望国家相关主管部门能更加明确（APP权限），使之制度化。

其次，希望能建立团体标准上海市消保委透露，对相关企业的改进措施表示赞赏，同时敦促未参加沟通的猎豹浏览器、触宝输入法、芒果TV作出切实的改进，以落实企业的诚信责任链接阅读：今年7月，上海市消保委在评测地图类APP中发现多款主流APP过度获取用户敏感权限。

上海市消保委授权相关单位对百度地图、高德地图、腾讯地图、搜狗地图和图吧导航五款主流地图类APP进行了评测，结果发现除腾讯地图外，包括百度地图、高德地图在内的4款主流地图类APP均有不同程度的过度索取用户个人信息权限的行为。

上海市消保委披露，网络调查数据显示，地图类APP已成为当前智能出行的必备软件，97.63%的消费者手机安装了地图类APP其中，40%的消费者安装了两个地图类APP，7%的消费者安装了三个84.68%的消费者认为准确度高、体验好是选择地图类APP的重要因素，有7.9%的消费者选择注重个人隐私保护。

82.59%的消费者担心地图类APP泄露个人信息其中，23.44%的消费者“非常担心”授权进行此次评测的北京捷兴信源信息技术有限公司技术人员告诉界面新闻， Android APP的“权限”是一种安全机制，用于限制应用程序对于终端系统中某些具有限制性功能的使用。

以目前受众最多的Android6.0 （API-23）为例，总权限338个；普通权限57个、敏感权限共计11个权限组29个权限权限分被为几类，其中“普通权限” 指一般不涉及用户隐私，不需要用户进行授权的权限；而“敏感权限” 一般会涉及用户隐私，且需要用户进行授权。

此次评测的APP中，主要获取的“敏感权限”包括电话、定位、存储空间、麦克风、相机、短信、通讯录在对主流地图类APP进行权限评测时，安卓系统中，腾讯地图获取敏感权限数量最少，只有7个；百度地图获取敏感权限最多，为14个。

另有搜狗地图、高德地图、图吧导航获取敏感权限的数量分别为10个、11个、13个iOS 系统各应用所申请的权限数量也各不相同其中，百度地图获取权限10个；高德地图获取权限6个；搜狗地图获取权限5个；腾讯地图获取权限9个；图吧导航获取权限8个。

该企业工程师还透露，评测中发现百度地图获取短信敏感权限与实际功能不对等的情况百度地图发言人表示，获取短信权限并不一定是分享功能，其中一个名叫“行程助手”功能是提供行程到期时向用户发动短信提醒功能但在实际演示中，评测人员验证时发现百度地图APP获取的短信权限在用户未允许权限的情况下，仍然将短信发送成功。

评测人员同样发现高德地图在未授权的情况下调用短信和通讯录的情况高德地图APP发言人回应称，这是在此前版本的设计中为预留功能而获取的权限，在后续的版本中，高德地图会将这些权限关掉评测人员还发现，搜狗地图申请过外呼电话、监控外呼电话号码、修改外呼电话号码的权限。

并发现图吧导航利用技术手段绕开安卓6.0授权流程获取用户个人信息图吧导航v9.4.3.100310a 版本中，获取敏感权限13个，均在“安装时授权“，其中有8个未找到对应功能图吧导航通过设置较低版本的系统适用环境，绕开较安全的安卓6.0系统，获取敏感权限，存在一定的安全风险。

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186