app个人信息处理授权可以撤回,app收集信息被不正当利用
一小时内某平台获取位置16次 读取及修改照片和文件121次
频繁调取个人数据 软件后台在干啥
11月1日,个人信息保护法正式实施,个人隐私安全问题又重回大众视线。此前,就有博主晒
一小时内某平台获取位置16次 读取及修改照片和文件121次
频繁调取个人数据 软件后台在干啥
11月1日,个人信息保护法正式实施,个人隐私安全问题又重回大众视线。此前,就有博主晒出iPhone手机更新系统后,发现很多主流软件都在后台频繁获取用户信息,对用户隐私安全造成威胁。北京青年报记者实测发现,确实有不少软件频繁调用个人位置和图片信息,甚至有社交软件一小时获取定位达到75次,如此频繁调用隐私信息,他们到底想干啥?
现象
个人App授权后被频繁调取信息?
市民刘女士向北青报记者爆料,10月30日,她在某App购物后,因频繁被推送“附近商品推荐”,于是便关闭了应用的位置权限。但没想到系统提示“需要同意该隐私权政策才能继续使用”。刘女士选择了“仍不同意”按钮,没想到软件闪退且无法再继续使用。当她再次尝试,并在页面点击“查看协议”,才发现上面写着:“基于您的明示授权,我们可能会获取您的位置,为您提供附近的商品、店铺……您有权拒绝或取消授权”。当她点下不同意该协议按钮时,软件依旧无法使用。
不过,针对App过度索取手机权限的问题,网上就一直诟病不断,10月8日,就有用户贴出截图称“iOS版微信在后台反复读取用户相册”。根据用户描述,新版iOS15的“隐私”功能有“记录App活动”,可以存储7天内App访问位置或麦克风等数据。上述用户发现,某社交平台App在用户未主动激活应用的情况下,在后台数次读取相册,每次读取时间长达40秒至1分钟不等。
该用户同时表示,发现多款国产软件也存在后台频繁读取用户相册的行为。如此频繁地调取隐私数据,让很多网友开始担心自己的隐私安全问题。
体验
一小时测试:微信要定位75次
美团读改照片121次
针对刘女士“不授权不能使用App”的情况,11月2日,记者进行体验,不过,在系统权限管理一栏中,“允许访问位置信息权限”页面发生了改变,与此前刘女士的情况不同,记者在选择“禁止”后,软件依旧能正常使用。
但调用隐私信息的情况却依然明显,记者利用能够监测App行为记录的手机,在开放权限的情况下,记录了微信、微博、抖音、美团、钉钉、淘宝、高德地图共七款常用软件的用户信息调用情况。
经过一小时的观察,在七款软件皆处于后台状况下,记者发现,高德获取位置信息32次,修改系统设置8次;钉钉获取位置18次,读取剪贴板10次;美团获取位置16次,读取及修改照片和文件121次;抖音获取位置11次,读取及修改照片24次;淘宝获取位置24次;微博获取位置32次,读取及修改照片和文件16次;微信获取位置75次,修改系统设置9次,读取及修改照片和文件22次,读取剪贴板5次。
而此前的5月26日,记者也曾做过类似测试,在拒绝定位权限的情况下,微信曾有过6分钟索取定位信息800余次的情况。
此前微信回应称,iOS系统为App开发者提供相册更新通知标准能力,相册发生内容更新时会通知到App,提醒App可以提前做准备,App的该准备行为会被记录成读取系统相册。
当用户授权微信可以读取“系统相册权限”后,为便于用户在微信聊天中按“ ”时可以快速发图,微信使用了该系统能力,使用户发送图片体验更快速流畅。
微信表示,上述行为均仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。
揭秘
软件在后台调用权限是正常需求吗?
奇安盘古隐私安全业务负责人赵帅表示,在个人信息保护方面,操作系统的权限设计是为了让App收集使用个人信息的行为受到限制,让用户能够主动去控制App能否采集特定类型的个人信息,如通讯录、地理位置等。后台调用权限的行为在特定场景下是合理的,比如我们用手机导航的场景,虽然切换到后台,但我们仍在使用这个App;也有一些场景是非必要的,比如我们将App切换到后台,暂时不用这个App提供服务,那么这种情况下的后台调用权限可能就已经超出正常需求的范围。
民间互联网安全组织网络尖刀创始人曲子龙认为,从技术角度来讲,调用次数其实并不能直接说明问题,还是以它的应用场景实际做了什么才能确认是否合规。
软件收集用户隐私权限的边界在哪?
关于App手机用户数据,赵帅表示,从技术角度上看应分为几种不同的情况:包括系统权限保护的个人信息,如通讯录、录音、定位等;未受用户权限保护的个人信息,如用户主动录入的身份证号码、病历、婚姻状况等;用户在使用App过程中产生的一些使用偏好信息,这些可能由App主动记录产生,如喜欢听的歌曲、经常去的餐馆等。
对于系统权限保护的个人信息,软件应充分明示并征得用户同意后,才能调用这些权限获取个人信息,并应确保获取的范围、频率、方式符合最小必要的原则。对于用户主动录入的信息,应当充分说明录入的合理性及可能造成的影响,给予用户选择是否录入的权利。对于软件使用过程中收集的数据,应该做到明确告知用户,并说明后续的用处。
用户信息被收集有哪些风险?
曲子龙说,隐私泄露之后被精准推送广告并不是最大的风险,不良企业会通过大数据杀熟,甚至不法软件装入手机后获取通讯录及相册权限,经过分析提取用于实现“个人身份信息盗用”、“定向网络诈骗”等用途。建议用户不要轻易让第三方软件获取通讯录及相册权限,相册中也尽量不要存放身份证、银行卡等包含敏感信息的照片内容。
曲子龙认为,必要权限按照行业区分,法律上国家已经规定得很明确了,大部分产生争议的是一些个性化的内容,比如支付宝是一个支付软件,但是里面加了小程序后就变成了“公众应用平台”,属性发生变化获取的权限也自然跟着发生变化,最好的方式是应用内的第三方服务如果仅是偶尔使用的应用,都采用二次授权,并且即用即授权原则,如果长期使用的应用则制定权限开关,用户随时可以手动关闭停止授权,可能会是一个较好的解决方案。
文/本报记者 董振杰 宋霞
说法
调权限属正常行为 但平台要掌握好度
中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲表示,此前权限强制、滥用的问题突出,用户不想用这个功能,平台却强制使用,个人信息保护法出台以后,这个问题基本解决了,用户可以自由选择。他表示,如果权限被开通后,获取的信息是否在合理范围内使用,是需要考虑的问题。
App索要相机权限一般是为了拍照、扫二维码,要地理位置就是定位导航,这些在相关隐私协议里都写得很清楚。但目前仍有些细节确实存在问题,比如读取的次数,本来可能只需要10次,最后获取了20次。
此前的情况更严重,读取次数能达到几百次上千次,如今次数只是个位数和十位数之间,这在检测过程中一般不会被判定成违规,“需要调权限有很多是因为安全风控的问题,比如账户异地登录,平台会拿这个去判断,原因非常复杂,只要控制在十几次内,基本上都不是什么问题。”何延哲表示,后台读取也是同样的道理,也是需要看频率,如果账户存在异常会通过后台读取进行探测,不一定会将数据读走。“这要看是单纯验证位置,还是上传数据,后台的事情不合理因素更多,需要具体问题具体分析。”
来源: 北京青年报
APP索权仍任性:不授权,别用我,这些app是如何窃取我们个人信息?
这些app获取用户个人信息的方式有四种,一种比一种没有底线。
第一种是在初次启动app时强制要求用户“同意”授权,授权的信息包括手机号、位置信息,不给授权就会强制退出。如果不给授权就无法使用,这逼得很多用户不得不给授权。授权之后该软件获取的信息远不止位置和手机号码,还包括人脸识别、消费记录等一系列重要的隐私,这些会被软件在静默状态下偷偷上传到云端。
第二种是在初次启动时要求用户授权过多的信息。比如“珍爱网”app在启动时用户要输入个人资料外,还要进行人脸识别。根据国家对相亲类app的规定,必要信息中并不包含人脸识别。珍爱网收集用户的人脸识别,明显是“醉翁之意不在酒”。同样,如果不进行人脸识别就不能使用这类软件。
第三种是在初次启动时,软件要求用户授权时用户可以拒绝,但拒绝是无效的。因为软件会在后台“默默地”收集个人信息,这一切是在用户毫不知情的情况下进行。这就是为什么和朋友刚说完要买水果,一打开淘宝首页就会推送水果的相关信息;身边的朋友刚刷完某个热点事件的短视频,自己打开后很可能也会刷到的原因。这就是静默状态下收集用户个人信息的危害。
第四种是最流氓的,不明着要求你给授权,然后背地里收集信息。这些个人信息被“事无巨细”地收集,用户完全失去生活上的隐私,所以工信部才会强制下架几款屡教不改的软件。
之所以要严防死守用户信息,是因为用户信息泄露后可能会导致电信诈骗案件。大多数“诈骗选手”能获取被受害人的信任,都是靠详细的用户信息。
发现手机一直被某个应用在后台获取我的信息,怎么办?
首先,很高兴来回答你这个问题。现实中,作为一个手机用户,因工作和生活的需要,免不了要下载一些app来使用。但是,如果我们要深度使用任何一款app,都是要被获取个人相关信息的。否则一旦你拒绝授权或仅提供丁点信息的权限,将无法使用或无法正常使用它们。大多数情况下,有些软件公司为了自身的利益,会通过这些app来过度地获取用户的个人信息,甚至于有的app就是专门来搜集个人信息的。对于这种现象,现实中应该说是司空见惯了的事情。作为用户来讲,肯定是不想被过多地被获取个人信息,以免造成不必要的麻烦或者损失。
对于保护公民个人信息这个问题,虽然相关部门加强了市场监管和指导,目前也只能是对一些用户反映强烈的软件应用进行重点监测和整治,还很难做到对市场上所有的软件应用进行彻底的检测和监管。所以,保护用户个人信息,一方面要依靠市场监管,另一方面还要靠用户自身进行有限的防护。对此,笔者认为个人用户要做到以下几点:
一、要加强和提高个人信息保护意识。除了工作和生活必需要下载一些软件应用外,如支付宝、微信、京东等,其它无关紧要的软件应用应尽量少下载、不下载,以免造成个人信息泄露。
二、要从正规的下载渠道进行下载。如各大手机厂商的应用商店、360软件应用,还有政府相关部门官网以及相关企业官网链接等。以上这些下载渠道对个人信息的保护都是有保障的。
三、不去点击微信群里或微友发来的不明链接或扫描来路不明的二维码,克服好奇心和贪心,以免盲目下载软件应用而中了手机病毒或者木马,造成不必要的个人信息泄露。
四、一旦发现个人信息泄露,我们用户个人应该及时进行自查,通过自我判断大致分析一下有可能是从什么app应用造成信息泄露的,发现可疑之处应及时卸载该应用进行自我保护,截断信息泄露渠道。对于因信息泄露而发生严重问题的,应该立即停止使用并截屏取证和报警。
五、选择好的手机操作系统。对于小米和红米手机用户来说,最好的办法是更换掉自己手里的旧手机,然后购买一部能够升级到miui 12的新手机。因为miui 12这个操作系统里有两项特殊功能,就是该操作系统的“照明弹”功能和“空白通行证”功能。miui 12的这两项功能,能够有效地发现和规避app搜集个人信息的隐秘过程,达到个人信息保护的目的,从而被众多米粉们所青睐。
对于其它手机厂商的操作系统来说,目前还不具备这一隐私保护功能。
以上看法仅供参考,欢迎网友留言交流。
这要有专业的监督管理,普通百姓处于弱势,相关部门和经营者有责任保护消费者。
所有的应用,所有的APP都这样!除非你啥也不用,啥也不下载!
不管是哪种应用,都可以使用360手机卫士管理权限,禁止访问隐私位置。
有!当几次截屏一张本地照片后,在掏宝上居然也出现了这张照片还问你是不是要保存这张图片啊?
最可恨的就是拼夕夕!
连信和美团啊
