原标题:男子享用情趣用品,惊觉被录音 [快讯]
来源:南方都市报
原标题:安卓应用市场乱象调查:手机壁纸能读你的通讯录浏览器可能随时给你录音
"手机App好像会在情趣用品打开时一直录音。"
今年11月初,网友"tydoctor"在美国著名的社交新闻网站Reddit上曝光了这一消息。他说,自己在准备重置手机时发现了存储在该应用文件夹内的一条音频,"时间长达6分钟,就是上一次我用这个应用遥控情趣用品的时候录的。"
tydoctor还写道,该应用获取了使用麦克风和照相机的权限,但他以为这些权限仅用于应用内置的语音消息发送功能。"在任何时候,我都不希望应用录下我使用情趣用品的全过程。"tydoctor流露出忿忿的情绪。
值得注意的是,tydoctor所使用的是安卓手机系统,而这一事故,也使得安卓应用存在已久的过度授权、权限滥用问题再次浮出水面。不少网友纷纷跟帖表示,曾有类似的遭遇。
"很多手机应用都会在未授权的情况下录音。"
"另一家情趣用品厂商也出过类似的事情,把用户的使用习惯等数据上传到服务器。"
如果你以为这只发生在国外,或只在情趣用品App中存在,那你可能太乐观。
早在2014年,央视《每周质量报告》就曝光过大量安卓手机应用在安装时需要开放通讯录、地理位置等权限,从而严重威胁用户隐私安全的情况。彼时有业内人士分析,这一现象的背后是贩卖隐私信息的利益链已形成,不法手机应用厂商通过手机权限获得用户的隐私信息后再转卖,从而获得不菲的灰色收入。
日前,南都记者通过调查和技术测试发现,几年过去,上述问题并没有得到解决,反而由于互联网对大数据的需求升级,变得更为混乱。
可用手机遥控的情趣用品App竟然偷录用户的私房事资料图
50款App,仅2款只收集必要权限
在各类安卓应用中,游戏一直是安全问题高发区。360联合DCCI发布的《2016年中国手机安全生态报告》显示,2015年,测试样本中94.5%的游戏应用都会获取读取位置信息的权限;89.1%能够读取用户短信,93.6%能够读取通讯录,虽然这些数据在2016年有所下降,但其中多项数值仍高于非游戏类App。
这份报告同时指出,获取手机通讯录、短信、通话记录、位置信息等都被视为读取用户核心与重要隐私的行为,它们较读取WIFI、蓝牙等设备信息更加危险,用户应给予重点关注。事实上,绝大部分安卓用户没有注意到这一点,遭受经济损失的案例时有发生。
2014年,宁波市警方曾破获一起案件,3名犯罪嫌疑人用技术手段窃得游戏用户小顾在游戏应用上注册的名字、身份证号、手机号码等信息,随后利用这些信息办理假身份证,并用假身份证去通信营业厅挂失小顾的手机号并补办新卡,最后再用这张新的手机卡重新设置小顾在网络游戏中的密码,将价值20多万的游戏币窃走。
小顾的案例并非孤例,为了调查安卓应用越界获取隐私权限的情况,南都记者以今年大热的王者荣耀为例,选取了华为应用市场、应用宝、
值得注意的是,一些应用在开发过程中还会将其中一些功能模块交给第三方来实现,如接入一个云服务的模块、插入一个流量统计的模块等等,这些第三方公司也同样可以从应用中获取用户权限。
"第三方的功能也不一定需要这些权限,但既然开了这个端口给我,大家的想法就是不要白不要"前文中的技术人员表示。
可见,大多数隐私信息的获取实际上并非为了方便用户,而是有利于应用开发方的商业利益。
根据今年6月1日施行的《网络安全法》第41条规定,网络运营者不得收集与其提供的服务无关的个人信息。实际上,上述行为已经违反了法律的相关规定。
如此轻巧地获取与使用用户的隐私权限,对应的现实却是安卓令人担忧的安全现状。据相关报告显示,几乎所有的安卓手机与应用都存在大大小小的漏洞,一旦被攻破,用户的隐私便会"裸奔"。
以读取短信的权限为例,刘洋告诉南都记者,对用户来说,它主要的作用是收到验证码时懒得手动复制,需要程序自动填入时会用到,此外,还可以方便保存短信的内容到应用中。
大多数用户并未意识到,短信内有收取验证码、银行余额信息等个人隐私,安全意义重大。
如若不小心安装了短信拦截木马,就会读取手机中的短信内容,后台自动回传到木马制作者指定的邮箱或手机上,这不但会使更多的骚扰电话跟随你,还可能有不法分子利用拦截到的短信验证码,登录支付平台,电商网站进行盗刷。更有耐心的犯罪分子,会通过非法渠道购买到银行卡账号、交易密码、身份证等信息,进入网上银行,进行直接转账,甚至帮受害者申请几笔小额贷款。
据360公司2017年第一季度数据统计,今年新增的短信拦截马恶意程序就有56762个,在隐私窃取类的恶意程序中占了近1/3,共感染了675761部手机。
因此,用户即使能够看到权限列表,但不能清晰地知晓这些权限会带来的影响,这种"知情"意义有限,付出的代价却是巨大的。?
安卓原生系统多被修改
"明示同意"难实现
"知情"尚且如此困难,"同意"似乎更无从谈起。
2017年6月1日起正式实施的《网络安全法》第二十二条规定:
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。
然而,南都记者发现,除了常见的开启相机、定位、麦克风弹窗提示外,很少有App会明示告知用户将获取其它权限,并主动弹出窗口获取用户同意。
既然《网络安全法》规定,获取用户信息需要"明示同意"后才能得到权限,安卓应用市场为何不能规范应用对权限的获取行为并提供"明示同意"服务?
实际上,安卓系统早已注意到这一点。2015年5月,安卓推出6.0系统。在此之前,安装应用时跳出的权限只有一个列表,要么通通同意,点击"安装",要么拒绝全部,直接"取消"。这实际上是一种形式化的"明示同意",用户并没有真正选择权。
为了改变这一现状,安卓6.0及以上的版本将权限分为两类:一类是普通权限,不涉及用户隐私,不需要进行授权,比如手机震动、访问网络等;另一类是危险权限,涉及到用户隐私,在使用时需要用到此功能时进行弹窗提醒用户授权。
这一更新无疑很好地规范了权限获取与"明示同意"的应用行为。
然而,南都记者试用发现,大陆常用的安卓手机大都不使用安卓原生系统,而是对安卓系统进行了改写。例如,华为手机在下载华为应用市场中的应用时并不会跳出授权弹窗,小米手机也对从小米应用市场中下载的应用进行了"豁免"。
"手机厂商会根据自己的需要对系统进行改写,他们会自己编写想要的权限明示方式",刘洋对南都记者说。
由于手机原生应用市场会对上架应用进行安全检查,因此豁免手机原生应用市场的应用并不是最令人担心的。
更可怕的是,南都记者尝试用系统已经更新的魅族手机下载了百度手机助手,并在助手中下载了"王者荣耀论坛",在安装时,系统弹出权限列表,并允许用户逐项选择"开启"、"关闭"或是"使用时询问",做到了明示同意。
在列表中,南都记者对摄像头、音频等功能点击了"使用时询问"选项。随后,南都记者打开应用,试图拍摄一张照片并发布,但却发现系统没有跳出询问弹窗便直接使用了拍照功能。这意味着,安装时用户的授权形同虚设,应用绕过授权获取了用户的相机权限。
事实证明,不同手机厂商,不同应用商店都会根据自己的需求对于权限授予做出改变,用户面对的依然是一个杂乱而无法掌握的安卓权限获取现状。
相关:
前不久,在启东市区一家商城发生了惊魂一幕,女员工黄女士去上厕所,刚蹲下突然从隔壁间伸过来一只手,抢走了她的手机,嫌疑人还是个男的。黄女士是商城一家服装店的店员,当天傍晚6点多,她到商城三楼去上厕所,可才
中新网12月13日电据澳洲新闻网报道,年轻美丽的中国女留学生冷孟梅,在澳大利亚读书期间,被她的姨夫残忍杀害。当地时间12月13日,犯罪嫌疑人巴雷特(DerekBarrett)在新州最高法院出庭,参加了自己的量刑听证会。此前
12月12日,州社会保险管理局公布:自今年8月1日,自治州启动跨省异地就医联网结算工作以来,截至目前,全州跨省异地结算275笔,医疗总费用627万元,医保支付405万元;疆内结算10183笔,医疗总费用1.88亿元,医保支付
央广网乌鲁木齐12月13日消息(记者蒋雪娇乌鲁木齐台记者潘静)党的十九大报告指出,就业是最大的民生。要坚持就业优先战略和积极就业政策,实现更高质量和更充分就业。记者从乌鲁木齐市人社局获悉:今年截止目前,乌
积极融入国家“一带一路”倡议全力打造内陆开放型经济新高地 [快讯]
12月11日至12日,省政协主席王富玉率省政协常委视察团到贵阳市、贵安新区,就我省内陆开放型经济试验区建设情况进行视察,强调要深怀感恩之心,狠下落实之功,积极融入国家"一带一路"倡议,全力打造内陆开放型经济新高地。