地图类APP为什么要收集通讯录信息?
应用程序侵犯或泄露用户隐私在今天早就不是什么新鲜事了。
近日,又有三家主流地图应用被曝出涉嫌侵犯用户隐私的情况。上海市消保委的调查显示,百度地图、高德地图、腾讯地图、搜狗地图、图吧导航等五款地图类 APP 存在过度获取用户敏感权限的问题,且申请的敏感权限与实际功能不完全对应。
移动互联网席卷一切的当下,个人信息泄露的风险几乎呈几何倍数增长。与之相对应的,是企业在关于获取用户隐私信息上的“不竭努力”。
问题来了,这些地图类的手机应用,申请获取通讯录、短信等信息要做什么呢?
5家地图 APP 被曝过度获取用户敏感权限
通报后百度地图隐私选项仍包含监听电话等
7月18日,上海市消保委发布了一份关于地图类手机 APP 侵犯个人信息的通报,称包括百度地图、高德地图及腾讯地图在内的5款地图类 APP 存在申请的敏感权限与实际功能不符的情况。
上海市消保委称,评测的5家地图类 APP 均存在过度获取用户敏感权限的问题。其中,腾讯地图获取敏感权限数量最少,只有7个;百度地图获取敏感权限最多,为14个;搜狗地图、高德地图、图吧导航获取敏感权限的数量分别为10个、11个、13个。
这些应用申请的敏感权限与实际功能不完全对应,部分应用申请的权限甚至未找到对应的实际功能。并且缺少让消费者“一次性授权”的选项(“一次性授权”即用户授权 APP 使用相关权限仅限当次使用),一些与用户隐私相关的通信录、短信等敏感权限,一旦授权则 APP 将永久获取该权限。
当然,用户可通过系统设置的后台关闭其权限,不过,大多数用户可能连这些 APP 申请了什么权限都不知道。比如,从2010年起,高德地图就在安卓系统中要求“读取联系人”“读取短信”等敏感的通讯录信息,持续至今。此外,这些设置一般入口较深,普通用户很难知晓。
有的应用甚至利用技术手段绕开手机系统的授权流程。上海市消保委点名一款名为“图吧导航”的 APP,该 APP 获取的13个敏感权限中有8个未找到对应功能。
“图吧导航通过设置较低版本的系统适用环境,绕开较安全的安卓6.0系统,获取敏感权限,存在一定的安全风险。”上海市消保委在通报中称。
通报发出后,几家 APP 的都迅速回应称将下线相关权限。
高德地图称,正在紧急对相关权限进行下线处理,并在7月20日发布新版,新版本中将全部取消获取用户通讯录等权限申请。百度回应称将在后续的版本中去除短信分享的功能,从而不再获取发送短信的权限。此外表示将针对通讯录和短信这两个权限将进行单次授权的优化。腾讯地图同样称,已在安卓版本中停止获取通讯录权限,IOS端会在后续更新中删除该权限。
三家的声明中,对涉及获取用户通讯录、短信等权限的解释是为了向联系人分享位置。这个解释的说服力十分有限。这年头,还有人用短信去分享个人位置吗?据了解,高德地图从2008年就申请了该权限,考虑到当时的网络环境社交网络尚不发达,但十年过去,这一权限申请一直存在。
7月21日,寻找中国创客(ID:xjbmaker)记者使用3台不同的安卓手机实测发现,百度地图、高德地图、腾讯地图三款地图类应用中,高德地图、腾讯地图已下线获取用户通讯录、短信等相关权限,在百度地图的权限管理列表里的隐私相关选项中,仍包含读取短信、监听电话、读取联系人等项目,不过这些项目的状态为“询问”,这些项目在高德和腾讯地图隐私相关选项中不存在。
3个地图APP实测截图
“手机百度”曾因申请“监听电话”权限被起诉
上海消保委副秘书长唐健盛在接受媒体采访时作了一个比喻,“‘权限’好比消费者家里的大门钥匙,如果没有必要,APP开发者就不应该去拿,而且不用了也应返还给用户。”
现实是,把别人家钥匙揣自己兜里的人不在少数。2017年,江苏省消保委曾对市场上二十多家出行旅游、视频动画类APP 侵犯用户个人信息的情况做了一次调查,包括爱奇艺、携程、去哪儿等多个 APP 均存在不同程度的侵犯用户敏感权限的行为。
江苏省消保委约谈了相关企业后,大部分 APP 都进行了整改,删除了不必要的敏感信息。不过,两款百度旗下软件在一众 APP 中有些“特立独行”。
百度旗下的“手机百度”、“百度浏览器”两款 APP 在江苏省消保委的调查中被指申请了“监听电话”、“读取短彩信”、“读取联系人”多个敏感权限,但百度一直“消极应对”江苏省消保委的调查,最终提交的整改方案也对申请的敏感权限“拒不整改”。
去年12月,江苏省消保委提起了消费民事公益诉讼,把百度告上了法庭。今年1月,南京市中级人民法院正式立案, 这是全国首例针对个人信息安全提起的公益诉讼。
成为被告后,百度的态度紧急转弯。相关媒体报道中称,“立案后,百度公司主动与省消保委联系,态度端正,前后多轮派员前来当面沟通,并就方案制定及软件优化升级改造情况进行汇报。”
今年3月,江苏省消保委宣布,鉴于百度公司对 APP 整改到位,撤回了对百度的起诉。有意思的是,当月底举行的中国发展高层论坛上,百度创始人兼CEO李彦宏发表了一通“中国人愿用隐私换效率”的言论,引发不少争议。而另一边,Facebook的小扎正在为Facebook泄露用户数据的事件登报道歉。
APP收集隐私信息一般用于“营销”
为什么这么多 APP 都热衷于搜集用户的敏感数据?
IT行业分析师唐欣表示,通讯录的一大作用是可以实现社交。对于大部分工具类的 APP来说,如果只有纯粹的工具属性,APP 的用户流失率较高。而通过通讯录则可以快速地在产品内部构建一个社交网络,提升APP 的用户留存率和活跃度。
前段时间,航旅类 APP 航旅纵横就曾在应用内上线“虚拟客舱功能”,可以实现同机舱乘客在一个虚拟窗口下的交流,被指试图向社交化转型。但因为用户可通过这个功能查看同舱乘客的历史飞行地点及频率等隐私信息,而引发公众对于隐私泄露的担忧。
这样的例子不胜枚举,今年7月,有用户称使用微信登录大众点评后,会看到“微信好友去过的餐厅和酒店”,大众点评之后发表致歉声明,并对 APP 内功能进行整改。
顶象技术安全专家田际云则表示,相关 APP 申请用户的隐私权限“一般会用于营销”,包括内容或服务推送、广告推送、管理推广等,例如像用户的通讯录好友推送服务,引导用户的好友下载,从而提升 APP 的下载注册量。
同时,收集用户的敏感信息可用于大数据的精准分析,可得到用户喜好、行为、习惯、行程等,从而刻画出用户画像,为企业提供更精准的服务和营销做准备。“现在兴起的人工智能,同样离不开数据的分析。”田际云说。
需要注意的是,相关 APP 搜集的用户敏感信息存在一定程度的泄露风险。田际云称,一般平台方会将用户信息保存在相关服务器及云端,用于用户营销或分析,一旦该APP因为安全漏洞或其他问题泄露,就可能导致用户信息大面积泄露。
事实上,我国《网络信息安全法》中对网络运营者搜集个人信息作出明确表述,要求必须经被收集者同意,且不得收集与其提供服务无关的个人信息。然而在实际操作中,很多 APP 会在第一次使用时在隐私条款中注明,但绝大部分人都是直接忽略同意。
田际云告诉记者,苹果手机可以根据个人需求对APP做权限控制,部分安卓手机也可以。他建议用户多选择大公司、知名公司的 APP,并且去正规商店或官网下载,降低被滥用的可能。