APP安装包暗藏玄机：超半数留索取用户通讯录“后门”

2019年7月18日，智能手机屏幕上显示的FaceApp应用程序。该软件近日在 上广泛传播，但一些程序开发人员对其隐私条款提出担忧，质疑该软件私自上传用户其他照片，并滥用照片数据。

据此新京 发布了“个人隐私 告第一期”，本次 告重点关注APP越界索取权限问题。109款APP中嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个APP申请了全部6项敏感权限，申请的敏感权限最多。

83.6%的APP含越界代码，中移动旗下的和包支付“越界”严重

根据《 络安全法》第四十一条， 络运营者不得收集与其提供的服务无关的个人信息；而《 络安全实践指南-移动互联 应用基本业务功能必要信息规范》给出了哪一类APP收集信息的范围标准，超出标准即为越界。

具体来看，在读取联系人、录制音频、读取短信、发送短信、发起电话呼叫、拍摄照片和录制视频六个涉敏感权限中，上述109个APP中有57款APP“越界”含有读取联系人的代码，占比51.8%；有44款APP“越界”含有录制音频的代码，占比40%；有30款APP“越界”含有拍摄照片和录制视频的代码，占比27.2%。而读取短信、发送短信、发起电话呼叫三项APP权限被“越界”含有的比例则在20%左右，相对较少。

其中，和包支付的安装包APK拥有全部上述6个涉隐私敏感权限，但依据《 络安全实践指南-移动互联 应用基本业务功能必要信息规范》，和包支付所属的金融借贷类APP基于其基本业务功能所能收集的必要信息包括手机 码、身份信息、征信信息等，上述6个涉敏感权限与其基本业务功能无关。

和包支付是中国移动面相个人和企业提供的一项综合性移动支付业务，开发者为中国移动旗下子公司中移电子商务公司。截至目前，其在华为应用市场中有3340万次安装。

而作为游戏类APP的开心消消乐的安装包APK同样拥有全部上述6个涉敏感权限，不过基于该APP的类型，录制音频属于其基本业务功能之内，但读取联系人、读取短信、拍摄照片和录制视频等其他5项权限不属于其基本业务功能之列。

几款APP 申请了全部6 项敏感权限，有的是越界索取权限。

嘀嗒出行、百合婚恋等APP安装包申请全部6项敏感权限

根据APP专项治理工作组发布的《APP申请安卓系统权限机制分析与建议》，如果APP因业务功能需要申请系统权限，通常情况下，APP开发者可通过在AndroidManifest.xml配置文件中明确声明的方式(静态方式)，以及在代码运行阶段请求的方式(动态方式)申请系统权限。

例如，嘀嗒出行具备音频与拍照功能，拥有录音与拍照权限较为合理，但其同时也拥有读取联系人权限，这与其基本业务功能不符。

宜人贷、红包锁屏、瑞钱包等“自动”上传用户位置信息

需要注意的是，引擎检测只能检测APP安装包内的权限“基因”，无法判定APP行为。

这14款APP包括360借条、和包支付、红包锁屏、看拍、球球大作战、瑞钱包、搜狗输入法、同花顺、微锁屏、悟空理财、宜人贷、中兴智能家居、作业帮等。

其中，球球大作战、作业帮、中兴智能家居、宜人贷、红包锁屏、瑞钱包等7款APP在首次打开并对弹出的提示框点击确定，并不做任何其他操作的情况下，向 站上传了用户的经度和维度定位信息。其中作业帮上传的内容精确到了检测机构所在的天津市滨海新区。

中国人民大学法学院教授刘俊海认为，自由和权利是有边界的，APP若贪得无厌，索取权限超过法定范围就构成侵权，侵犯了消费者的隐私权与个人信息权，此时APP应该“悬崖勒马”。

《APP申请安卓系统权限机制分析与建议》也显示，APP应遵循“最少够用”原则，即APP应只申请实现业务功能所必需的系统权限。选择系统权限时应选取能满足业务功能所需的“最少够用”的权限，比如，使用“粗略地理位置”即可达到业务目的，完成业务功能的，避免使用“精确地理位置”。

未发现APP窃听用户谈话

《2019年上半年我国互联 络安全态势》指出，在目前下载量较大的千余款移动APP中，每款应用平均申请25项权限，其中申请了与业务无关的拨打电话权限的APP数量占比超过30%；每款应用平均收集20项个人信息和设备信息，包括 交、出行、招聘、办公、影音等；大量APP存在探测其他APP或读写用户设备文件等异常行为，对用户的个人信息安全造成潜在威胁。

近期，苹果、脸书、亚马逊、微软四个国外互联 巨头也分别曝出“窃听门”，脸书官方承认其存在人工转录用户语音记录的行为。

■问题1

为何92%的人认为APP会泄露个人隐私？

8月16日至19日，新京 以“你觉得APP会不会泄露你的个人隐私信息”为题在微博、今日头条以及微信朋友圈进行了问卷调查，汇总调查结果显示，200个回复的手机用户中，有184人认为“会泄露”，有16人认为“不会泄露”，认为APP会泄露隐私的用户占到了调查总数的92%。

■问题2

你的通讯录是否已被你用的APP读取？

109个APP中有57款APP“越界”含有读取联系人的代码，占比51.8%。

国家计算机病毒应急处理中心工作人员称，“
android.permission.READ_CONTACTS代表读取通讯录权限，拥有该代码的APP在‘基因层面’就具备了读取用户通讯录的意图。”

国家计算机病毒应急处理中心工作人员将代码比喻为APP的“武器库”，“检测出来了就说明APP有‘武器’，但APP是否拿出这个‘武器’并予以使用，还要看后续具体用户是否同意权限申请。”

梆梆安全CTO方宁表示，要检测APP是否上传了用户隐私数据，需要通过做逆向分析、渗透测试等方式，但这需要具备专业的技术能力，普通老百姓不可能做到。

■问题3

APP会否窃听你的谈话？

业内人士称，窃听性价比不高。APP专项治理工作组曾发文称，“偷听”的性价比确实不高。因为APP要克服识别环境噪音、是否是非本人购物意向等，相比用户平时的搜索、浏览、订单历史习惯，“窃听”录音的行为属于舍近求远，避简就繁，不符合商业逻辑。

此外，窃听行为违反《 络安全法》第四十一条“ 络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度； 络运营者必须公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”的相关规定，企业如果存在使用技术手段“偷听”语音并上传的行为，对企业声誉的影响是致命的。