记者从上海市消保委获悉,其于3月27日发布了针对39款网购平台、旅游出行、生活服务等手机App涉及个人信息权限的评测结果,共有25款存在问题,穷游、百度糯米、神州租车等9款App存在向消费者索取的权限与实际功能不对应的问题。同时, 日历 权限风险令人担忧。
北青报记者了解到,上海市消保委本次共对39款手机App开展评测,主要从四个维度进行:App所使用的目标API级别,当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式,存在可规避系统安全机制的漏洞;App敏感权限的数量,重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;注敏感权限的授权方式,是否存在一揽子授权的模式,如何向用户提出授权请求;查看是否存在无实际功能对应用的权限申请。
经评测发现,有14款应用敏感权限与实际功能均能对应。也就是说其余25款软件都存在问题。随后,上海市消保委与手机App企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。截止到3月23日,30款应用全部实现在敏感权限的申请、使用方面做到了合理申请、自主授权。
截止到3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进。问题涉及发送短信、录音、拨打电话、读取联系人、 监控外拨电话,重新设置外拨电话的路径 、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
此外,本次评测发现,不少网购类App获取了日历权限。网络调查显示,52.5%的消费者用手机日历功能记录个人行程。其中,24.7费者选择记录日常生活行程;18.5%的消费者记录日常生活及工作等行程。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
上海市消保委认为,日历权限给消费者带来的可能性风险大于给消费者带来的便利,网购类平台使用日历权限给消费者带来的场景可以用其他技术手段加以替代。据此,上海市消保委希望消费者和App开发者都能对日历权限加以重视。消保委建议:如消费者经常使用日历记录敏感事项,对App的日历权限应谨慎授权;App开发者如无十分必要,建议尽可能不使用手机日历权限。
