常見問題2017/03/22

【蘇州APP開發】APP「瘋狂」呼叫許可權背後 使用者隱私或暴露無遺

生活越來越離不開手機,各種APP在不斷方便我們的生活:如出門用百度地圖、看電影用美團購票、外賣用百度外賣、打字用搜狗輸入法……

但在APP使用率增多的背後卻是不斷被獲取的許可權和個人資訊。近日,剛換新手機的廣州市民黃先生在給新的安卓手機安裝各種常用APP時,發現每安裝一款APP都有呼叫許可權的提示。「本機識別碼、位置、攝像頭、運動資料、日程……」劉先生對《中國經營報》記者稱,「為什麼一個手電筒需要讀取聯絡人?一個輸入法要讀取位置許可權?這些被呼叫的許可權會不會洩露自己隱私?」

APP拿到這些資訊之後能幹什麼?APP開發人員李傑(化名)向記者道出了其中玄機:「如果想知道的話,我們可以通過使用者同意被呼叫的位置、通訊錄、攝像機等許可權,知道使用者都有什麼朋友,去了哪裏,跟誰打了電話,拍了什麼照片……」

是什麼原因致使安卓系統的APP要求這麼多許可權?他們是否有權力呼叫這些許可權?這些被呼叫的許可權是否真有必要?使用者又要如何保護自己隱私資訊?

  用許可權挑戰使用者體驗

劉先生的遭遇並非孤例,記者的安卓手機安裝程式的列表中也發現,幾乎大部分的APP都要求使用使用者的位置、通訊錄、攝像機等許可權。安裝新浪微博時彈出呼叫許可權頁面:「未開啟手機許可權,會導致微博無法正常使用,請在‘系統設定——應用——微博——許可權管理’中開啟手機許可權。」

而使用率頗高的淘寶,在索取許可權上也絲毫不客氣。記者安裝手機淘寶時也收到了:「爲了保證您正常、安全地使用手機淘寶,當需要我獲取您撥打和管理電話許可權時,請點選允許。拒絕後手機淘寶將無法正常執行」的提示。

「當然也有不少APP會批准使用者,可以有選擇性地跳過呼叫請求。但一旦使用者選擇跳過呼叫許可權,雖然可以使用手機APP,下次再開啟,依舊會彈出呼叫許可權的申請。如此反覆,直到你同意呼叫許可權。」劉先生對記者稱。

但這依舊讓人疑問,這些被呼叫的許可權是否真有必要?輸入法呼叫位置許可權是否真如段子所言:「輸入法會根據使用者位置自動判斷要輸入的是‘F’還是‘H’?」針對此問題,李傑告訴記者:「其實大多數APP並沒有什麼必須呼叫的許可權。」

「支付寶、美團等的APP需要讀取位置資訊是基於它要推送周邊的優惠資訊;微博要讀取通訊錄,則是希望接入使用者的聯絡人,進行關注推薦,提高使用者在微博上的黏性,提高留存率。」前述人士續稱,「手機淘寶呼叫通訊錄,則是意圖獲取使用者的聯絡人之後可以推廣告。比如說,你的誰誰也買了某個商品,誘導你購買。而在評論區,如果你的熟人評論了,他們可能也會告訴你,這是你的熟人,你也可以購買這個商品。」

除了APP開發者對收集使用者資訊的慾望之外,易觀媒介入口分析師趙子明認為,沒有第三方的監管也是APP過多呼叫許可權的原因之一。

「Android是一個較為自由開放、易操作的手機作業系統,它的系統結構可以被開發公司自由地更改。國外的APP上線,一般要經過Googleplay的幾重上線稽覈,如果應用稽覈環節沒有通過,將會被打回。這就在一定程度上限制APP通過呼叫許可權收集使用者資訊的行為。」

相比之下,「大多國內使用者使用的安卓系統,不少系統開發者可以根據自己的喜好、需求設計、開發一個APP。而APP上線後也沒有一個類似Googleplay這樣的機構進行稽覈。」為此,趙子明還舉了一個例子,「比如,微博在Googleplay的版本要求的許可權就比較少,安裝包也比較小。」

  使用者資訊保護存隱憂

雖然不少許可權都是在手機使用者的默許下被呼叫,但這依舊有不小的風險。

「開啟APP時,就被要求讀取聯絡人、相簿、位置等許可權;如果要進一步使用APP,還必須要註冊,被要求填寫個人電話、住址、身份證號等資訊。這些資訊都彙集到商家後臺資料庫。」李傑進一步透露說,「APP後臺管理人員可以通過使用者同意被呼叫的位置、通訊錄、攝像機等許可權獲知到使用者的大量資訊。」

「其實,不呼叫這些許可權,這些APP也可以正常使用。」李傑自己也感慨道,「安卓應用呼叫許可權特別瘋狂。」

「雖然目前保護公民個人資訊僅散見於《民法》等法律法規中,但手機APP應當如實地根據業務需求進行請求,獲取相應的許可權。如果事先沒有得到使用者批准,通過預設或者植入病毒等方式獲得公民隱私則屬於不當獲取。」廣東法制盛邦律師事務所律師陳亮依舊對手機APP的呼叫行為存有疑慮。

在陳亮看來,如果APP以A目的獲取到的公民資訊,卻用於從事B活動,則屬於以虛假理由欺騙使用者,非法獲取資訊,屬於違法行為。

APP通過正當手段獲取公民隱私資訊後,也需要履行保護公民資訊、防範被洩露的義務。與此同時,獲取到的公民資訊也只能用在為使用者,提供服務中,不能進行非法牟利,諸如進行買賣獲利。

對於呼叫許可權收集到的資訊會不會被販賣、洩露時,李傑表示:「收集到的資訊一般是做使用者消費分析,以便進行更精準的推送和APP改進;有些資訊收集了雖然目前沒必要的,但可以爲了以後(開發)做準備。」

「如果有人想要更多的使用者資訊,會去跟運營商或者快遞公司購買,通過他們拿到的使用者資訊更全更準確。」前述人士續稱。

雖然如此,但「讀取簡訊的許可權就會獲知你的銀行卡賬號、登入驗證碼等資訊,而檢視通訊錄則會使得不少實名制的聯絡人資訊洩露。」趙子明對此表示了自己的擔憂,「大公司不會出售使用者資訊,但不排除會有某個員工或者黑客入侵時洩露資訊。」

作為蘇州APP開發企業的領航者,智奇勝承諾智奇勝開發的任何一款APP均不會獲取多餘的使用者許可權,這也極大的保護使用者隱私,讓使用者使用APP更放心。