成功获取权限后 , App就有了读取用户信息的权利 。 很多情况下 , App需要将用户产生的信息从设备传输到服务器进行处理 。 在这个过程中 , 可能涉及到身份证号、银行账户、人脸信息等敏感个人信息 , 因此对数据加密至关重要 。
技术测评结果显示 , “学而思网校”“爱彼迎”等29款App未对传输的数据内容加密 , 占比近两成 , 用户的电话号码、身份证号、昵称、账号密码、验证码、手机型号以及地理位置均明文可见 , 存在数据泄露的高度风险 。
文章图片
学而思网校App数据传输内容
文章图片
爱彼迎App数据传输内容
3
莉景天气五分钟内调取定位超两千次
近年来 , 小米、华为、苹果手机陆续上线记录App活动的功能——App何时访问了什么数据 , 一目了然 。 借助这一功能 , 微信、美团被曝出在后台频繁访问相册、地理位置;经南都采访人员实测 , 支付宝、中国农业银行、王者荣耀、大众点评等App也存在类似行为 。
在汉华飞天信安科技有限公司的技术支持下 , 报告对150款App在一段时间内调用敏感权限的频率进行测评 , 包括前台和后台两种场景 。
报告参考《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》(征求意见稿) , 将标准定为:对于定位权限 , 在地图导航、位置追踪等实时定位场景中 , 合理调取频率为每秒1次;展示周边可用服务等场景下 , 每30秒1次;识别当前地址等场景下 , 只应一次性读取 。 至于其他敏感权限 , 均只能在用户主动触发时读取或经用户明确授权后读取 。
测评结果显示 , App处于前台时 , 有多达135款频繁调用权限 , 且集中于定位、IMEI号(设备识别码)以及剪切板三类 , 分别对应的App数量为134款、128款和58款 。
文章图片
频繁获取敏感权限的App数量分布
其中情况较为严重的如“莉景天气” , 平均每分钟调用定位权限约153次;“网易新闻”平均每分钟内调用定位权限近17次 。 此外 , “腾讯视频”平均每分钟读取IMEI号约202次 , “网易新闻”平均每分钟读取约48次 。
此外 , “高德地图”“微信”“抖音”等58款App在用户未主动触发相关功能时读取剪切板 , 其中“DJ音乐库”每分钟读取约8次 。 “钉钉”“柚卡”等App则在测评期间多次调用了日历权限 。
上述实测情况是App处于前台的情况下 。 当处于后台时 , 调用权限的频率整体上有所下降 , 只有“莉景天气”五分钟内读取了2286次位置信息 , 频率甚至超过处于前台时 。
推荐阅读
- 功能|小米 Watch S1图赏:商务气质新系列,稳步入场不急切
- 年轻人|呼叫全城玩家,魔都首发「表情包地铁」启程,2022蓝不倒!
- |南安市司法局“加减乘除” 打造最优法治营商环境
- |南安市交通运输局强化渣土 运输安全专项整治
- |南安市交通运输局:履行行业监管职责,扎实推进公路工程中介服务专项整治
- 功能|Linux 微信官方版 2.1.1 正式发布
- 软件和应用|iOS/iPadOS端Telegram更新:引入隐藏文本、翻译等新功能
- 方面|摩托罗拉 moto X30 推送 mr1 版更新:优化性能,新增大量功能
- 视点·观察|科技行业都在谈论“元宇宙”,可是它还不存在
- IT|新能源汽车年底卖爆 展车都被抢购 咋回事?