App过度获取权限后做了什么让她“害怕第二天的到来”？( 九 )_图1

在现实情况中，一款A pp在应用商店或首次开启后显示申请的权限并不意味着实际只调取这些权限。对用户而言，也很难知晓相关代码是否被执行，或者有无足够必要性。

为此，除了考察被测A pp隐私政策透明度、用户端实际操作行为是否合规外，在此次测评中，南都个人信息保护研究中心分别通过两个途径，利用技术手段对部分App的iOS客户端和Android客户端个人信息收集情况进行分析。这两种渠道分别是利用“直节隐私合规助手”进行测评分析，以及联合第三方测评机构中国金融认证中心（CFCA）技术检测手段进行分析。

根据中国金融认证中心（CFCA）的测试结果，Android版本号为3.4.6的“融360”存在如果用第三方账号登录，会将用户第三方平台上的社保与公积金查询账号密码发送至己方的业务服务器，由后台代为查询的问题，并且使用的是明文传输。中国金融认证中心认为，如果明文传输，黑客很容易就能通过网络嗅探和劫持的方法获得这些信息，存在安全风险。

另一款名为“榕树贷款”的Android3.3.3版本App，除了存在上述行为，还被检测捕捉到应用调用系统接口获取通话记录、联系人信息、短信记录等行为，并在数据流量中发现上送信息。在对“榕树贷款”的短信记录权限进行检测时，类似“老板该给我涨工资了”的短信内容明文可见。