主页(http://www.175shouji.com):沪消保委:警惕网购类APP日历权限带来的潜在风险
饿了么存在获取“读取通话记录”的权限,但并未发现与之对应的实际功能
神州租车存在获取“电话”相关权限和“录音”的权限,但并未发现与之对应的实际功能
参加测评的APP
格瓦拉生活存在获取“发送短信”“读取联系人”“录音”的权限,但并未发现与之对应的实际功能
此外,本次评测发现不少网购类APP获取了日历权限,而调查也表明,超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
为推动相关问题的解决,上海消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。但截止到3月23日,仍有9款应用未能就其权限和功能无法对应的问题进行改进。聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1)神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)。问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
上海市消保委认为,日历权限给消费者带来的可能性风险大于给消费者带来的便利,网购类平台使用日历权限给消费者带来的场景可以用其他技术手段加以替代。上海市消保委希望消费者和APP开发者都能对日历权限加以重视。如消费者经常使用日历记录敏感事项,对APP的日历权限应谨慎授权。APP开发者如无十分必要,建议尽可能不使用手机日历权限。
9款应用未能就其权限和功能无法对应的问题进行改进
14款应用敏感权限与实际功能均能对应
评测发现,有14款应用敏感权限与实际功能均能对应。
上海市消保委于2019年1月对网购平台、旅游出行、生活服务等39款手机应用开展了手机APP涉及个人信息权限评测。本次评测主要从四个维度进行:一是APP所使用的目标API级别。当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式 ,存在可规避系统安全机制的漏洞;二是APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;三是注敏感权限的授权方式。是否存在一揽子授权的模式,如何向用户提出授权请求;四是查看是否存在无实际功能对应用的权限申请。
央广网上海3月27日消息(记者傅闻捷 韩晓余)近日,网上出现手机APP“偷听”监控用户的新闻令使用者备感不安。手机应用权限有没有过度申请?针对疑问,上海市消保委近期针对网购平台、旅游出行、生活服务类手机APP开展了涉及个人信息权限的评测。
聚美存在获取“发送短信”的权限,但并未发现与之对应的实际功能
