華為小米商店多款APP暗開敏感權限 代用戶審核遭疑

（原標題：暗開敏感權限 小米華為“代用戶審核”？）

在OPPO（左圖）、小米（右圖）手機應用商店首次下載打開優(yōu)酷時開啟的權限。

在vivo（上圖）、華為（下圖）手機應用商店首次下載打開優(yōu)酷時開啟的權限。

新京報記者此前調查測試各類APP發(fā)現(xiàn)，安卓系統(tǒng)下，多個常用APP存在未經明示提醒就收集敏感信息的行為。近日，記者進一步調查發(fā)現(xiàn)，同一款APP在不同品牌手機的安卓系統(tǒng)下，讀取敏感信息的行為也不同。

1月24日至2月8日，新京報記者在華為、小米、OPPO、vivo四款市面上常見手機的內置應用商店下載APP時發(fā)現(xiàn)，天貓、攜程、58同城、優(yōu)酷、今日頭條、愛奇藝、趕集網(wǎng)七款APP在華為和小米應用商店下載時未經明示提醒就默認開啟了定位或其他敏感權限，而在OPPO和vivo應用商店下載時則基本都對其權限進行了明示提醒。

“正常的APP下載時都會有授予權限的操作，個別APP沒有只能說明和手機內置的應用市場有關系?！睆氖掳沧肯到y(tǒng)開發(fā)的李宇（化名）告訴記者，“事實上，當APP處于手機廠商的白名單列表中時，應用商店就有可能替用戶省略掉提示權限的操作?！?/p>

北京郵電大學移動互聯(lián)網(wǎng)與大數(shù)據(jù)安全聯(lián)合實驗室主任馬兆豐博士曾表示，一些APP產品廠商和軟件商店有合作，以白名單模式放行本該提示用戶知情的選擇權，從而沒有進行“明示同意”的提示，這并不符合個人信息安全使用規(guī)范和要求。

華為小米商店多款APP隱私提示不全

根據(jù)《網(wǎng)絡安全法》第四十一條規(guī)定，網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

中國國家標準化管理委員會發(fā)布的《信息安全技術?個人信息安全規(guī)范》（下稱《規(guī)范》）對個人敏感信息做出了定義，也明確了收集信息的原則。其中重要的一條是“選擇同意原則”，即APP方需要向個人信息主體明示信息處理目的、方式、范圍等，征求其授權同意。規(guī)范自2018年5月1日正式開始實施。

《規(guī)范》指出，收集個人敏感信息時，應取得個人信息主體的明示同意。明示同意則指個人信息主體通過書面聲明或主動做出肯定性動作，對其個人信息進行特定處理做出明確授權的行為。

“APP使用過程中，用戶在看到權限要求彈窗時點擊了同意，這就是肯定性動作。”李宇稱，“具體來說，肯定性動作包括用戶主動做出聲明（電子或紙質形式）、主動勾選、主動點擊同意、注冊、發(fā)送、撥打等?！?/p>

但目前市面上并非所有APP都按規(guī)定對所要求的權限進行了明示提醒。此前江蘇省消保委就曾以手機應用侵犯消費者個人信息，兩次約談無整改為由，向百度公司提起民事訴訟。手機百度高級經理田彪此前回應稱，有的系統(tǒng)會授予它認為安全的APP一些權限，安卓系統(tǒng)的權限授予非常復雜，權限授予完全取決于手機系統(tǒng)本身，并非由APP自身判斷和決定的。

為驗證權限授予究竟是否會因手機系統(tǒng)的差異產生變化，1月24日至2月8日，新京報記者分別在華為、小米、OPPO、vivo四部安卓系統(tǒng)手機上安裝了相同的十一款APP。這十一款APP分別是天貓、攜程旅行、百度地圖、騰訊視頻、百度、京東、58同城、今日頭條、優(yōu)酷、愛奇藝和趕集網(wǎng)。

測試結果顯示，同一款APP，在不同品牌手機應用市場下載時，所進行的明示提醒也不相同。其中，部分APP在vivo、OPPO手機安裝后對敏感權限進行了明示提醒，在華為、小米手機安裝后則并未對敏感權限索取進行明示提醒。

其中，百度、百度地圖、京東、騰訊視頻四款APP在上述4個品牌手機下載并首次打開時，都會對用戶進行明示提醒，而其余七款APP所明示提醒的權限則根據(jù)手機品牌的不同產生了不同的結果。

以天貓為例，當記者通過華為、小米、OPPO手機的內置應用商店下載該APP時發(fā)現(xiàn)，首次安裝使用時其并未出現(xiàn)任何明示提醒，而通過后臺的權限設置則發(fā)現(xiàn)，天貓在小米手機安裝后，默認開啟了定位、相機、錄音權限；在華為手機安裝后，默認開啟了定位、相機、讀取通話記錄權限；OPPO手機安裝后，未開啟任何權限；vivo手機安裝后，明示提醒并開啟了定位權限。

記者測試發(fā)現(xiàn)，天貓、攜程、58同城、優(yōu)酷、愛奇藝、今日頭條、趕集網(wǎng)七款APP在華為和小米手機內置應用商店下載時均在沒有明示提醒的條件下默認開啟了定位等敏感權限，而在vivo和OPPO手機內置應用商店下載時，除優(yōu)酷在OPPO安裝時默認開啟了攝像頭和錄音外，其余APP均做到了明示提醒。

從上述實例來看，11款APP中，百度、京東等4款APP在小米和華為做到了所有敏感權限的明示提醒，10款APP在OPPO上做到了所有敏感權限的明示提醒，11款APP都在vivo上做到了所有敏感權限的明示提醒。

手機應用商店“代”用戶“審核”APP權限

“造成不同手機品牌上APP權限索取情況不一樣的原因，是每家手機品牌應用市場上線APP的審核策略不同導致的。”李宇稱，“作為APP方，肯定要老老實實的申請權限，再根據(jù)應用市場商家審核的要求有所改變?！?/p>

2月6日，新京報記者以開發(fā)者身份聯(lián)系華為應用市場負責審核的相關人士，想要了解自身APP能否以默認開啟通訊錄權限的方式上架華為應用市場。得到的答復是，“權限是否選擇默認開啟，開發(fā)者可以在自己的SDK（軟件開發(fā)工具包）中‘自行實現(xiàn)’?！钡撊耸客瑫r表示，若應用索取權限過高，可能存在讀取用戶通話記錄、讀取用戶通訊錄、讀取用戶短信記錄、獲取用戶手機號碼、通知欄推送廣告等情況，就不符合華為應用市場審核標準。

“應用市場一般執(zhí)行最低權限策略，除非權限是剛需，比如讀取通訊錄是為了實現(xiàn)加通訊錄好友?！崩钣罱忉尫Q，“至于APP具體能夠開啟哪些權限，要看應用商店的審核要求。如果應用商店覺得你索取的權限出于正當目的，就可以上架，至于默認開啟權限的功能，只能是與應用商店有關?！?/p>

需要注意的是，應用商店本身就具備審核功能，如《小米應用商店應用審核規(guī)范》明確規(guī)定應用未提示用戶或未經用戶授權情況下不得搜集、傳輸或者使用用戶的位置信息。而《OPPO應用市場審核規(guī)則》也規(guī)定未經用戶授權，不得搜集、傳輸或者使用用戶的位置信息。

根據(jù)華為發(fā)布的《華為應用市場2017年度安全報告》，華為應用市場2017年全年接納了64.7萬次應用上架申請，其中20.2萬沒有通過審核，通過率為68.8%。在沒有通過審核的APP中，有15.4%的未通過原因是被華為判斷“存在惡意行為”。

“從應用商店下載APP本身必須要經過安全監(jiān)測，對用戶的隱私保護是一則利好，但手機廠商賦予了內置應用市場一個更高的權限，從而繞過了原版安卓系統(tǒng)的權限提示，這本身也違反了《規(guī)范》中的選擇同意原則，不符合相關規(guī)定。”李宇表示。

2月5日，記者在華為手機上使用瀏覽器下載了天貓APP安裝包后發(fā)現(xiàn)，在安裝過程中確實對索取的權限進行了明示。但當使用應用商店下載時，明示提醒就不見了。

“通過瀏覽器下載時，上面就列出了所有的權限提示。你如果在應用商店里邊裝的話，它就把這個過程給你省略掉了。因為應用商店本身是內置在這個系統(tǒng)里的，它的權限是叫廠商權限，基本上和root的權限差不多高，所以它有能力做這些事情?！卑鸢鸢踩邪l(fā)中心副總裁方寧解釋稱。

在方寧看來，原版系統(tǒng)和應用市場上下載到的APP所采用的都是同一個程序，但當用戶通過手機內置應用商店下載APP時，應用商店占主導地位，有話語權，APP方必須要通過應用商店的審核才能上架自己的應用?！斑@一點蘋果和其他手機廠商都不一樣，由于蘋果的操作系統(tǒng)無法像安卓一樣定制，所以就不會出現(xiàn)廠商權限的問題。”

不同品牌手機隱私權限判斷不同

新京報記者測試發(fā)現(xiàn)，不同手機品牌對隱私權限的判定也不相同。

例如從小米和華為內置應用商店下載愛奇藝時，雖然沒有任何明示提醒，但從后臺權限系統(tǒng)觀察，可以發(fā)現(xiàn)小米手機關閉了愛奇藝撥打電話權限，但開啟了定位和錄音權限；華為則相反，關閉了定位錄音權限，卻恰恰對撥打電話權限“網(wǎng)開一面”。

騰訊視頻在四款品牌手機上都明示了隱私協(xié)議，這也意味著在法理上騰訊視頻可以開啟隱私權限。但記者查閱后臺權限系統(tǒng)發(fā)現(xiàn)，騰訊視頻在華為和小米手機上沒有開啟任何隱私權限，但在OPPO手機上則開啟了攝像頭和錄音權限。

對此，一家APP負責開發(fā)定制的技術人員向新京報記者表示，雖然手機都是安卓的，但并非谷歌的純原版系統(tǒng)，由于不同手機廠家對用戶體驗以及產品設計上的理念有區(qū)別，所以每個手機廠商都會對自己的系統(tǒng)做出些自己的優(yōu)化。如OPPO可能會對一些權限沒有設定默認使用，而另一些品牌手機可能就默認通過了。另一方面，開發(fā)者按照原型和產品需求，在軟件設計中也可以設定不進行彈窗提示，但在上架不同應用商店時，也會有不同的規(guī)則要求，這個規(guī)則可能也會影響APP最終權限的表現(xiàn)方式。

不過，在獵豹安全專家李鐵軍看來，廠商對安卓系統(tǒng)進行的“優(yōu)化”，從成本角度，一般不會改太多。因為“改動越大，之后的版本升級代價也就越大?！?/p>

實際上，手機廠商和APP對用戶隱私數(shù)據(jù)的博弈，早就已經開始。

2017年8月，華為和騰訊曾就用戶數(shù)據(jù)使用一事發(fā)生爭執(zhí)。事情的起因是華為榮耀Magic手機主打的高度識別用戶場景，比如在聊天過程中提及“看電影”這樣的文字時，手機會自動給出當前熱門的電影推薦，并進一步推薦附近的影院甚至是選座買票。

但這一技術的實現(xiàn)需要進行相應的數(shù)據(jù)分析，騰訊因此指責華為“獲取騰訊的數(shù)據(jù)，侵犯了微信用戶的隱私?！?/p>

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。