越界代碼很普遍 超半數APP留索取用戶通訊錄“后門”

嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、悟空理財等10個APP申請了全部6項敏感權限；作業幫、中興智能家居、宜人貸、紅包鎖屏等7款APP安裝后自動上傳用戶位置信息

8月13日，《2019年上半年我國互聯網網絡安全態勢》發布，報告指出，每款APP應用平均收集20項個人信息，大量APP存在探測其他APP或讀寫用戶設備文件等異常行為，這再度引發公眾對移動APP違法違規收集使用個人信息問題的熱議。

目前，用戶判斷APP收集了哪些信息主要以其索取的權限為依據。新京報記者近兩年來持續關注APP索取權限發現，目前絕大多數APP均會明示提醒索取的權限，但APP究竟在什么時候上傳了哪些用戶信息，APP在技術層面能否窺視用戶隱私，對于普通用戶來說依然成謎。

近日，新京報記者聯合國家計算機病毒應急處理中心，對109款APP的安裝包APK進行了引擎檢測，檢測結果發現，83.6%的APP安裝包中均含有超出其原本業務范圍之外的權限代碼。109款APP中有超過半數的APP安裝包里含有索取用戶通訊錄的代碼。

據此新京報發布了“個人隱私報告第一期”，本次報告重點關注APP越界索取權限問題。109款APP中嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、飛嘀打車、中國工商銀行、悟空理財、平安好醫生、開心消消樂10個APP申請了全部6項敏感權限，申請的敏感權限最多。

83.6%的APP含越界代碼，中移動旗下的和包支付“越界”嚴重

6月18日，新京報記者對比《網絡安全實踐指南-移動互聯網應用基本業務功能必要信息規范》中劃定的不同行業APP應該索取的權限范圍，基于安裝APP后開啟的權限提示，測試了50款常用APP，發現其中有24個APP索取的權限超出范圍，占比48%。

而6月25日至27日，新京報記者聯合國家計算機病毒應急處理中心，對109款APP的安裝包APK內含有的涉及隱私權限的代碼進行了引擎檢測，檢測結果發現，除微信、虎牙直播等18款APP外，其余83.6%的APP安裝包中均含有超出其原本業務范圍之外的權限代碼。

根據《網絡安全法》第四十一條，網絡運營者不得收集與其提供的服務無關的個人信息；而《網絡安全實踐指南-移動互聯網應用基本業務功能必要信息規范》給出了哪一類APP收集信息的范圍標準，超出標準即為越界。

具體來看，在讀取聯系人、錄制音頻、讀取短信、發送短信、發起電話呼叫、拍攝照片和錄制視頻六個涉敏感權限中，上述109個APP中有57款APP“越界”含有讀取聯系人的代碼，占比51.8%；有44款APP“越界”含有錄制音頻的代碼，占比40%；有30款APP“越界”含有拍攝照片和錄制視頻的代碼，占比27.2%。而讀取短信、發送短信、發起電話呼叫三項APP權限被“越界”含有的比例則在20%左右，相對較少。

其中，和包支付的安裝包APK擁有全部上述6個涉隱私敏感權限，但依據《網絡安全實踐指南-移動互聯網應用基本業務功能必要信息規范》，和包支付所屬的金融借貸類APP基于其基本業務功能所能收集的必要信息包括手機號碼、身份信息、征信信息等，上述6個涉敏感權限與其基本業務功能無關。

和包支付是中國移動面相個人和企業提供的一項綜合性移動支付業務，開發者為中國移動旗下子公司中移電子商務公司。截至目前，其在華為應用市場中有3340萬次安裝。

而作為游戲類APP的開心消消樂的安裝包APK同樣擁有全部上述6個涉敏感權限，不過基于該APP的類型，錄制音頻屬于其基本業務功能之內，但讀取聯系人、讀取短信、拍攝照片和錄制視頻等其他5項權限不屬于其基本業務功能之列。

“實際上，絕大多數用戶對APP的隱私協議是‘看都不看’的，對于權限的開啟也往往不是很在意，因此看APP到底有能力獲取哪些權限，在技術上直接看代碼是最為方便的。”8月16日，在網安部門負責APP檢測的程序員小武告訴記者，“代碼不會說謊”。

嘀嗒出行、百合婚戀等APP安裝包申請全部6項敏感權限

近日，新京報記者聯合國家計算機病毒應急處理中心，對109款APP的安裝包APK進行了引擎檢測。

新京報記者查閱109個APP安裝包所申請的6個涉敏感權限列表發現，大多數APP都申請了3至4個敏感權限，而嘀嗒出行、百合婚戀、和包支付、瑞錢包、e代駕、飛嘀打車、中國工商銀行、悟空理財、平安好醫生、開心消消樂10個APP申請了全部6個敏感權限，申請的敏感權限最多。

國家計算機病毒應急處理中心在發給新京報記者的檢測報告中注明，通過上傳的APP應用，自動識別出移動應用所屬的行業，并對應到《網絡安全實踐指南-移動互聯網應用基本業務功能必要信息規范》中不同行業應有的權限集合，與被檢測應用的AndroidManifest.xml文件進行比對，將多余部分的權限定義為權限濫用。

根據APP專項治理工作組發布的《APP申請安卓系統權限機制分析與建議》，如果APP因業務功能需要申請系統權限，通常情況下，APP開發者可通過在AndroidManifest.xml配置文件中明確聲明的方式(靜態方式)，以及在代碼運行階段請求的方式(動態方式)申請系統權限。

“AndroidManifest.xml指的是APP安裝包中的配置文件，其包含了APP安裝所必要的各個組件，其中也有其申請的系統權限集合列表?！眹矣嬎銠C病毒應急處理中心工作人員告訴記者，“例如，android.permission.READ_CONTACTS代表讀取通訊錄權限，擁有該代碼的APP在‘基因層面’就具備了讀取用戶通訊錄的意圖?！?/p>