軟件“越界索權”該治了

　　智能家居APP(應用軟件)要上傳用戶的WiFi(無線網絡)密碼，閱讀APP要讀取用戶通訊錄，游戲APP要獲取用戶的位置……智能手機時代，豐富的手機應用為使用者的日常生活帶來極大便利，但一些過度索取權限的APP，也給用戶的信息安全造成不小的隱患。

　　治理手機應用“越位”、保護個人信息安全，不能隻靠用戶的“火眼金睛”，更需為APP的權限劃定界限。

　　惡意APP數量在增長

　　二季度，工信部組織對55家手機應用商店的應用軟件進行技術檢測，發現違規軟件42款，涉及違規收集使用用戶個人信息、惡意“吸費”、強行捆綁推廣其他應用軟件等問題，已責令下架。

　　調取手機的某些權限，是手機APP正常運行的必經步驟。記者調查發現，在安卓手機中，有以下幾個權限最常被調取。其一是“讀取已安裝應用列表”，借此可以了解和分析用戶的使用習慣﹔其二是“讀取本機識別碼”，主要用來確定用戶的身份﹔其三是“讀取位置信息”，通過獲取位置，搜集用戶的活動范圍，例如導航類軟件就必須調取這一權限。

　　然而，並非所有的APP都能做到“安分守己”。一段時間以來，手機APP過度調用權限、獲取用戶信息等行為時常見諸報端。尤其是大量山寨和盜版APP，通過調用大量權限的方式，侵害用戶的個人隱私和財產安全。

　　據統計，2016年，12321網絡不良與垃圾信息舉報受理中心共接到不良手機應用有效舉報1085455件次，同比上升49.1%，山寨應用竊取用戶信息等問題最為突出。同年，國家計算機網絡應急技術處理協調中心(CNCERT)通過自主捕獲和廠商交換獲得移動互聯網惡意程序205萬余個，較2015年增長39%。

　　業內人士表示，類似的惡意手機應用程序，雖然在正規的網站和應用商店中受到一定的控制，但通過非正規應用商店途徑傳播的情況還在增長。

　　積累用戶數據才是目的

　　DCCI互聯網數據中心在《2016年中國安卓手機隱私安全報告》顯示，非游戲類APP獲取隱私權限普遍增多，越界行為增長明顯。例如，高達13%的非游戲類APP越界獲取“位置信息”權限，9.1%的非游戲類APP越界獲取“訪問聯系人”權限﹔高達26%的APP越界獲取“位置信息”權限。

　　除了過度獲取權限外，還有的APP以更隱蔽的方式獲取用戶信息。近日，有文章稱，京東旗下一款名為“京東微聯”的智能家居應用軟件，在沒有明確告知用戶的前提下，擅自將用戶的WiFi密碼上傳至服務器。對此，京東技術團隊回應稱，雖然黑客對HTTPS(安全超文本傳輸協議)傳輸通道的劫持是比較困難的，但京東微聯未來會對敏感信息進行二次加密。

　　因為這一行為涉嫌侵犯用戶的個人信息，存在一定的安全隱患，在網絡上引起了不小的爭議。在事件之外，人們也在討論，為何有如此多APP熱衷“越位”，獲得用戶信息？

　　有業內人士指出，手機APP往往可以免費下載，但互聯網企業要通過應用營銷變現，就需要盡可能多地收集用戶數據。數據越多，越有精准營銷的優勢。雖然未必所有的數據都有用，但在大數據時代，足量的數據就意味著更多的商機。

　　加強監管才能治本

　　數據顯示，截至去年，中國的手機APP數量已超過1700萬個。從聊天、吃飯到購物、出行，手機應用與日常生活的結合日益緊密。一旦過度索取權限的行為泛濫，將大大增加用戶信息泄露的風險。

　　事實上，對於這一行為，相關部門早有規定。《移動互聯網應用程序信息服務管理規定》指出，未向用戶明示並經用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能。今年6月1日起施行的《網絡安全法》也規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，並經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息。

　　盡管有明確規定，但仍有互聯網企業頂風作案，其中甚至不乏互聯網巨頭。業內人士指出，大企業尚且如此，小企業就更“上行下效”了。此外，目前對於不守法者的懲罰缺乏明確規定，缺少知名判例或罰則，由此也讓互聯網企業有了僥幸心理。

　　對於應用授權等手機安全問題，可以依靠用戶自身防范加以避免，但目前的現狀不容樂觀。數據顯示，用戶對各類手機安全風險的認知仍需加強，有超過1/4的用戶在遭遇手機信息安全事件后不會採取任何措施進行處理。

　　對此，業內人士指出，加強監管和執法力度，才是解決此類問題的治本之策。監管部門可以從應用商店入手，通過管理平台間接管理APP，加強應用商店的審核標准，不斷改善APP過度索取用戶信息的局面。記者 劉 峣

分享讓更多人看到