欢迎您光临本站,如有问题请及时联系我们。唯一指定客服QQ:1518918268

被劫持的不只是浏览器主页 手机APP过度索取权限何时休

    热度:℃      作者:互联网

在调查浏览器主页被劫持的过程中,记者发现手机APP也是互联网技术欺凌的重灾区。什么是“灾难”?记者进行了调查。

"我的手机APP一打开网页,各种抽奖广告就弹出来了."观看视频需要访问我的通讯簿,但如果不打开该访问权限,我将无法观看“下载APP后需要获取我的地理位置信息,未经同意不能安装。”…移动应用需要太多权限,过度信息收集非常普遍。他们也是被吐槽和投诉技术欺凌的“重灾区”。

记者在百度搜索框中键入“APP权限”,立即显示“APP权限过大”、“需要禁止哪个APP权限”的搜索提示。有400多万百度相关搜索结果“APP权限过大”,有200多万搜索结果“哪些APP权限需要禁止”。

中国人民大学信息学院教授孟晓峰在调查了40多万个应用后发现,目前应用的权限有近40种,但大部分权限并不符合实现应用功能的正常要求。

前不久,上海市消费者权益保护委员会对39款手机应用的个人信息权进行了评估,结果显示,超过60%的应用在用户安装时申请了很多敏感权,但没有提供实用功能,包括阅读通讯录、电话权、短信权、定位权等。

DCCI互联网研究所首席专家胡艳萍告诉记者,为了提供服务和增强体验,一些应用程序请求许可和收集信息是合理的,但应该有界限。“大多数用户不知道APP希望这些权限做什么,也没有仔细了解每个权限的风险。很容易不自觉地陷入风险盲区。”

安装APP时,在用户不知情的情况下,更难防止移动APP中“恶意元素”造成的技术侵权。中国科学院信息工程研究所副研究员刘表示,这种APP技术入侵主要通过三种方式实现

首先,用攻击者的安装包替换正常的APP安装包,或者在用户正常安装时安装恶意的APP。“运营商”通常是第三方应用商店或手机中的恶意软件;

第二,手机中的恶意软件监控移动APP的运行状态并对其进行攻击。比如用户打开一个APP的界面,被恶意软件检测到后,假界面开始覆盖原界面,导致用户在假界面输入自己的账号信息,被攻击者获取;

第三,手机中的恶意软件会中途劫持用户对某个页面的访问,用返回错误或包含恶意代码的页面来替代。比如用户在使用APP时会被插上不良广告,而运营商通常是不良运营商和手机中的恶意软件。

安全专家表示,APP中过度权限请求等技术欺凌行为不仅影响用户体验,还可能导致隐私泄露甚至财产损失。腾讯发布的《2018年手机隐私权限及网络欺诈行为研究分析报告》显示,手机APP是重要的隐私泄露渠道之一。

智能手机是常用的移动互联网终端,存储用户的社交、行为偏好、生活规则、账户密码、照片和视频等隐私数据,甚至包括业务。胡艳萍说,一些应用程序在境外获得许可,用户不小心陷入了“重围”。手机中的个人信息始终处于“裸奔”状态,无异于被应用程序“劫持数据”。

如果部分权限被恶意应用获取,会造成更大的风险。例如,APP所需的日历权限允许读取、共享或保存日历数据。如果该权限被恶意APP使用,可能会被用来跟踪用户的日常行程;电话权限被恶意应用程序使用,可能产生额外的电话费,泄露智能设备独有的编码信息;通过恶意APP软件获得通讯录权限后,不仅联系方式泄露,而且很可能被传播垃圾邮件、短信或电话的人使用,可能给日常生活带来骚扰,而且

“APP技术欺凌给用户手机带来了新的隐患,可能成为攻击者攻击其他目标的跳板。特别是获得高权限APP,可以随意控制用户的手机。”刘对说道。

为什么APP运营商需要获得这么多权限和数据?专家表示,大数据的应用使得个人数据越来越有价值。一些APP运营商通过各种手段收集用户信息,甚至未经用户同意,主要是受大数据背后的经济利益驱动。

“比如APP抓取了大部分用户的手机通讯录后,会将通讯录中所有人的电话、姓名、地址等信息汇总到一个用户数据库中,从而给用户准确的‘画像’,通过推送广告获得收益。”胡艳萍说,“这些信息和数据甚至会被反复多次出售,被网络黑产业链利用。”

针对过度的APP和跨境手机权限,安全专家表示,APP获取个人信息应遵循三个原则:一是最低必要原则,即APP获取的信息是否是服务的必要数据;第二个是用户知识原理,即第一次使用APP时,需要提示用户是否开通某项服务。即使选择不打开,也不会影响APP其他功能的正常使用;三是必要保护原则,即APP在合规采集用户数据时,要保证数据安全,确保不被泄露、出售或滥用。

来源:本文由互联网原创撰写,欢迎分享本文,转载请保留出处和链接!部分信息来源互联网,如有侵权,请联系删除。