專業人士對新京報記者表示,只要用戶給予APP相關權限,技術上是可以做到監聽等操作的。但也有人表示,不會有人這么做,因為很容易被發現。
不是所有安裝都會提示授權
上周,江蘇省消保委以手機應用侵犯消費者個人信息,兩次約談無整改為由,向百度公司提起民事訴訟。
根據江蘇省消保委的說法,在百度公司最終提交的整改方案中,對手機百度、百度瀏覽器兩款APP中“監聽電話”、“讀取短彩信”、“讀取聯系人”等涉及消費者個人信息安全的相關權限,并未進行整改,也未明確提示消費者軟件申請獲取權限的目的、方式和范圍并供消費者選擇。
百度方面表示,在過去的幾個月里,百度與江蘇省消保委已經就手機APP的隱私保護和用戶權限管理機制問題進行了多輪溝通,百度也對江蘇消保委方面的疑問進行了多次說明和澄清。百度表示:“我們會繼續與江蘇省消保委積極溝通,與消保委一起讓個人信息安全得到更廣泛的重視、在互聯網及其他行業得到更充分的保護。”
手機百度高級經理田彪向媒體展示了一段手機百度安裝并獲取權限的視頻。視頻中,一臺恢復出廠設置的手機,在首次下載安裝和使用手機百度APP時,會彈窗提示用戶是否授予電話、位置及存儲權限。
當然,并不是所有安卓手機在首次下載手機百度時都會出現彈窗。現場演示環節中使用的另一款手機在下載手機百度時就沒有出現彈窗。田彪指出,有的系統會授予它認為安全的APP一些權限,安卓系統的權限授予非常復雜,權限授予完全取決于手機系統本身,而并非由APP自身判斷和決定的。
百度:所獲權限都有使用場景
江蘇消保委和百度之間一個重要的分歧點就是,手機百度、百度瀏覽器是否存在過分調用用戶數據的問題。此前,江蘇消保委表示,用戶在安裝手機百度、百度瀏覽器兩款APP前,未被告知百度公司獲取各種權限的目的。作為搜索及瀏覽器類應用,上述權限并非提供正常服務所必須,已超出合理的范圍。
過度調用用戶數據的問題由來已久,騰訊社會研究中心與DCCI互聯網數據中心聯合發布的《網絡隱私安全及網絡欺詐行為研究分析報告(2017年一季度)》顯示,手機APP越界獲取個人信息已經成為網絡詐騙的主要源頭。高達96.6%的安卓應用會獲取用戶手機隱私權限,而iOS應用的這一數據也高達69.3%。越界獲取隱私權限是指手機應用在自身功能不必須的情況下獲取用戶隱私權限的行為。
據百度方面介紹,目前手機百度和百度瀏覽器較為常用和敏感的權限包括存儲、獲取地理位置、讀取通訊錄、攝像頭、麥克風、短信等,這些權限都有非常明確的使用場景,也均需用戶授權后才能夠開通,開通后也可以隨時關閉。
比如,讀取通訊錄,是在社交和手機充值場景下的授權;提供基于位置的天氣信息、手機百度接入百度地圖等服務時,需要獲得位置權限;讀取短信授權的使用場景,是在手機錢包綁定銀行卡情況下,幫助用戶便捷讀取短信驗證碼進行登錄注冊。當用戶需要使用圖像搜索和語音搜索時,則彈窗提醒用戶授予攝像頭及麥克風權限。如果用戶還有調取通訊錄進行手機充值的使用需求,則需要通過彈窗提示,點擊授權同意APP調取通訊錄權限。
追問1
百度的兩款APP獲取了哪些權限?
1月8日,新京報記者使用安卓手機安裝手機百度和百度瀏覽器APP時發現,手機百度開啟時要求獲取“位置權限”以及“存儲權限”,百度瀏覽器在打開頁面時除了上述兩項權限外,還要求獲取“電話狀態”權限。拒絕授予上述權限后,這兩款應用就都無法開啟。
當記者允許這兩款應用獲得位置權限及存儲權限后,兩個應用可正常使用。但記者在手機的“應用權限”一欄中發現,除經記者同意開啟存儲和位置權限外,百度瀏覽器還自動開啟了相機權限、電話權限以及麥克風權限;在“單項權限”一欄中,其開啟的權限還包括調用攝像頭、啟用錄音、獲取瀏覽器上網記錄。手機百度則自動開啟了通訊錄權限和電話權限,“單項權限”中開啟的權限包括讀取本機識別碼、讀取聯系人以及應用自動啟動等。事實上,上述權限記者均未在打開應用時授權,屬于應用“暗中開啟”。
百度方面昨日稱,有的系統會授予它認為安全的APP一些權限,權限授予取決于手機系統本身,而并非由APP自身判斷和決定。
相對于安卓系統,手機百度和百度瀏覽器兩個APP在iOS系統中對權限的索取則“低調”不少。用戶只要下載安裝就可立即使用,并沒有出現安卓環境下安裝時彈出的權限索取提示。在iOS系統中的“允許訪問”界面中,這兩個APP也并未自動開啟其他權限。只有當記者在使用APP中“圖片搜索”和“語音搜索”功能時,才會跳出要求開啟相應權限的選項。
南洋理工大學互聯網相關專業人士告訴新京報記者,APP向安卓系統和iOS系統所要求的權限不同,一個主要原因是iOS系統使用了沙盒機制。
記者查閱資料發現,沙盒機制在計算機領域指一種安全機制,為運行中的程序提供隔離環境,確保應用程序只能在為該應用創建的文件夾內讀取文件。上述專業人士稱,此前iOS系統曾被用戶詬病無法像安卓一樣輕松傳輸數據或實現APP間跳轉,部分原因也是受限于沙盒機制的安全考慮。
追問2
手機APP能否監聽用戶電話?
對于手機百度和百度瀏覽器受到的“監聽電話”質疑,手機百度昨日表示,“無論是蘋果還是安卓系統,根本不可能向應用開發者提供能監聽用戶電話的接口或權限。百度的手機應用沒有能力、也從來不會申請這一權限。”
不過,互聯網安全專家劉海(化名)表示,只要用戶給予了APP相關權限,技術上是可以做到監聽電話等操作的,至于做不做就看APP方想不想了。
“電話權限至少可以分為電話通訊錄、通話記錄、錄音權限以及讀取本機識別碼四種。”1月8日,北京互聯網從業者趙謙(化名)告訴新京報記者,“其中涉及監聽電話的是錄音權限這一項。如果在打開電話權限的基礎上再啟用錄音權限,APP方從技術上是可以監聽電話的。”
系統沒有開放接口或權限也能實現監聽嗎?趙謙表示,“APP方通過錄音然后存儲錄音文件,再調文件上傳,同樣可以達到監聽用戶通話的效果。”一名白帽黑客也對新京報記者直言“錄音和通話接口不是一回事”。
對于上述監聽方法,獵豹移動安全專家李鐵軍告訴新京報記者,很少有人真的這么做。“這種數據監聽,然后上傳的行為很容易被發現。這個過程需要APP有調用錄音的動作,APP代碼就能識別。如果出現這種情況,手機端的安全軟件就能發現,任何一個會程序逆向分析的人都能發現。”
趙謙還介紹稱,在安卓系統中,APP方獲得相應的權限就可以拿到對應的信息。“手機管家和應用寶上都可以顯示權限,如果用戶不給批準,APP方PC上的內容就顯示為空白,但用戶如果同意了(通訊錄)權限,立馬幾百個聯系人的信息就都過去了。”
事實上,目前大部分手機用戶都并不清楚自己開通相關權限后,將會把什么信息暴露在風險之中。
一家互聯網企業的架構工程師舉例稱,如果用戶向APP開放相應權限,可以讀取到一個叫做“MAC地址”的東西。MAC地址指向手機中一個負責WiFi通信的芯片,它有一個ID來標識手機獨一無二的身份,其本意是幫助手機連接WiFi信號,但它也有一個“副作用”,就是讓旁邊的WiFi基站知道了有誰在附近。“
追問3
APP是否有必要獲取那么多權限?
去年7月,江蘇省消保委對用戶較多且具有一定行業代表性的27家APP所屬企業進行了調查和約談,包括12306、愛奇藝、去哪兒旅行、騰訊視頻、蜻蜓FM、百度瀏覽器、手機百度等。
1月8日,新京報記者用安卓系統體驗了曾經一同被約談的12306、去哪兒旅行、騰訊視頻、蜻蜓FM四個應用對用戶權限的索取情況。體驗發現,12306、去哪兒旅行、蜻蜓FM均在開機前向記者索取了相關權限。其中,12306索取了位置、相冊、電話狀態等5項權限,去哪兒旅行要求獲取存儲權限,蜻蜓FM則要求電話權限。騰訊視頻沒有索取任何權限。
除了在APP打開界面“明示”的權限外,在后臺“應用權限”列表中,記者發現去哪兒網、騰訊視頻均直接開啟了電話權限,去哪兒網的電話權限中包括撥打電話和讀取本機識別碼兩項權限,騰訊視頻則只有讀取本機識別碼一項權限。
“為什么要這么多的權限,有些應用明明不需要。”劉海表示。
而北京志霖律師事務所律師、中國互聯網協會信用評價中心法律顧問趙占領認為,收集個人信息有無必要,取決于產品的功能和定位,“一些新聞客戶端收集用戶訪問記錄,分析用戶興趣、偏好,以便實現精準推薦,這并不違反必要原則”。
新京報記者查詢多位手機用戶的APP發現,大部分APP都開啟了“讀取本機識別碼”權限。公開資料顯示,許多APP需要從手機中讀取一個標識符來標識用戶,相當于在用戶未登錄的情況下讓服務器知道用戶身份,要讀取這個標識符就需要申請電話權限,這也是大部分APP需要獲取電話權限的原因。
需要注意的是,上述四款APP雖然都開啟了電話權限,但均未開啟錄音權限。
記者梳理發現,在安卓系統手機中,應用索取最多的幾個權限分別為“讀取本機識別碼”、“讀取已安裝應用列表”、“讀取位置信息”、“調用攝像頭”、“懸浮窗”和“啟用錄音”六項。
追問4
用戶個人信息靠什么保護?
初次安裝“手機百度”后打開APP時,頁面底端的一行小字會默認勾選“已閱讀并同意手機百度《服務協議》和《隱私政策》”,如取消勾選則無法使用手機百度。
記者查閱了這兩份協議。《服務協議》提到,百度搜索軟件會為用戶的短信、通話記錄和通訊錄等建立索引以便用戶查找信息,但在該服務過程中用戶的信息不會被上傳。《隱私政策》中以加粗加下劃線的形式強調:數據信息采用匿名的方式。同時,會對信息采取加密處理,保證信息的安全性。該政策承諾,一般情況下不會未經用戶同意向任何第三方共享用戶的信息。
一位互聯網從業人員向新京報記者表示,多數APP會要求用戶同意與百度《服務協議》《隱私政策》類似的授權協議,但很少有用戶會仔細閱讀協議的內容。“仔細讀的話會發現,按照協議,用戶使用APP所產生的數據是歸APP方所有。這樣APP就‘合理合法’地獲得了獲取用戶信息的途徑。”
“根據相關法律法規,網絡服務提供者收集個人信息需要遵循正當、合法、必要原則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”趙占領表示,江蘇消保委起訴百度關鍵有兩點,一是百度獲取權限、收集用戶信息是否經過用戶同意,二是有無必要收集這些個人信息。
趙占領認為,手機百度用戶“已閱讀并同意手機百度《服務協議》和《隱私政策》”可以認為是收集個人信息經過了用戶的同意,“只是部分個人信息沒有單獨通過彈窗的方式獲得授權,但是目前法律沒有明確規定獲得用戶同意的方式,實踐中絕大多數的應用都是通過用戶協議約定的方式進行”。
據趙占領介紹,我國目前已經制定了多部與個人信息保護相關的法律;江蘇消保委起訴百度作為涉及個人信息保護的公益訴訟,將有助于社會各界更好地厘清個人信息的范圍以及收集個人信息的法律邊界,有助于各界增強個人信息保護的意識。
新京報記者 馬婧 羅亦丹 朱玥怡
先我們需要有別人app的安裝包。以釘釘為例,咱可以去它的官網下載,也可以去應用寶下載。
有了apk安裝包,我們就可以去分析它了。
作為一個android 開發人員,android studio肯定是有的。怎么下載安裝它,我這里就不說了。
打開android studio,隨便打開一個項目。菜單選擇Build-->Analyze APK
Analyze APK
然后選擇下載好的APK安裝包,就可以看到應用的信息了。
分析結果1
我們可以看到它的應用包名是:com.alibaba.android.rimet。版本名稱:6.3.40。版本號:1008。知道了它的包名,那么我們就知道它安裝到手機后,它的外部存儲目錄為/Android/data/com.alibaba.android.rimet。當然如果它想把文件保存到其它目錄,也是可以有的。
從分析中我們還能看到什么?
應用用到的資源文件、配置清單(AndroidManifest.xml)……都可以看到。xml寫的布局、動畫、顏色……都一目了然。
不喜歡圖形化界面,想用命令行可以嗎?
蘋果或Linux系統下,可以運行/Android/Sdk/tools/apkanalyzer 腳本。這個腳本是shell腳本,據說不存在apkanalyzer.bat,所以windows下不能直接用命令行來運行。一定要在windows下運行,cygwin下應該可以運行。
encent OS(下面簡稱TOS)是騰訊科技研發的安卓操作界面,并且已經公測很久了。小編以前因為沒有可以刷入TOS的機型,所以一直沒有體驗到,最近有一些機緣巧合讓小編成功用上的TOS,今天就來跟大家分享一下。
本次評測用的TOS為基于TOS patchrom計劃適配的ROM,官方版本號為:20151215,以下內容可能與最新版本有極小偏差,請諒解
首先是刷入后的初始設置,整個過程與大部分ROM類似,但是通過上面的提示文字來看,相對人性化一些,而且藍色這個配色,也顯得無比純凈。最后會提示登錄QQ,因為TOS的云服務是基于QQ的。
進入桌面,從鎖屏到桌面,TOS都默認采用了藍色風格;鎖屏為上滑解鎖,之后進入桌面,可以圖標是各種形狀都有,相對現在的主流ROM來說比較另類,但是整體給人的感覺是很棒的。
下拉通知采用了高斯模糊,通知與開關在一個頁面上。開關的每一個圖標均為白色,打開后變為藍色,和其他將開關作為一個非透明圖標的ROM相比,這么做無疑是顯得更加整潔。
通過滑動下面抽屜,可進入應用搜索/全部應用(即上圖第4頁)。這個功能小編是不太喜歡的,因為應用分類之后,很少用到應用搜索功能,而且目前主流ROM都采用了全局搜索,所以我希望TOS以后能將這個功能修改為全局搜索!
從圖中我們看出,撥號與通話界面是依然的簡潔。短信頁面,我們嘗試查詢了一下流量,TOS自動將短信轉換為了更易看懂的卡片,非常的人性化。
同時TOS為用戶提供了16GB的云服務存儲空間,云服務可以幫我們自動備份相冊,應用,桌面布局,通訊錄,通話記錄,短信,便簽,WIFI等重要信息。16GB雖然不大,但是存儲這些信息,綽綽有余!
之后我們打開了桌面上的應用,原以為應該是應用寶,打開后才發現,這是一個重新為TOS打造的應用商店,精簡掉了應用寶內的大量多余內容,做出了TOS的輕便。當然,內置瀏覽器也重新打造,使用的是”QQ瀏覽器 Tencent OS 定制版“。
最后是任務管理器,TOS采用的是卡片式后臺,還是比較流行的;唯一不足的地方是不能顯示剩余內存,不知道是不是故意設計成這樣。
TOS有一個強制沉浸機制,上面第一張圖為不能主動沉浸的”“APP,TOS強制讓它做到了”沉浸“,但不是很完美,MIUI目前已經做到了大部分應用完美沉浸,希望TOS也能改進。
小編后來又在做夢上看到個不太起眼的”管理中心“,打開后發現是類似的”安全中心“的一個內置APP;在管理中心中,安全軟件常用的功能基本上都可以找到,并且可以通過權限管理開啟root權限;流量管理被獨立了出來,并沒有放在管理中心中。
文件管理的風格也是非常不錯的,上半部分為最近文件,中間為分類瀏覽,支持壓縮解壓文件
,但是沒有私密文件夾功能,每個人都有點小秘密,這個功能必不可少,畢竟TOS公測也沒多久,以后應該會加入更多用戶想要的功能!
總結:
TOS的整體體驗是非常棒的,內存控制的很好,也很美觀,但是功能較少,不過作為剛剛起步的ROM來說,這已經很不錯了!
經過體驗,小編認為這個ROM適合普通用戶使用,反應速度快不臃腫。而作為發燒用戶,TOS的功能可能就不足以滿足大家了!
本文由頭條號“夢想學習天地”編寫,未經允許禁止復制,轉載請注明出處