18应用中涉及的手机应用是必备的,用户数量在千万级或上亿级以上:输入法(搜狗输入法、百度输入法、迅飞输入法、QQ输入法、触摸宝贝输入法);浏览器(UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、华为浏览器(2个版本));集成视频(优酷视频、腾讯视频、爱奇艺视频、芒果电视和啤酒)评估的内容涉及两个方面:应用敏感权限的授权请求方法,以及所应用的敏感权限是否具有与其对应的服务功能。对
的评估发现,问题主要集中在一些申请敏感权限的应用程序没有实际的相应功能,以及一些应用程序采用了过低版本的安卓目标应用程序接口。其中,在与用户个人信息密切相关的167个“敏感权限”中,发现了25个没有实际功能比较的权限应用,主要集中在:电话权限(5)、短信权限(15)、位置权限(2)、日历权限(2)、阅读附件(1),所有这些都与最终用户的个人信息密切相关
值得注意的是,针对4个应用程序的安卓目标应用编程接口版本设置得太低例如,猎豹浏览器的版本是19,相当于安卓2013年的版本。北京捷星信息源信息技术有限公司测试部总经理盛大江(Shanda Jiang)表示,低API目标版本意味着这种授权方式不能被用户授权,只需说明即可。这将导致许多潜在的安全风险,例如用户在权限管理领域知道但无法控制的问题,以及可以规避系统安全机制的漏洞,这些漏洞很容易导致用户的个人信息泄露,并导致大量的终端安全和个人信息保护风险。
为此,上海市消费者保护委员会进行了300多次多维测试,法律技术团队与企业沟通50多次,审查了企业提供的数十份报告。2018年10月,上海市消费者保护委员会与手机应用企业进行技术交流。经调查,相关企业也对存在的问题进行了解释和优化。据统计,在短短一个月内,所有相关的应用厂商已经淘汰了23个无用的权限,3个应用升级了应用编程接口目标版本,并且都向公众发布了新的修订版。
2年11月和018年,上海市消费者保护委员会再次对这18份申请的最新版本进行了技术验证在新版本中,仍然有一些用途不明的敏感权限应用程序。猎豹浏览器(4.87.4)申请了与电话相关的PROCESS _ OUTGOING _ CALLS权限和SEND_SMS权限,具体用途不明。投宝输入法(6.8.0.5)存在:申请(发送_短信)和(访问_精细_位置)与短信和位置相关的权限,具体用途不明;芒果电视(6.0.2)存在:申请短信相关的(发送_短信)权限,具体用途不明
上海市消费者保护委员会副秘书长唐建生认为,个人信息保护的关键是规范个人信息的收集和使用。重视个人信息保护是应用开发者诚实可信的体现。他建议相关企业是否可以制定自律和自律的集体标准,以便消费者能够更自信地使用这些标准。