男子使用情趣用品时被录音 安卓应用存在过度授权、权限滥用

这些“越界”的权限是哪些？

　　以“王者荣耀攻略”为例，该APP由吕元飞开发，提供游戏相关图片和视频，基本只有展示功能，但它要求获取修改系统设置、地理位置、查看手机状态和身份等明显与核心业务不相关的功能。

　　圆圆是一名王者荣耀玩家，她告诉南都记者，自己下载“王者荣耀攻略”就是想看看攻略，学习怎么把游戏打得更好，并未留意会收集自己哪些信息。“一般APP如果收集位置信息不是会提示么，我没有收到提示哎。而且这个APP显示通过安全检测，就没有看过其他的了”，圆圆说。

　　事实上，多数用户都与圆圆一样，对于应用普遍存在获取 “越界”权限的问题并不注意。

　　在南都记者查看的50款APP中，最严重的当属“获取精确位置”权限，有29个无相关功能的APP要求获取，匪夷所思的是，其中还包含不少主题类和视频类APP。

　　19个APP拥有“读取通讯录”的权限，其中也不乏只有几张图片的主题壁纸类应用。

　　这些权限无一例外与APP的核心功能毫不相关，却与用户隐私有着密不可分的关系。

　　位置信息可以用来勾勒出用户的行动范围和路线，从而精确定位到个人；通讯录则包含了他人的电话号码，一旦授权获取并被用于商业目的，将对自己和他人都造成困扰。

　　南都记者此前就报道过，一些社交应用强制要求用户在注册时开放通讯录权限，并利用获取到的联系人信息发送推广短信，很多人不胜其扰。

　　一些应用强制获取用户的联系人数据并群发广告短信。

　　还有更“奇葩”的。豌豆荚里的“王者荣耀浏览器”被安装到手机之后，除了拍照、位置信息的权限，它还要求用户开放录音权限。也就是说，一个浏览器也可以随时对你录音。

　　据安卓市场官方简介，“王者荣耀浏览器”由“广州掌阔信息科技有限公司”开发，公司地址为广州市天河区黄村大道自编98号。

　　南都记者根据地址找到这家公司。虽然正值工作时间，但仅数平米的办公室内仅摆放了一张桌子，没有一个办公人员。类似这样的“公司”，在同一楼层还有至少30间，都是门上贴着公司的名字，”办公室”里却非常狭窄，大部分连一张桌子都没有，更没有一位员工，并不像有人办公的正规公司地址。

　　此外，南都记者也试图通过电话与公司联系，听闻是记者，对方立即挂断了电话并不再接听。

　　工作日，广州掌阔信息科技有限公司门口。

　　申请读取的权限

　　与通知你的可能不同

　　如果说应用商店简介中列出的权限已令人担忧，APP真正获取的权限许可就可谓触目惊心。

　　一款APP中，除了应用商店简介，通常还能从另外三处查看到获取权限列表：第一处，是安装应用时（或首次打开时）跳出的权限列表，用户直接可见。但南都记者随机采访了20名安卓手机用户，其中19人都表示从来不会仔细看这个列表，“太长了，不会认真看。”

　　第二处是安装包中的xml文件。网络上的安全测试平台多可测试出这一列表中的权限，它相当于列明了一款应用“向安卓系统申请允许读取用户哪些权限”?

　　“这虽然不代表应用一定会读取列表中权限关联的各项隐私，但通俗地说，这像是拿到了打开你家门的钥匙。”爱加密科技有限公司工作人员萧何向南都记者介绍。

　　而第三处，则是程序中与敏感权限相关的代码行，北京大学软件安全小组组长张汉与萧何均向南都记者介绍，代码行中出现的权限相关命令可以认为只要条件合适就会开始读取用户相关权限，与实际的行为几乎等同。

　　据此，南都记者以感融互联网金融服务有限公司的“王者荣耀视频网”（百度手机助手下载）为例进行了更加详细的测试。

　　在北京大学软件安全小组、北京邮电大学软件学院与爱加密科技有限公司技术帮助下，南都记者将这款应用上述四处的权限一一列出对比：

　　王者荣耀视频网明示与实际权限的对比。

　　在上图中，王者荣耀视频网在简介中称只会读取用户6项权限，但安装时弹出的提示中则列出了20项权限，在安装包中至少向安卓系统申请了21项权限的许可。技术人员则从其代码中又发现了“获取手机IMEI编号”与“网络下载”等10项敏感函数。

　　这意味着，一个APP代码中写入的隐私获取命令与申请读取的权限不同，申请读取的权限与通知用户的不同，通知用户的与简介中的也不相同。

　　可以说，一个用户想确切获知一款应用究竟获取了自己哪些权限，十分困难。