男子使用情趣用品时被录音 安卓应用存在过度授权、权限滥用

　　越权背后，商业利益“不要白不要”

　　退一步说，即使获得了完全的权限列表，用户就能做出有利于自己的选择吗？

　　答案是否定的。正如开篇的例子中，用户同意APP开启麦克风，以为只是用于发送语音，谁知会却被录音。

　　一位从事安卓手机开发的技术人员告诉南都记者，实际上获取大部分用户隐私信息并不用来完成应用某项功能，而是用于进行未来业务规划。

　　“比如说拿到用户的位置，就知道自己的用户在哪个省份比较活跃，未来如果公司想开线下实体店，就会优先选择某些省份；而拿到用户的通讯录，主要是为了社交联系，推荐你通讯录里的好友也来使用同一产品”。上述技术人员表示。

　　对于这一现象，360安全专家刘洋告诉南都记者，开发者获取用户隐私信息大多是为了营销和推广。“推送精准的广告需要对人群精准的锁定：会用我产品的人是男是女？收入什么水平？手机里都有哪些应用？……这些人群的描摹工作都是通过大量的用户数据完成的。”

　　值得注意的是，一些应用在开发过程中还会将其中一些功能模块交给第三方来实现，如接入一个云服务的模块、插入一个流量统计的模块等等，这些第三方公司也同样可以从应用中获取用户权限。

　　“第三方的功能也不一定需要这些权限，但既然开了这个端口给我，大家的想法就是不要白不要……”前文中的技术人员表示。

　　可见，大多数隐私信息的获取实际上并非为了方便用户，而是有利于应用开发方的商业利益。

　　根据今年6月1日施行的《网络安全法》第41条规定，网络运营者不得收集与其提供的服务无关的个人信息。实际上，上述行为已经违反了法律的相关规定。

　　如此轻巧地获取与使用用户的隐私权限，对应的现实却是安卓令人担忧的安全现状。据相关报告显示，几乎所有的安卓手机与应用都存在大大小小的漏洞，一旦被攻破，用户的隐私便会“裸奔”。

　　以读取短信的权限为例，刘洋告诉南都记者，对用户来说，它主要的作用是收到验证码时懒得手动复制，需要程序自动填入时会用到，此外，还可以方便保存短信的内容到应用中。

　　大多数用户并未意识到，短信内有收取验证码、银行余额信息等个人隐私，安全意义重大。

　　如若不小心安装了短信拦截木马，就会读取手机中的短信内容，后台自动回传到木马制作者指定的邮箱或手机上，这不但会使更多的骚扰电话跟随你，还可能有不法分子利用拦截到的短信验证码，登录支付平台，电商网站进行盗刷。更有耐心的犯罪分子，会通过非法渠道购买到银行卡账号、交易密码、身份证等信息，进入网上银行，进行直接转账，甚至帮受害者申请几笔小额贷款。

　　据360公司2017年第一季度数据统计，今年新增的短信拦截马恶意程序就有56762个，在隐私窃取类的恶意程序中占了近1/3，共感染了675761部手机。

　　因此，用户即使能够看到权限列表，但不能清晰地知晓这些权限会带来的影响，这种“知情”意义有限，付出的代价却是巨大的。?

　　安卓原生系统多被修改

　　“明示同意”难实现

　　“知情”尚且如此困难，“同意”似乎更无从谈起。

　　2017年6月1日起正式实施的《网络安全法》第二十二条规定：

　　网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。

　　然而，南都记者发现，除了常见的开启相机、定位、麦克风弹窗提示外，很少有APP会明示告知用户将获取其它权限，并主动弹出窗口获取用户同意。

　　既然《网络安全法》规定，获取用户信息需要“明示同意”后才能得到权限，安卓应用市场为何不能规范应用对权限的获取行为并提供“明示同意”服务？

　　实际上，安卓系统早已注意到这一点。2015年5月，安卓推出6.0系统。在此之前，安装应用时跳出的权限只有一个列表，要么通通同意，点击“安装”，要么拒绝全部，直接“取消”。这实际上是一种形式化的“明示同意”，用户并没有真正选择权。

　　为了改变这一现状，安卓6.0及以上的版本将权限分为两类：一类是普通权限，不涉及用户隐私，不需要进行授权，比如手机震动、访问网络等；另一类是危险权限，涉及到用户隐私，在使用时需要用到此功能时进行弹窗提醒用户授权。

　　?这一更新无疑很好地规范了权限获取与“明示同意”的应用行为。

　　然而，南都记者试用发现，大陆常用的安卓手机大都不使用安卓原生系统，而是对安卓系统进行了改写。例如，华为手机在下载华为应用市场中的应用时并不会跳出授权弹窗，小米手机也对从小米应用市场中下载的应用进行了“豁免”。

　　“手机厂商会根据自己的需要对系统进行改写，他们会自己编写想要的权限明示方式”，刘洋对南都记者说。

　　?由于手机原生应用市场会对上架应用进行安全检查，因此豁免手机原生应用市场的应用并不是最令人担心的。

　　更可怕的是，南都记者尝试用系统已经更新的魅族手机下载了百度手机助手，并在助手中下载了“王者荣耀论坛”，在安装时，系统弹出权限列表，并允许用户逐项选择“开启”、“关闭”或是“使用时询问”，做到了明示同意。

　　在列表中，南都记者对摄像头、音频等功能点击了“使用时询问”选项。随后，南都记者打开应用，试图拍摄一张照片并发布，但却发现系统没有跳出询问弹窗便直接使用了拍照功能。这意味着，安装时用户的授权形同虚设，应用绕过授权获取了用户的相机权限。

　　事实证明，不同手机厂商，不同应用商店都会根据自己的需求对于权限授予做出改变，用户面对的依然是一个杂乱而无法掌握的安卓权限获取现状。