APP安装包藏玄机:超半数留索取用户通讯录后门|安装包|通讯录

时间:2019-08-30 来源: 厦门新闻


APP安装包隐藏神秘:超过一半的预订请求用户通讯录“后门”

10个APP安装套餐,包括嘀嗒,百合婚姻,包裹付款,瑞钱包,电子驱动,悟空财富管理,适用于所有6个敏感权限;功课,中兴智能家居,愉快贷款,红包锁屏等“自动”上传用户位置信息。

28a4-icmpfxa4115468.jpg

款的担忧,质疑软件私下上传其他用户照片和滥用照片数据。

8月13日,《2019年上半年我国互联网网络安全态势》被释放。报告指出,每个APP应用程序平均收集20个个人信息,大量APP有异常行为,如检测其他APP或读写用户设备文件,再次触发公众收集非法违规移动APPs 。关于使用个人信息问题的热烈讨论。

目前,用户主要根据其请求的权限判断APP收集的信息。在过去两年中,“新京报”记者继续关注APP请求许可发现。目前,大多数APP都表示允许请求许可,但APP何时上传哪些用户信息,APP可以在技术层面查看用户隐私。普通用户仍然是个谜。

最近,联合国计算机病毒应急响应中心的新京报记者对109个APP安装包进行了引擎测试。测试发现,83.6%的APP安装包中包含超出其原始业务范围的权限代码。应用程序中的109个应用程序中有一半以上包含请求用户通讯簿的代码。

据此,“新京报”发布了第一期“个人隐私报告”。本报告重点关注APP跨境索赔问题。旅行中的109个APP,百合婚姻,包裹付款,瑞钱包,电子驱动,飞飞出租车,中国工商银行,悟空财务管理,平安好医生,快乐消费音乐10 APP申请全部6个敏感权限该应用程序具有最敏感的权限。

f4b4-icmpfxa4115877.png

83.6%的APP包含跨境代码,中国移动和包裹付款“超出界限”。

6月18日,“新京报”记者比较了应该要求不同行业APP在《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》中划定的权利范围。根据安装APP后打开的权限提示,测试了50个常用应用程序,找到了24个APP。权限超出范围,占48%。

6月25日至27日,“新京报”记者联合国计算机病毒应急响应中心对包含APK APP安装包中隐私权的代码进行了引擎测试。测试结果发现除WeChat和Huya外,除了18个应用程序,如直播,其余83.6%的APP安装包中包含的权限代码超出了原始业务范围。

,网络运营商不得收集与其提供的服务无关的个人信息;并且《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》给出了哪种类型的APP收集信息的标准,这超出了标准。

具体地,在用于阅读联系人,录制音频,阅读文本消息,发送文本消息,发起电话呼叫,拍照和录制视频的六个敏感许可中,上述109个“边境”应用程序中的57个包含阅读。联系人代码为51.8%;有44个应用程序“越过边界”包含录制音频的代码,占40%;有30个“边境”应用程序,包含拍照和录制视频的代码,占27.2%。阅读文本消息,发送文本消息和发起电话呼叫的比率是“20%”,这是相对较小的。

其中,包裹支付包APK具有上述6种隐私敏感权限,但根据《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》和包裹支付所属的金融借贷APP,可以根据其基本业务功能收集必要的信息,包括手机号码和身份。信息,信用信息等,上述六项敏感权利与其基本业务功能无关。

包裹支付是中国移动面对面的个人和企业提供的综合移动支付服务。开发商是中国移动的子公司中国移动电子商务公司。截至目前,它已在华为应用市场安装了3340万台。

作为游戏app APP,安装包APK也具有以上六种敏感权限,但是根据应用的类型,录制的音频属于其基本业务功能,但是读取联系人并读取文本消息。其他五种权限(如拍照和录制视频)不属于其基本业务功能。

“实际上,绝大多数用户的APP隐私协议都是'不看',而且权限的开放往往不是很关注,所以看看APP获取哪些权限的能力,技术上直接看代码就是最方便的。“ 8月16日,网络安全部负责APP检测的程序员小武告诉记者,“代码不会撒谎”。

几个APP适用于所有六个敏感权限,一些是跨境声明。

10a8-icmpfxa4116254.png

7ae9-icmpfxa4006270.png

申请APP安装包的所有6个敏感权限,如旅行,百合婚姻等。

最近,联合国计算机病毒应急响应中心的“新京报”记者对109个APP的安装包进行了引擎测试。

“新京报”记者检查了应用于109个APP安装包的六个敏感权限列表。大多数APP申请3到4个敏感权限,而旅行,百合婚姻和包裹支付,Rui钱包,e代驾驶,飞行出租车,中国工商银行,悟空财经,平安博士和快乐消费者10个应用程序已申请所有6个敏感权限,并且应用程序具有最敏感的权限。

国家计算机病毒应急响应中心在测试报告中向“新京报”记者表示,上传的APP应用程序自动识别移动应用程序所属的行业,并对应于[0x9A8B中不同行业应该存在的权限集合]。比较检测到的应用程序的AndroidManifest.xml文件,并将冗余部件的权限定义为权限滥用。

根据APP特别治理工作组发布的《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》,如果APP因业务功能需要申请系统权限,通常APP开发人员可以在AndroidManifest.xml配置文件中明确声明方式(静态模式),以及代码中。以运行阶段请求(动态模式)的方式请求系统许可。

“AndroidManifest.xml是指APP安装包中的配置文件,其中包含APP安装所需的各种组件,还有一个应用它的系统权限集列表。”国家计算机病毒应急响应中心的工作人员告诉记者,“例如,android.permission.READ_CONTACTS表示读取地址簿权限,带有代码的APP有意读取'基因级别'的用户地址簿。”/p>

例如,旅程具有音频和摄像功能,并且具有合理的录制和拍摄权限,但它也有权阅读联系人,这与其基本业务功能不一致。

在这方面,也有APP设计师向记者抱怨说,“事实上,生产中有相当多的应用程序,源代码是复制其他APP,有时候过去不需要的权限被复制,不是APP本身想要更多。收集。“

506f-icmpfxa4006673.png

“自动”上传用户位置信息,如愉快的贷款,红包锁屏和瑞士钱包

需要说明的是,引擎检测只能检测APP安装包中的权限“基因”,无法确定APP的行为。

7月9日至7月15日,“新京报”记者联合国计算机病毒应急响应中心采用“追赶”方法,筛选出了14个APP,这些APP在109个APP的安装包级别申请了多项权限。手动检测发现14个APP中的7个在第一次打开许可证但未操作后自动上传用户的GPS位置和其他私人信息。一些APP定位于特定的区域和县。

这14个应用程序包括360借记,包裹支付,红包锁屏,手表,大球,瑞钱包,搜狗输入法,直冲,微锁屏,悟空财富管理,愉快贷款,中兴智能家居,家庭作业,等。

其中,大型战斗,家庭作业帮助,中兴智能家居,愉快贷款,红包锁屏,睿钱包等7款游戏首次开通,点击弹出提示框进行确认,无需任何其他操作,网站上传了用户的经度和维度定位信息。其中,工作帮助上传的内容准确到测试机构所在的天津滨海新区。

值得注意的是,记者没有直接找到在球类游戏,微锁屏等游戏中需要使用地理位置的功能,但仍然向用户申请了相关权限,并上传了用户的位置安装后立即。信息。

中国人民大学法学院教授刘俊海认为,自由与权利是有边界的。如果APP无法满足,声称超出法律范围的权利构成侵权,侵犯了消费者的隐私权和个人信息。在这个时候,APP应该“保持在边缘”。

《APP申请安卓系统权限机制分析与建议》还表明APP应该遵循“最不够”的原则,即APP应该只申请实现业务功能所必需的系统权限。选择系统权限时,应选择满足业务功能所需的“最小”权限。例如,使用“粗略的地理位置”来实现业务目标,并完成业务功能,避免使用“精确的地理位置”。

然而,什么是“最小”,APP显然有不同的理解。网络安全部门的公安人员告诉“新京报”记者,他们在执行诉讼时经常遇到APP捍卫自己权利的各种原因。 “例如,我要问一个游戏应用程序。你想在位置方面做什么?另一方说它是'观察哪个位置有更多的玩家,然后你可以设置一个服务器位置,以更好地提升用户体验'“。

在这方面,APP特别治理工作组成员何延哲告诉记者,以改善服务经验为借口是不合理的。 “例如,如果游戏APP想要根据用户的位置设置服务器,只需查看用户IP。”为什么我需要获取位置权限?“

未发现应用程序窃听用户对话

《APP申请安卓系统权限机制分析与建议》指出,在当前下载的数千个移动应用程序中,每个应用程序平均申请25个权限,其中30%以上申请非业务相关的拨号权限;每个应用程序平均收集20个个人信息和设备信息,包括社交网络,旅行,招聘,办公室,视频和音频。大量APP具有异常行为,例如检测其他APP或读写用户设备文件,这对用户的个人信息安全构成潜在威胁。

这引起了很多用户的共鸣,“我想我可以听到淘宝和小红树的消息。” 8月16日,收到调查问卷的用户向北京新闻记者抱怨说,有时他会在早上与朋友聊聊商品。下午,APP推出了该商品的广告。 “APP必须偷听我的谈话。”

最近,四家外国互联网巨头,Apple,Facebook,亚马逊和微软也曝光了“窃听门”,Facebook正式承认存在手动转录用户语音记录。

然而,从7月9日到7月15日,新京报记者分析了14个应用程序,发现APP上传的用户数据最多的是手机设备类型,IMEI号码,Android版本,MAC地址等,其次是地理位置信息。但是,在此期间,没有APP上传用户的语音和图片数据。

“用户的幻觉来自定向推送。实际上,语音窃听与定向推送完全不同。” 8月8日,何燕哲告诉新京新闻,“语音窃听是最昂贵,效率最低的方法,但当APP通过社交关系,爱好和习惯,WiFi场景等各种方式推断时,会给人一种被窃听的错觉” 。

问题1

为什么92%的人认为APP会泄露他们的隐私?

新闻和微信朋友圈子问题“您认为APP会泄露您的个人隐私信息”吗?调查结果显示,在响应的手机用户中,有184人认为他们会“泄密”,16人认为“没有披露”,认为APP会泄露隐私的用户占调查总数的92%。

与此形成鲜明对比的是,“新京报”记者测试的109个APP中的几乎所有APP都可以找到隐私协议,协议中也有类似的表述“将遵循隐私政策收集使用信息”。此外,由于APP特殊治理工作的推广,APP明确提醒所有主流APP有关许可请求。网络办公室的一些工作人员告诉记者,APP主要关注合规性,制定法律法规和标准化标准。并敦促实施APP。“

是什么导致了用户感知和APP规范的“破解”?安全专家刘海(化名)告诉记者,在技术方面,APP确实有探索用户隐私的能力,而且由于用户数据上传到企业,它属于公众的“黑匣子”状态,公司接受它。无论如何,只要它没有暴露,用户就不会意识到它,并且用户将有针对性地推动他的肖像,所以不信任感会大大增加。

■问题2

您的地址簿是否已被您使用的应用程序读取?

在109个应用程序中,57个“边境”应用程序包含读取联系人的代码,占51.8%。

国家计算机病毒应急响应中心的工作人员说,“android.permission.READ_CONTACTS代表阅读地址簿的权利。带代码的APP有意在'基因级别'读取用户的地址簿。”/p>

国家计算机病毒应急响应中心的工作人员将该代码与APP的“武器库”进行了比较。 “如果检测到它,则意味着APP有'武器',但APP是否取出这个'武器'并使用它,但也取决于具体用户。你同意许可申请吗?” p>

刘海告诉记者,一般来说,APP只需要批准用户对具体操作行为的同意,即使许可是超出边界,“但是在安装包上携带跨境代码的行为值得讨论。 APP的主要功能很明显。需要此权限,我为什么要携带此代码?这是对用户安全的“潜在威胁”吗?

安全CTO方宁表示,要检测APP是否上传用户隐私数据,还需要做反向分析,渗透测试等,但这需要专业技术能力,这是普通人所不能做到的。

■问题3

APP会窃听你的谈话吗?

业内人士表示,窃听的成本效益并不高。 APP特别治理工作组发布了一份文件,称“窃听”的性价比不高。因为APP必须克服对环境噪声的认识,无论是非自购意图等,与用户通常的搜索,浏览,订单历史习惯相比,“窃听”录音的行为都是深远的,避免简单性和复杂性,与业务逻辑不一致。

“网络运营商应严格保密收集的用户信息,建立健全的用户信息保护系统;网络运营商必须公开收集和使用规则,明确收集和使用信息。协议的目的,方法和范围,以及收集者同意的相关规定,如果企业利用技术手段“檐”的声音和上传行为,对公司声誉的影响是致命的。

新京报记者罗一丹实习生翁瑞敏徐子霖编辑岳才洲校对杨旭丽

主编:张宇

频道热点
  1. 最近,日本地面自卫队展示了正在开发的新型155毫米卡车枪。作为迄今为止出现的最新155毫米卡车枪,该枪对日本陆上自卫队的未来发展有何意义?枪的设计有哪些优点和缺点?一步一步:日本大口径火炮的历史在大
  2.   《长安十二时辰》是最近比较火的一部电视剧,该剧对历史风俗的还原度较高,对细节的把握也到位,较完整的展现了唐代的生活环境。那么此剧中,有哪些历史知识需要我们了解呢?  1、十二时辰  又叫十二地支
  3.   《长安十二时辰》是最近比较火的一部电视剧,该剧对历史风俗的还原度较高,对细节的把握也到位,较完整的展现了唐代的生活环境。那么此剧中,有哪些历史知识需要我们了解呢?  1、十二时辰  又叫十二地支
  4. 在杨泉稳定在“交通女王”的位置后,他开始建立自己的工作室并培养艺术家。作为华丽王牌的迪列巴,他已经推出了6年,但他直接排在第一位。杨幂受欢迎后,热风也开始建立自己的工作室,资源也在不断,杨伟和高伟光
  5. APP安装包隐藏神秘:超过一半的预订请求用户通讯录“后门”10个APP安装套餐,包括嘀嗒,百合婚姻,包裹付款,瑞钱包,电子驱动,悟空财富管理,适用于所有6个敏感权限;功课,中兴智能家居,愉快贷款,红
  6.   16六网论坛六安市教体局开展校外培训机构突击检查!  暑假到了,很多家长迫不及待的将孩子送到了补习机构,目前,六安有大大小小数百个校外培训机构,这些补习机构资质良莠不齐。为规范辖
  7.   《长安十二时辰》是最近比较火的一部电视剧,该剧对历史风俗的还原度较高,对细节的把握也到位,较完整的展现了唐代的生活环境。那么此剧中,有哪些历史知识需要我们了解呢?  1、十二时辰  又叫十二地支
  8. APP安装包隐藏神秘:超过一半的预订请求用户通讯录“后门”10个APP安装套餐,包括嘀嗒,百合婚姻,包裹付款,瑞钱包,电子驱动,悟空财富管理,适用于所有6个敏感权限;功课,中兴智能家居,愉快贷款,红
  9. 德式法式美式哪个最能击中你的心?10:07聚焦南宁站南宁6个欧式风格的房地产有自己风格的德式法式美式风格,最能打动你的心?在古代和现代,花园生活一直受到人们的高度尊重和喜爱。特别是在高层建筑的城市中
  10. 图为日本的准载体?最近,据媒体报道,日本宣布了一项新的防御计划,宣布将把直升机航母转变为轻型航空母舰,令外界感到惊讶。直到那时,特朗普终于意识到,这个国家在美国军队的眼中默默地建造了四艘准航空母舰,
新闻排行
  1. ?三福田市现在“寒意”下半年住房公司还是“物有所值”指南:融资渠道导致公司资金相对紧张。预计下半年市场将呈现“价格换价”趋势,也就是说,公司可能会调整价格以确保现金流的稳定性。虽然它是盛夏,但房地产市

    ?三福田市现在“寒意”下半年住房公司还是“物有所值”指南:融资渠道导致公司资金相对紧张。预计下半年市场将呈现“价格换价”趋势,也就是说,公司可能会调整价格以确保现金流的稳定性。虽然它是盛夏,但房地产市...

  2. ?由中国建筑装饰协会,《中国建筑装饰装修》杂志和36minminlpo联合主办的“抓住时代创造未来”首届中国泛装饰产业中小企业发展大会将于9月6日在杭州举行。届时,政府协会,雇主,媒体,建筑业,设计公

    ?由中国建筑装饰协会,《中国建筑装饰装修》杂志和36minminlpo联合主办的“抓住时代创造未来”首届中国泛装饰产业中小企业发展大会将于9月6日在杭州举行。届时,政府协会,雇主,媒体,建筑业,设计公...

  3. ?  “冀台会”助推两岸经济文化深度融合  新华社石家庄8月8日电(记者杜一方)“我来自台北内湖区,祖籍江苏徐州,多次参加‘冀台会’,每次参会交流都收获颇多。”65岁的法蓝瓷实业有限公司河北区负责人侯

    ?  “冀台会”助推两岸经济文化深度融合  新华社石家庄8月8日电(记者杜一方)“我来自台北内湖区,祖籍江苏徐州,多次参加‘冀台会’,每次参会交流都收获颇多。”65岁的法蓝瓷实业有限公司河北区负责人侯...

  4. 件:1.蜂蜜粉源。(或在巢中存放)2.适宜的温度。3.内部蜜蜂的数量。(新蜜蜂的数量,巢的建设主要负责新蜜

    件:1.蜂蜜粉源。(或在巢中存放)2.适宜的温度。3.内部蜜蜂的数量。(新蜜蜂的数量,巢的建设主要负责新蜜...

  5.     胖豆搞笑聊天记录:有个懒汉,什么事都不肯干,他求人给他介绍一个最轻松的工作。后来有人请他去看坟地,说没有比这更轻松的工作了。懒汉去了两天就回来了。他愤愤不平地说:“这工作一点不轻松!”“为什

        胖豆搞笑聊天记录:有个懒汉,什么事都不肯干,他求人给他介绍一个最轻松的工作。后来有人请他去看坟地,说没有比这更轻松的工作了。懒汉去了两天就回来了。他愤愤不平地说:“这工作一点不轻松!”“为什...

  6. ?中国华侨网8月6日据非洲《华侨周报》报道,当地时间8月4日,“华侨华人与国家形象第一届非洲华人华侨外交论坛”欢迎晚宴在博茨瓦纳哈博罗内的大棕榈酒店举行。中国驻博茨瓦纳大使馆政治参赞王邦福,中国海外友

    ?中国华侨网8月6日据非洲《华侨周报》报道,当地时间8月4日,“华侨华人与国家形象第一届非洲华人华侨外交论坛”欢迎晚宴在博茨瓦纳哈博罗内的大棕榈酒店举行。中国驻博茨瓦纳大使馆政治参赞王邦福,中国海外友...

  7. ?保险业正在耗尽“加速”2021年取消外国人寿保险股票的原规定将提前到2020年,保险资产管理公司的外资持股比例限额将被放开,30年的商业寿命限额将被废除。最近,中国已经出台了一系列保险业开放的新举措

    ?保险业正在耗尽“加速”2021年取消外国人寿保险股票的原规定将提前到2020年,保险资产管理公司的外资持股比例限额将被放开,30年的商业寿命限额将被废除。最近,中国已经出台了一系列保险业开放的新举措...

  8. SMGfootballSunday009:CypressSunGodVSKofuWindForestCompetitiontime:2019-07-07Sunday18:00EuropeanIndex

    SMGfootballSunday009:CypressSunGodVSKofuWindForestCompetitiontime:2019-07-07Sunday18:00EuropeanIndex...

  9.   中国歼-20战机横空出世后,瞬间吸引了世界各国目光,也成为了我国军事迷们茶余饭后的谈资,不过通过歼2

      中国歼-20战机横空出世后,瞬间吸引了世界各国目光,也成为了我国军事迷们茶余饭后的谈资,不过通过歼2...

  10. ?随着智能时代的到来,曾经分布的电视,冰箱,空调,电灯和其他家用电器将相结合,形成一个新的家庭生态。谁能抓住智能家居的入口,谁可能会被智能浪潮分割?一杯汤。在此背景下,Autodesk宣布将于5月20

    ?随着智能时代的到来,曾经分布的电视,冰箱,空调,电灯和其他家用电器将相结合,形成一个新的家庭生态。谁能抓住智能家居的入口,谁可能会被智能浪潮分割?一杯汤。在此背景下,Autodesk宣布将于5月20...

友情链接