您所在的位置:首页 > 教程首页 > 资讯中心 > 新闻资讯 > APP安装包暗藏玄机是怎么回事 APP安装包暗藏玄机是什么情况

APP安装包暗藏玄机是怎么回事 APP安装包暗藏玄机是什么情况

来源:互联网 | 编辑:浪腿一条 | 时间:2019-08-20 19:30:07 | 阅读:

APP安装包暗藏玄机是怎么回事?APP安装包暗藏玄机是什么情况?很多小伙伴们都还不知道,下面就和52z飞翔下载小编一起来看看吧。

APP安装包暗藏玄机是怎么回事 APP安装包暗藏玄机是什么情况_52z.com

APP安装包暗藏玄机是怎么回事

2019年7月18日,智能手机屏幕上显示的FaceApp应用程序。该软件近日在网上广泛传播,但一些程序开发人员对其隐私条款提出担忧,质疑该软件私自上传用户其他照片,并滥用照片数据。

8月13日,《2019年上半年我国互联网网络安全态势》发布,报告指出,每款APP应用平均收集20项个人信息,大量APP存在探测其他APP或读写用户设备文件等异常行为,这再度引发公众对移动APP违法违规收集使用个人信息问题的热议。

目前,用户判断APP收集了哪些信息主要以其索取的权限为依据。记者近两年来持续关注APP索取权限发现,目前绝大多数APP均会明示提醒索取的权限,但APP究竟在什么时候上传了哪些用户信息,APP在技术层面能否窥视用户隐私,对于普通用户来说依然成谜。

近日,记者联合国家计算机病毒应急处理中心,对109款APP的安装包APK进行了引擎检测,检测结果发现,83.6%的APP安装包中均含有超出其原本业务范围之外的权限代码。109款APP中有超过半数的APP安装包里含有索取用户通讯录的代码。

据此发布了“个人隐私报告第一期”,本次报告重点关注APP越界索取权限问题。109款APP中嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个APP申请了全部6项敏感权限,申请的敏感权限最多。

APP安装包暗藏玄机是怎么回事 APP安装包暗藏玄机是什么情况_52z.com

83.6%的APP含越界代码,中移动旗下的和包支付“越界”严重

6月18日,记者对比《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》中划定的不同行业APP应该索取的权限范围,基于安装APP后开启的权限提示,测试了50款常用APP,发现其中有24个APP索取的权限超出范围,占比48%。

而6月25日至27日,记者联合国家计算机病毒应急处理中心,对109款APP的安装包APK内含有的涉及隐私权限的代码进行了引擎检测,检测结果发现,除微信、虎牙直播等18款APP外,其余83.6%的APP安装包中均含有超出其原本业务范围之外的权限代码。

根据《网络安全法》第四十一条,网络运营者不得收集与其提供的服务无关的个人信息;而《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》给出了哪一类APP收集信息的范围标准,超出标准即为越界。

具体来看,在读取联系人、录制音频、读取短信、发送短信、发起电话呼叫、拍摄照片和录制视频六个涉敏感权限中,上述109个APP中有57款APP“越界”含有读取联系人的代码,占比51.8%;有44款APP“越界”含有录制音频的代码,占比40%;有30款APP“越界”含有拍摄照片和录制视频的代码,占比27.2%。而读取短信、发送短信、发起电话呼叫三项APP权限被“越界”含有的比例则在20%左右,相对较少。

其中,和包支付的安装包APK拥有全部上述6个涉隐私敏感权限,但依据《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》,和包支付所属的金融借贷类APP基于其基本业务功能所能收集的必要信息包括手机号码、身份信息、征信信息等,上述6个涉敏感权限与其基本业务功能无关。

和包支付是中国移动面相个人和企业提供的一项综合性移动支付业务,开发者为中国移动旗下子公司中移电子商务公司。截至目前,其在华为应用市场中有3340万次安装。

而作为游戏类APP的开心消消乐的安装包APK同样拥有全部上述6个涉敏感权限,不过基于该APP的类型,录制音频属于其基本业务功能之内,但读取联系人、读取短信、拍摄照片和录制视频等其他5项权限不属于其基本业务功能之列。

“实际上,绝大多数用户对APP的隐私协议是‘看都不看’的,对于权限的开启也往往不是很在意,因此看APP到底有能力获取哪些权限,在技术上直接看代码是最为方便的。”8月16日,在网安部门负责APP检测的程序员小武告诉记者,“代码不会说谎”。

几款APP 申请了全部6 项敏感权限,有的是越界索取权限。

APP安装包暗藏玄机是怎么回事 APP安装包暗藏玄机是什么情况_52z.com

嘀嗒出行、百合婚恋等APP安装包申请全部6项敏感权限

近日,记者联合国家计算机病毒应急处理中心,对109款APP的安装包APK进行了引擎检测。

记者查阅109个APP安装包所申请的6个涉敏感权限列表发现,大多数APP都申请了3至4个敏感权限,而嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个APP申请了全部6个敏感权限,申请的敏感权限最多。

国家计算机病毒应急处理中心在发给记者的检测报告中注明,通过上传的APP应用,自动识别出移动应用所属的行业,并对应到《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》中不同行业应有的权限集合,与被检测应用的AndroidManifest.xml文件进行比对,将多余部分的权限定义为权限滥用。

根据APP专项治理工作组发布的《APP申请安卓系统权限机制分析与建议》,如果APP因业务功能需要申请系统权限,通常情况下,APP开发者可通过在AndroidManifest.xml配置文件中明确声明的方式(静态方式),以及在代码运行阶段请求的方式(动态方式)申请系统权限。

“AndroidManifest.xml指的是APP安装包中的配置文件,其包含了APP安装所必要的各个组件,其中也有其申请的系统权限集合列表。”国家计算机病毒应急处理中心工作人员告诉记者,“例如,android.permission.READ_CONTACTS代表读取通讯录权限,拥有该代码的APP在‘基因层面’就具备了读取用户通讯录的意图。”

例如,嘀嗒出行具备音频与拍照功能,拥有录音与拍照权限较为合理,但其同时也拥有读取联系人权限,这与其基本业务功能不符。

对此,也有APP设计人士向记者抱怨称,“其实有不少APP在制作时,源代码是复制其他APP的,有时不需要的权限也这样一股脑儿复制过去了,并非是APP自己想要多收集。”

APP安装包暗藏玄机是怎么回事 APP安装包暗藏玄机是什么情况_52z.com

宜人贷、红包锁屏、瑞钱包等“自动”上传用户位置信息

需要注意的是,引擎检测只能检测APP安装包内的权限“基因”,无法判定APP行为。

7月9日至7月15日,记者联合国家计算机病毒应急处理中心,从109款APP中筛选出了在安装包层面申请了多个权限的14款APP,采用“抓包”方式进行人工检测发现,14款APP中有7款APP在首次打开授权但不进行操作后,自动上传了用户的GPS定位等隐私信息,一些APP的定位精确到具体的区县。

这14款APP包括360借条、和包支付、红包锁屏、看拍、球球大作战、瑞钱包、搜狗输入法、同花顺、微锁屏、悟空理财、宜人贷、中兴智能家居、作业帮等。

其中,球球大作战、作业帮、中兴智能家居、宜人贷、红包锁屏、瑞钱包等7款APP在首次打开并对弹出的提示框点击确定,并不做任何其他操作的情况下,向网站上传了用户的经度和维度定位信息。其中作业帮上传的内容精确到了检测机构所在的天津市滨海新区。

需要注意的是,记者并未在球球大作战、微锁屏等APP中直接找到需要使用地理位置的功能,但其仍然向用户申请了相关权限,并在安装完后立刻上传了用户的定位信息。

中国人民大学法学院教授刘俊海认为,自由和权利是有边界的,APP若贪得无厌,索取权限超过法定范围就构成侵权,侵犯了消费者的隐私权与个人信息权,此时APP应该“悬崖勒马”。

《APP申请安卓系统权限机制分析与建议》也显示,APP应遵循“最少够用”原则,即APP应只申请实现业务功能所必需的系统权限。选择系统权限时应选取能满足业务功能所需的“最少够用”的权限,比如,使用“粗略地理位置”即可达到业务目的,完成业务功能的,避免使用“精确地理位置”。

不过,什么是“最少够用”,APP显然有不同的理解。有网安部门的公安干警对记者表示,其在执法时常常遇到APP对索取权限辩解的各种理由,“比如我去问一家游戏APP,你们要地理位置干什么?对方表示是为了‘观察哪个位置的玩家较多,此后可以在该位置架设服务器,更好地提升用户体验’”。

对此,APP专项治理工作组成员何延哲对记者表示,以提升服务体验为借口多索取权限也是不合理的,“比如游戏类APP如果想要根据用户位置架设服务器,只要看用户IP就可以了,为什么要获取地理位置权限?”

未发现APP窃听用户谈话

《2019年上半年我国互联网网络安全态势》指出,在目前下载量较大的千余款移动APP中,每款应用平均申请25项权限,其中申请了与业务无关的拨打电话权限的APP数量占比超过30%;每款应用平均收集20项个人信息和设备信息,包括社交、出行、招聘、办公、影音等;大量APP存在探测其他APP或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在威胁。

这引起了不少用户的共鸣,“我觉得我说话都能被淘宝和小红书听见。”8月16日,有接受问卷调查的用户向记者抱怨,其有时会出现上午和朋友闲聊某商品,下午APP就推送了该商品广告的情况,“APP一定偷听了我的谈话。”

近期,苹果、脸书、亚马逊、微软四个国外互联网巨头也分别曝出“窃听门”,脸书官方承认其存在人工转录用户语音记录的行为。

不过,记者7月9日至7月15日对14款APP进行“抓包”分析发现,APP上传最多的用户数据是手机的设备型号、IMEI号(国际移动设备识别码,相当于移动电话的身份证)、安卓版本、mac地址等,其次就是地理位置信息。但在此期间并未有APP上传用户的语音与图片数据。

“用户的错觉来自定向推送,实际上,语音窃听与定向推送完全不同。”8月8日,何延哲对记者表示,“通过语音窃听是一种成本最高、效率最低的方法,但当APP通过社会关系、喜好习惯、WiFi场景等各种方式进行定推,就会给民众‘遭到窃听’的错觉”。

以上就是52z飞翔下载小编为大家带来的APP安装包暗藏玄机是怎么回事?APP安装包暗藏玄机是什么情况全部内容!有需要的小伙伴们千万不要错过哦!

今日头条 V6.1.1 安卓版
今日头条 V6.1.1 安卓版

类型:新闻资讯  大小:12.5 MB  平台:

Android/

相关专题:

今日头条
猎龙战记

你可能感兴趣的内容

  • 奔跑吧兄弟第五季嘉宾名单
    奔跑吧兄弟第五季嘉宾名单
    作为目前国内少有的国民综艺之一,《奔跑吧兄弟》的口碑虽然不断下滑,但关注度和收视率却一直...

    互联网

    2016-11-09 19:12:45

  • 校园修神录隐藏英雄的密码曝光
    校园修神录隐藏英雄的密码曝光
    校园修神录隐藏英雄密码如下:战神youling.uuu9.com超能之神或邪神wanwan.uuu9...

    互联网

    2016-08-31 10:18:05

  • 安卓模拟器介绍大全及下载地址
    安卓模拟器介绍大全及下载地址
    bluestacks安卓模拟器下载地址:点击进入海马玩模拟器下载地...

    互联网

    2016-02-17 14:00:42

  • 微信怎么抢红包
    微信怎么抢红包
    微信抢红包教程第一、人品。你要有足够多的“微信群”。这些群里个个是...

    互联网

    2014-01-28 09:34:55

  • iphone4s解密码
    iphone4s解密码
    iphone4s开机密码忘记如何解锁找到“文件管理”进入/private/var/keychains/目录,把keychain...

    互联网

    2013-11-07 19:44:22

  • 金山毒霸和360哪个好
    金山毒霸和360哪个好
    如果真要比较,可以说360杀毒和金山毒霸根本不是一个层次的。只不过360宣传的是免费的,而且它占内存...

    互联网

    2015-03-12 17:20:06

  • win10输入法不见了解决办法
    win10输入法不见了解决办法
    Win10开机后输入法不见了怎么办?有用户反映有时会遇到Win10输入法提示框消失,只能输入英文的情况,...

    互联网

    2015-12-31 10:12:37

  • 2016驾考科目二过关秘籍考试流程技巧及扣分标准
    2016驾考科目二过关秘籍考试流程技巧及扣分标准
    成都科目二场地考试详细点位图解考试流程技巧及扣分标准一、科目二考试内容:(1)...

    互联网

    2015-11-23 15:07:12

  • 成为心悦会员方法
    成为心悦会员方法
    心悦俱乐部,这个游戏俱乐部能让大家获得一些你想不到的装备!还有更多的特权就在心悦俱乐部!如何才...

    互联网

    2015-07-03 10:39:47

  • hgame单机游戏大盘点
    hgame单机游戏大盘点
    说起Hgame,男性玩家都会兴趣盎然,毕竟可以自己参与其中娱乐,不再是局限于观看快播,Hgame鉴于国内...

    互联网

    2015-06-18 14:56:20

热门游戏

下载声明 | 法律声明 | 版权声明 | 友情链接 | 智能电视应用| 发布软件 | 网站地图

本站为非盈利网站,不接受任何广告。本站所有软件,都由网友上传,如有侵犯你的版权,请发邮件给 admin@52z.com 湘ICP备13012539号-1