0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

每天收集你个人信息的APP超过1000种

电子工程师 来源:oyjf 2019-07-10 14:55 次阅读


当前,智能手机已经成为人们生活必需品,以至于人们吃饭、睡觉、上厕所都带着手机。人们使用智能手机,并下载各类App。这些App在提供方便的同时,却成为人们个人信息泄露的“漏斗”。从这个“漏斗”,用户的手机号、通讯录、通话记录、短信记录等隐私信息纷纷外泄。

为什么这些公司要收集你的个人信息?因为它“无价”,更贴切地说你的个人信息有价值。众所周知,互联网时代,数据的价值最大,它堪比工业时代的“石油”。在工业时代,为获取石油,人们不断采掘;到互联网时代,为获取数据,出现一些公司疯狂收集用户信息的事情。

如果你刚想吃什么,手机就弹出它的推荐;刚要说要买什么,就出现了广告;刚在购房App上浏览完,信用贷款电话就打了进来……如果有这种类似遭遇,那么你的隐私信息可能已经泄露。

近日,广东省公安机关持续开展2019年第二季度超范围收集用户信息APP清理整治工作,共监测发现1048款APP存在超范围收集用户信息行为。

简言之,超过1000款App每天都在暗地收集你的个人信息(你手机中安装的)。从你的电话、短信、通话记录到位置等等,这些信息均被上述App收集起来,想想都令人后背发凉。

据悉,这1048款App,有42款App存在超范围读取用户通话记录、短信或彩信、收集用户通话录、用户设备上已知账号、超权限使用用户设备麦克风等突出安全问题。

来看看笔者比较熟悉的一些App:

1. 艺龙旅行(9.54.2版本)

超范围收集用户信息情况——获取任务信息,此常量在API级别21中已弃用不再强制执行;读取用户联系人数据。

用户协议及隐私政策——有用户协议,有隐私政策,易于访问,不易于阅读。

2. 酷狗音乐(9.2.2版本)

超范围收集用户信息情况——读取用户日历数据;读取用户联系人数据

用户协议及隐私政策——有用户协议,有隐私政策,易于访问,不易于阅读。

3. 中华万年历日历(7.5.2版本)

超范围收集用户信息情况——读取用户的联系人数据;允许应用程序录制音频

用户协议及隐私政策——有用户协议,有隐私政策,易于访问,不易于阅读。

4. 华润信托(1.7.6版本)

超范围收集用户信息情况——读取用户设备状态和身份;读取用户短信内容;允许应用程序录制音频;允许程序读取或写入系统设置

用户协议及隐私政策——在登录页面有用户协议,但未说明业务逻辑与权限的关系。

5. 多点(4.2.1版本)

超范围收集用户信息情况——在用户不知情情况下添加或修改日历活动,并向邀请对象发送电子邮件;读取用户日历活动和详情;允许应用随时使用麦克风进行录音;读取用户设备上短信内容;修改用户通讯录。

用户协议及隐私政策——无隐私政策和用户协议

虽然有些App已经申请收集个人用户信息,但是如果某些权限,用户不同意开启,则App无法安装或运行的权限数。笔者称这种做法为“耍流氓”。

根据《百款常用App申请收集使用个人信息权限列表》显示,手机信息权限有26个小项,分为日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信和存储10个类别。

其中申请收集个人信息相关权限数,笔者统计申请收集13个权限及以上的手机App,分别有

平安普惠(6.0.0版本)——16个权限

平安金管家(5.03.0)——15个权限

360手机卫士(8.1.0)——23个权限

腾讯手机管家(7.14.0)——22个权限

QQ同步助手(6.9.11)——19个权限

百度网盘(9.6.8)——17个权限

WiFi万能钥匙(4.3.59)——13个权限

钉钉(4.6.25)——13个权限

途牛旅游(10.6.0)——13个权限

中国建设银行(4.1.5)——13个权限

中国工商银行(4.1.0.4.0)——13个权限

联通手机营业厅(6.1)——18个权限

中国移动(5.3.0)——17个权限

铃声多多(8.7.47.0)——14个权限

汽车之家(9.10.5)——14个权限

根据《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则、明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息。

按理说,公司收集个人用户信息应当遵循国家标准提出的“个人信息最少够用”原则。注意,这里已经指出一个是最少,一个够用。实际上,公司收集个人用户信息不是最少,而是尽可能多地去收集。这实际上已经与国家标准背道而驰。

比如上文提到的360手机助手、腾讯手机管家,申请收集的个人信息权限数均超过20个,差不多都想获取你的全部手机权限。这种问题,值得大家注意。

根据全国信息安全标准化技术委员会发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》指出,移动互联网应用个人信息收集活动需遵循6个基本原则

1. 权责一致原则——个人信息收集应遵循法律法规要求,不采用非法的方式和渠道收集个人信息,不收集法律法规禁止的个人信息,不违反与用户的约定收集使用个人信息,并对因个人信息处理活动对个人信息主体合法权益造成的损害承担责任。

2. 目的明确原则——向用户明示收集使用个人信息的目的、方式和范围,收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。

3. 最少够用原则——不收集与其提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限。只收集满足业务功能所必需的最少类型和数量的个人信息,自动收集个人信息的频率不超过业务功能实际所需的频率。

4. 选择同意原则——仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。不以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。不因个人信息主体拒绝或者撤销同意收集必要信息以外的其他信息,而拒绝提供基本业务功能服务或频繁征求用户同意。

5. 公开透明原则——以明确具体、简单通俗、易于访问的方式公开收集、使用个人信息的规则,并接受外部监督。

6. 确保安全原则——采用足够的安全技术和管理措施,保障个人信息收集安全,防护数据窃取、违规爬取、采集传输泄密等安全风险。

实际上,我们看到这些原则在现实中并没有被很好的遵守,尤其是最少够用原则和选择同意原则。很多App是尽量多收集一些与个人信息有关的权限,并且App安装时,一旦“拒绝或者撤销同意收集必要信息以外的其他信息”,App就“拒绝提供基本业务功能服务或频繁征求用户同意”。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 信息安全
    +关注

    关注

    5

    文章

    665

    浏览量

    39160
  • APP
    APP
    +关注

    关注

    33

    文章

    1583

    浏览量

    73142
收藏 人收藏

    评论

    相关推荐

    ADAS1000-4 adi

    电子发烧友网为提供ADI(ADI)ADAS1000-4相关产品参数、数据手册,更有ADAS1000-4的引脚图、接线图、封装手册、中文资料、英文资料,ADAS1000-4真值表,AD
    发表于 03-10 18:40
    ADAS<b class='flag-5'>1000</b>-4 adi

    ADAS1000-3 adi

    电子发烧友网为提供ADI(ADI)ADAS1000-3相关产品参数、数据手册,更有ADAS1000-3的引脚图、接线图、封装手册、中文资料、英文资料,ADAS1000-3真值表,AD
    发表于 03-10 18:38
    ADAS<b class='flag-5'>1000</b>-3 adi

    ADAS1000 adi

    电子发烧友网为提供ADI(ADI)ADAS1000相关产品参数、数据手册,更有ADAS1000的引脚图、接线图、封装手册、中文资料、英文资料,ADAS1000真值表,ADAS
    发表于 03-10 18:37
    ADAS<b class='flag-5'>1000</b> adi

    韩国临时中止DeepSeek AI应用服务运行

    近日,韩国方面宣布临时中止中国应用服务DeepSeek AI在其境内的运行,此举源于对“数据收集”方面的担忧。韩国个人信息保护委员会于当地时间2月15日18点起正式执行了这一决定,并明确表示,在
    的头像 发表于 02-18 09:19 237次阅读

    朗骏智能JL-700L Zhaga Book-18锁扣式插座概述

    查将采用互联网云技术、云服务和云应用部署,全流程加强对公民个人信息的保护,确保公民个人信息安全。
    的头像 发表于 01-20 13:53 214次阅读
    朗骏智能JL-700L Zhaga Book-18锁扣式插座概述

    龙芯3A5000网络安全整机,助力保护网络信息安全

    在当今互联网信息普及的时代,我们的网络安全问题更加突显。个人信息泄露、病毒软件侵占、黑客攻击等网络安全问题日益增多。想要解决这个问题,就得更加发展我们的防护科技。
    的头像 发表于 12-23 09:59 219次阅读

    魏牌全新蓝山荣获汽车座舱个人信息安全保护验证证书

    近日,在2024中国国际汽车技术领袖专题论坛上,中汽研科技有限公司软件测评中心(以下简称“软件测评中心”)向魏牌全新蓝山颁发了国内首批《汽车座舱个人信息安全保护验证证书》,对魏牌全新蓝山的个人信息安全工作给予了充分的肯定。
    的头像 发表于 11-25 15:17 420次阅读

    systemd journal收集日志的三方式

    随着 systemd 成了主流的 init 系统,systemd 的功能也在不断的增加,比如对系统日志的管理。Systemd 设计的日志系统好处多多,这里笔者就不再赘述了,本文笔者主要介绍 systemd journal 收集日志的三方式:
    的头像 发表于 10-23 11:50 462次阅读
    systemd journal<b class='flag-5'>收集</b>日志的三<b class='flag-5'>种</b>方式

    如何安全配置并使用境外SOCKS5代理进行网络访问

    在配置和使用境外SOCKS5代理进行网络访问时,必须严格遵守法律法规,并确保个人信息安全。
    的头像 发表于 09-25 08:06 445次阅读

    客户端TAS2505与microchip MCU I2C通讯不成功的原因?

    客户端TAS2505与microchip MCU I2C通讯不成功,原理图和设置如下,请帮忙检查一下, (一些客户个人信息擦掉了,)多谢!
    发表于 08-08 07:07

    TikTok未明显侵权澳隐私法,OAIC决定终止调查

    2023年尾,OAIC曾对TikTok启动初步调查,原因是发现其使用名为Pixel的追踪工具,非法收集包含网页访问记录和个人信息的大量数据,通过算法组合出包括电子邮件地址、电话号和消费偏好等私人信息
    的头像 发表于 05-29 16:22 637次阅读

    天津自贸试验区发布数据出境负面清单 

    此份清单明确指出,天津自贸试验区内企业向境外传输数据时需进行数据出境安全评估、签订个人信息出境标准合同及通过个人信息保护认证。对于清单以外的数据,企业无需进行上述程序。但涉及国家机密、核心数据和政务数据的传输仍需遵循相关法律法规。
    的头像 发表于 05-13 09:49 446次阅读

    NOYB指控ChatGPT在奥地利制造错误信息

    NOYB指出,ChatGPT存在“持续制造假信息”的现象,且OpenAI对此无能为力。他们在声明中强调,OpenAI已公开承认无法修正其生成式AI工具所产生的不实信息,同时也未能说明这些数据的来源及ChatGPT如何处理个人信息
    的头像 发表于 04-29 14:49 585次阅读

    专家访谈 | 关注汽车数据安全监管与合规:不同应用场景适用哪些法律法规?(汽车安全③:数据安全)

    随着智能网联汽车的普及、自动驾驶技术的发展,汽车已成为智能手机外又一重要的数据采集端口。汽车通过摄像头、传感器、麦克风、雷达、娱乐系统等车载设备收集驾驶员与乘客的个人信息、高精地图信息、环境地标
    的头像 发表于 04-09 11:29 1076次阅读
    专家访谈 | 关注汽车数据安全监管与合规:不同应用场景适用哪些法律法规?(汽车安全③:数据安全)

    一些常见网络安全术语

    通过向他们发送看似来自真正的人或组织的电子邮件,重复某人向您提供他们的个人信息,例如密码,银行帐户详细信息(例如PIN号码)和信用卡详细信息
    发表于 03-25 09:46 714次阅读
    一些常见网络安全术语