宋教授告诉记者,用户可以通过系统自行设置的权限一般不超过10项,但软件读取信息的权限却远远不止这些。
东南大学网络空间安全学院副教授 宋宇波:
比如这款APP,手机系统告诉我们,它有6项权限要求:存储、用户位置、电话、相机、通讯录和麦克风。而我这儿手头正好有个工具,可以显示它内部的权限到底有多少个。这款APP实际地向系统请求的权限有41项。
宋教授表示,在这些权限中,有一部分因为和个人信息无关或者专业性太强,因此系统或者软件出于简化操作的考虑,没有告知用户;另一部分权限信息,看似和个人信息关联性不大 ,但这些信息如果被集中收集起来分析的话,用户的行踪将会一览无余。
东南大学网络空间安全学院副教授 宋宇波:
比如说很多的APP都要求获知WIFI的无线网络信息,用来干什么?它会存储、记录用户连接WIFI的是哪一个路由器,路由器的名称、IP地址、MAC地址设备位置,这个信息如果再结合GPS位置信息等,综合到一起就可以刻画用户的轨迹,比如用户正在什么地方,在哪个房间里,或者正好在哪个商店里,这样子一结合的话,就可以获取用户更多的行为信息。
超范围收集信息
时钟软件竟读取通讯录
对于目前应用软件读取用户信息的情况,宋教授认为有越来越泛滥的趋势。他告诉记者 ,不少软件读取的用户信息有许多是和自身功能不相*。宋教授以一款"时钟"软件为例,按照常人理解,时钟提供的服务功能主要是计时、闹铃等,应该不需要读取太多的个人信息。但测试显示,这款时钟软件读取了30项权限信息。
东南大学网络空间安全学院副教授宋宇波:
而这30项权限包含的面是很多的,不仅仅是我们刚才看到的电话信息,还包括位置信息,还包括通讯录的读取,数据的写入以及传感器,就是在挥舞这个平板时候的运动传感器数据,它也有读取。
宋教授还告诉记者,还有一些软件在用户退出之后,仍然会在后台发送数据。