在各类安卓应用中,游戏一直是安全问题高发区。360联合D CCI发布的《2016年中国手机安全生态报告》显示,2015年,测试样本中94.5%的游戏应用都会获取位置信息的权限;89.1%能够读取用户短信,93.6%能够读取通讯录,虽然这些数据在2016年有所下降,但其中多项数值仍高于非游戏类A PP.
这份报告同时指出,获取手机通讯录、短信、通话记录、位置信息等都被视为读取用户核心与重要隐私的行为,它们较读取Wi-Fi、蓝牙等设备信息更加危险,用户应给予重点关注。事实上,绝大部分安卓用户没有注意到这一点,遭受经济损失的案例时有发生。
2014年,宁波市警方曾破获一起案件,3名犯罪嫌疑人用技术手段窃得游戏用户小顾在游戏应用上注册的名字、身份证号、手机号码等信息,随后利用这些信息办理假身份证,再用假身份证去通信营业厅挂失小顾的手机号并补办新卡,最后再用这张新的手机卡重新设置小顾在网络游戏中的密码,将价值20多万元的游戏币窃走。
小顾的案例并非孤例,为了调查安卓应用越界获取隐私权限的情况,南都记者以今年大热的王者荣耀为例,选取了华为应用市场、应用宝、百度手机助手、360手机助手、豌豆荚、小米应用商店6款常用安卓应用市场,按照搜索“王者荣耀”关键词排名前后的顺序,选取了50款王者荣耀周边应用作为考察对象。
需要注意的是,王者荣耀周边并不是指王者荣耀官方游戏本身,而是指王者荣耀游戏风靡后,其他应用商就此主题开发的各种游戏相关的辅助或扩展类应用,例如助手、壁纸等。它们通常会由于游戏的热门下载量巨大。
南都记者首先查看了50款A PP在应用商店简介中的权限列表。在安卓系统的应用商店中,通常要求应用开发者填写“权限列表”,用户在下载前很易查看。
令人担忧的是,一些开发者在简介中就堂而皇之地列出了大量不会使用到的“越界”权限,包括使用录音与摄像头,读取手机通讯录、短信,甚至获取你精确的地理位置。
在南都选取的50款A PP中,应用简介列出的权限总体大致有28个,包括拍摄照片和视频、读取通讯录、读取/发送短信、录音、获取精确位置、修改SD卡中的内容等。
依据A PP的自身功能,南都记者把这些权限标记为“核心”、“可选”和“越界”三种。
“核心”权限是指不获取就无法正常使用A PP核心功能的权限,例如视频类A PP需要调节音量大小:“可选”权限是指即使用户拒绝授权,也不影响使用A PP核心功能的权限,但这些权限可能在A PP的非核心功能中会使用:“越界”则指A PP没有必要获取的权限,例如主题壁纸类A PP要求读取用户通话记录。
根据A P P的类型不同,它们的“核心”权限也有所差异。
助手类和论坛类A PP主要为王者玩家提供攻略、视频等资讯,实现核心功能基本无需获取用户隐私;主题类A P P主要提供下载皮肤、壁纸等功能,核心权限可能包括将图片存储在S D卡中;视频类A P P则必须要有更改音频设置的权限;浏览器类A P P的核心功能是搜索,无需获取用户隐私。
尽管这50个A PP覆盖了28个隐私相关权限,但必不可少的“核心”权限不多。
南都记者统计的结果显示,50个A PP中,仅有2个列出的所有权限都是必须要获取的“核心”权限,却有5款A P P所列出的所有权限均“越界”。其它A PP则或多或少都要求获取“越界”或“可选”的权限,其中23个A PP的“越界”权限占比超过50%.