20

“强制跳转启动”“自启动”“关联启动”……我的手机App我咋管不住?

 4 years ago
source link: http://tech.caijing.com.cn/20200611/4673182.shtml
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

“点击手机网页却跳转到App”“并未调用App却自行开启后台运行”“某个App被调用后自行调用、激活众多其他App”……部分手机App持续“任性不服管”,不仅让用户无奈,也损害用户权益,造成安全隐患。

手机App如此“任性”是何原因?会增加哪些风险?漏洞如何堵上?新华社记者就此展开调查。

“任性”App各种“管不住”

“现在用QQ浏览器打开腾讯网,点击一个链接,就会自动蹦出腾讯新闻App。”习惯通过手机浏览器阅读网页的深圳居民小张说,这种情况导致操作更繁琐,而且有被强迫使用之感。

记者尝试多款其他浏览器发现也存在此类情况。如通过Chrome浏览器尝试百度搜索,有时会自动启动百度App;通过UC浏览器打开淘宝网,有时则会跳转到手机淘宝App。

一家知名互联网企业CEO曾公开表示,因不满强制跳转启动,他选择卸载百度App。

除“强制跳转启动”,记者发现,安卓系统手机上多款App存在频繁自启动、关联启动,访问、读取手机用户信息的情况。

如网易邮箱、QQ等常用工具App几乎每天自启次数都在100次左右;滴滴出行App启动后在一分钟之内尝试启动9款其他App;途牛旅游App在自启动后的一分钟内尝试启动15款其他App后台运行。部分办公、社交、娱乐类App启动后会在短时间内高频次访问手机照片、文件,多者超万次,还有的则频繁读取用户通讯录等信息。

此外,记者还发现,有App在格式化的隐私政策或相关规则中“藏”入授权“跳转启动”“关联启动”等方式的条款,诱导或迫使用户同意。

“任性”App“馋”的是利益

奇安信科技集团股份有限公司的一名工程师向记者透露,安卓系统中,通过在App程序中加入特定代码,即可实现从网页向本地App强制跳转。“有的是点击一次链接就自动跳转,有的是点击、使用多次会唤起后台的App,让它接管用户原来在网页操作的功能。”

该工程师表示,“自启动”“关联启动”的原理与此类似,都是开发者通过在系统加入特定代码让App尽可能处在“被使用”的“活跃”状态,“用户如果不用App,就让App自己用、互相用。”

为何如此?记者从多名互联网企业负责人处了解到,一款App产品的考核指标当中最重要的是“日活跃用户”。App被启用次数越多,“日活”数据越好,商业估值就越高,盈利能力就被认为越强。“为了抢占市场,谁都不会放过任何一个可以提高App‘日活’量的方法。”一位企业负责人说。

另外,一位软件工程师向记者透露,在用户安装、首次打开或使用App等过程中授予的各类权限大都是“一次授权、长期使用”,这意味着App只要启用,就可随时收集用户相关信息,如位置、通讯录、安装应用等。这些信息当前被广泛用于制作用户画像、行为标签等方面,有巨大的商业价值。“无利不起早,部分开发者让App这么‘勤奋’,‘馋’的是手机里的用户信息。”

中国社科院法学研究所副所长周汉华认为,此类行为导致发生超用户预期的收集、使用个人信息的技术风险明显,同时也大大增加了法律风险。

专家表示,《中华人民共和国网络安全法》第41条规定,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息;工信部《移动智能终端应用软件预置和分发管理暂行规定》第5条要求“未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件”;《App违法违规收集使用个人信息行为认定方法》和国家相关技术标准也要求,收集个人信息需满足最小必要原则,自动收集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率,不得随意扩大收集范围。

管住“任性”App:堵技术漏洞、强法律保障

针对手机App过度收集用户信息、用户隐私泄露隐患等问题,今年5月中旬,工信部通报了一批侵害用户行为的App,并责令整改。

北京师范大学网络法治国际中心高级研究员臧雷介绍,在操作系统中允许App通过自启动、关联启动等方式被唤醒,其本意是增强手机、购票机等电子设备覆盖和适用各类应用环境的能力,方便用户在各类应用间切换。但如果存在通过权限等机制收集个人信息的行为,且并未在隐私政策等规则中明确指出具体目的的,其收集个人信息的频度则涉嫌超出了业务功能实际需要。“要解决此类问题,既要堵住技术漏洞又要强化法律保障。”

奇安信集团工程师认为,安卓系统权限过大,不同开发者可在安卓系统上对底层代码自行修改,这是用户管不住“任性”App的重要原因,而一些应用市场则对App安全性审核不严,致用户利益受损。

暨南大学网络空间安全学院院长翁健等专家建议,应将“是否存在超范围获取用户信息风险”列为App安全审查核心标准之一,不能满足安全标准者不得进入市场。

北京市京师律师事务所律师孟博表示,对于App提供的格式化的用户协议或隐私政策,是否具有法律效力,取决于网络运营者是否尽到法律要求的合理提示义务,如果存在通过格式条款加重用户责任、排除用户主要权利等情形,该条款无效。

另外,臧雷等专家也提醒,当前不少手机操作系统可以对App运行情况进行监测,用户应提高信息安全意识,定期检查App运行情况。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK