越界代码很普遍 超半数APP留索取用户通讯录“后门”

嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、悟空理财等10个APP申请了全部6项敏感权限；作业帮、中兴智能家居、宜人贷、红包锁屏等7款APP安装后自动上传用户位置信息

8月13日，《2019年上半年我国互联网网络安全态势》发布，报告指出，每款APP应用平均收集20项个人信息，大量APP存在探测其他APP或读写用户设备文件等异常行为，这再度引发公众对移动APP违法违规收集使用个人信息问题的热议。

目前，用户判断APP收集了哪些信息主要以其索取的权限为依据。新京报记者近两年来持续关注APP索取权限发现，目前绝大多数APP均会明示提醒索取的权限，但APP究竟在什么时候上传了哪些用户信息，APP在技术层面能否窥视用户隐私，对于普通用户来说依然成谜。

近日，新京报记者联合国家计算机病毒应急处理中心，对109款APP的安装包APK进行了引擎检测，检测结果发现，83.6%的APP安装包中均含有超出其原本业务范围之外的权限代码。109款APP中有超过半数的APP安装包里含有索取用户通讯录的代码。

据此新京报发布了“个人隐私报告第一期”，本次报告重点关注APP越界索取权限问题。109款APP中嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个APP申请了全部6项敏感权限，申请的敏感权限最多。

83.6%的APP含越界代码，中移动旗下的和包支付“越界”严重

6月18日，新京报记者对比《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》中划定的不同行业APP应该索取的权限范围，基于安装APP后开启的权限提示，测试了50款常用APP，发现其中有24个APP索取的权限超出范围，占比48%。

而6月25日至27日，新京报记者联合国家计算机病毒应急处理中心，对109款APP的安装包APK内含有的涉及隐私权限的代码进行了引擎检测，检测结果发现，除微信、虎牙直播等18款APP外，其余83.6%的APP安装包中均含有超出其原本业务范围之外的权限代码。

根据《网络安全法》第四十一条，网络运营者不得收集与其提供的服务无关的个人信息；而《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》给出了哪一类APP收集信息的范围标准，超出标准即为越界。

具体来看，在读取联系人、录制音频、读取短信、发送短信、发起电话呼叫、拍摄照片和录制视频六个涉敏感权限中，上述109个APP中有57款APP“越界”含有读取联系人的代码，占比51.8%；有44款APP“越界”含有录制音频的代码，占比40%；有30款APP“越界”含有拍摄照片和录制视频的代码，占比27.2%。而读取短信、发送短信、发起电话呼叫三项APP权限被“越界”含有的比例则在20%左右，相对较少。

其中，和包支付的安装包APK拥有全部上述6个涉隐私敏感权限，但依据《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》，和包支付所属的金融借贷类APP基于其基本业务功能所能收集的必要信息包括手机号码、身份信息、征信信息等，上述6个涉敏感权限与其基本业务功能无关。

和包支付是中国移动面相个人和企业提供的一项综合性移动支付业务，开发者为中国移动旗下子公司中移电子商务公司。截至目前，其在华为应用市场中有3340万次安装。

而作为游戏类APP的开心消消乐的安装包APK同样拥有全部上述6个涉敏感权限，不过基于该APP的类型，录制音频属于其基本业务功能之内，但读取联系人、读取短信、拍摄照片和录制视频等其他5项权限不属于其基本业务功能之列。

“实际上，绝大多数用户对APP的隐私协议是‘看都不看’的，对于权限的开启也往往不是很在意，因此看APP到底有能力获取哪些权限，在技术上直接看代码是最为方便的。”8月16日，在网安部门负责APP检测的程序员小武告诉记者，“代码不会说谎”。

嘀嗒出行、百合婚恋等APP安装包申请全部6项敏感权限

近日，新京报记者联合国家计算机病毒应急处理中心，对109款APP的安装包APK进行了引擎检测。

新京报记者查阅109个APP安装包所申请的6个涉敏感权限列表发现，大多数APP都申请了3至4个敏感权限，而嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个APP申请了全部6个敏感权限，申请的敏感权限最多。

国家计算机病毒应急处理中心在发给新京报记者的检测报告中注明，通过上传的APP应用，自动识别出移动应用所属的行业，并对应到《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》中不同行业应有的权限集合，与被检测应用的AndroidManifest.xml文件进行比对，将多余部分的权限定义为权限滥用。

根据APP专项治理工作组发布的《APP申请安卓系统权限机制分析与建议》，如果APP因业务功能需要申请系统权限，通常情况下，APP开发者可通过在AndroidManifest.xml配置文件中明确声明的方式(静态方式)，以及在代码运行阶段请求的方式(动态方式)申请系统权限。

“AndroidManifest.xml指的是APP安装包中的配置文件，其包含了APP安装所必要的各个组件，其中也有其申请的系统权限集合列表。”国家计算机病毒应急处理中心工作人员告诉记者，“例如，android.permission.READ_CONTACTS代表读取通讯录权限，拥有该代码的APP在‘基因层面’就具备了读取用户通讯录的意图。”