APP过度索取权限调查：你想查个菜谱，他想偷你隐私！

“我就买个东西，你要查看存储卡里的照片？”“我就用个尺子，你要读取我通话记录？”“我想用指南针，你要录制音频？”越来越多手机用户，对APP过度索取权限，发出“灵魂拷问”。

3月3日工信部通报，对10款APP做出下架处理。这10款下架的APP违规调用麦克风、通讯录、相册等权限，且未按要求整改。记者调查发现，无论是热门APP还是小众软件，都或多或少存在过度索取用户权限的嫌疑。信息安全工程师提醒，如果权限调用管理不规范，用户隐私有被泄露的危险。

热门APP

不同意授权没法好好用

记者测试了10款功能全面的热门APP，发现，各软件均会在首页展示用户协议或隐私政策。尽管用户可以自主选择关闭哪项权限，但登录页面展示的所需权限与软件实际获取的权限往往不一。与此同时，用户一旦选择“不同意”，通常则无法进行下一步操作，享受软件服务。

某社交APP首页“温馨提示”的权限获取中，每一条都用了“可能”二字。比如“为了帮助您发现更多好友，我们可能会申请通讯录权限”……在页面下方，有一行不显眼的小字——“登录注册代表同意《用户协议》《隐私政策》”。这样的提醒，也并不是每个软件都会标注出来。

下载登录某读书软件，在其“温馨提示”中，明确提示了用户“摄像头、电话、位置等敏感权限均不会默认开启，你有权拒绝或取消这类授权。”另一个听书软件则显得有些突兀。在该听书App所需的权限中，竟然包括索要相机权限。而获取用户手机相机权限的原因，该软件解释为“发帖子或上传头像时使用而拍摄照片和视频”。

记者测试多次发现，目前对于首次下载和使用软件的用户，各软件普遍标注了所需权限的提示。然而，一旦用户选择“不同意”，则往往无法继续使用相应软件，一些软件还会第二次、第三次“提醒”用户，是否同意相关协议。如果用户点击“同意”进入该软件后，也并非所有软件都能做到再次对主要的所需权限一一弹窗提示。

一款下载量6000多万的金融软件，当用户细读该软件“用户权益保障及信息保护”第8条时，可发现其内容为“您同意，运营方有权按照《用户个人信息保护政策》约定自行收集、使用、处理、共享、转让、公开、保存您在平台的操作信息……”

小众APP

菜谱应用索取13项权限

除了热门APP，一些功能单一的小众APP，也存在比较严重的过度索取权限嫌疑。

一款尺子APP，大小只有3.1M。在应用市场评论里，很多使用者吐槽这款APP——广告多、权限要求多。

记者下载时发现，这款尺子获取4个敏感隐私权限——相机、读取存储卡内容、读取通话状态和移动网络信息、修改或删除存储卡中的内容。这些权限可以用来拍摄照片、视频，获取本机号码、通话状态以及拨打的号码，读取、修改和删除存储卡上的照片、媒体内容和文件。

使用时，尺子的功能很简单，直尺、竖尺、量角尺、水平仪，四个功能只有一个量角尺需要调用摄像头，其余就跟实体尺子没有任何区别。但是这款APP会不停地弹出广告，购物、杀毒、外卖、养车等等不一而足，几乎每点击一次都有命中广告的可能。记者退出直尺想点击竖尺，就不小心命中了一款购物APP的广告，手机便开始自动下载购物APP。

一款手电APP，功能更为简单，只是用来打开手机闪光灯和屏幕，以此获取亮光。但一样要获取跟尺子相同的4个敏感隐私权限。同样也要遭受广告侵扰。

一款罗盘指南针APP，获取8个敏感隐私权限，除了跟尺子相同的4个，还有显示在其他应用上面、访问大致位置信息、录制音频、修改系统设置。打开APP，实际上只有一个指南针盘可以免费使用。其他功能都需要付费购买，此外还有众多广告——如家居布局优化方案等。

除此之外，记者还发现，一款菜谱APP，获取13个敏感隐私权限，其中包括读取联系人、位置、录制音频等，这些看起来跟APP的主要功能都没有太多关系。

担忧

APP有权随便修改手机内容吗？

看到工信部的通报，小雨才想起来去查一查自己下载的那些购物平台都从她这里拿到了什么权限。这一查让她“惊”了，“真的不查不知道，一查吓一跳。”

最经常使用的一个生鲜APP，明确要求她必须允许对方读取存储卡、修改或删除存储卡的内容、访问确切位置信息……而另一个她经常刷来看看的鸡汤文小程序则要求拥有“修改系统设置”，在安装时，手机都给出了提示，“恶意应用可能会破坏您的系统配置”。而且，这些提醒在安装时都被折叠，用户只有点开才能看到这些需要让渡的权限内容，而只有一一去点这些权限，才能看到其中可能存在的风险。

记者询问了几十个用户，没有一个人在安装之前会去认真查看。小雨的想法很有代表性，“因为必须得用才去下载的，不同意人家的规定，就没法安装使用，所以其实看了也没用。”

详细看了各类APP的权限规定后，小雨的内心很崩溃，“我不明白，我在你这儿买个东西，为什么必须同意你能有权修改我手机存储卡？你有权随便来修改我手机的内容，跟你随便破门而入、抢劫我家东西有什么区别？”小雨感觉这种限制性规定完全是权力滥用，“咱们管理部门是不是应该明确限制，任何APP都不应该有权力修改用户手机内的信息和设置。”

小雨的呼吁也是芳姐的心声。她今年刚下载了一个唱歌APP，安装的时候，糊里糊涂地授权了对方可以收集自己微信、QQ等社交软件中的联系人信息，这几天刚刚被孩子批评——“你这暴露自己的隐私还不算完，还‘出卖’朋友。”儿子的这个指责让她内疚，赶紧卸载了这个软件。芳姐觉得有APP设置上就有问题，“有些权限不应该默认用户同意，而是应该默认用户不同意，愿意放权的用户可以自己再去授权。”

经常带孩子上网课的豆豆妈也吐槽，豆豆学习的好多平台上都要求录制孩子讲课、做课后作业的视频上传打卡。但是平台规定了，一旦上传视频，则被视为永远同意这个学习平台免费使用这些视频和相关信息。“我们想回看孩子的学习视频都是有时限的，不买课时包后很快就不能再看了，平台怎么就能永久使用我们的视频？明显权利不对等。”

观点

过度索取权限存在侵犯隐私可能

信息安全工程师林顺告诉记者，APP索取权限，除了保证APP正常使用，其余是为了对用户进行画像，锁定用户，大部分是用来精准投放广告。但是，如果对APP这些隐私信息的加密不到位，很可能造成用户隐私流失。“最近这些年发生过，有‘内鬼’贩卖用户隐私信息的事情。”

此前，有用户反映，某APP远程删除了手机里的截图。林顺透露，这在技术上是可行。APP获取手机存储卡权限，初衷是为了方便用户使用。“比如，客户向客服理赔，读取和编辑存储卡里的照片。”但是随着功能越来越复杂，APP可以增删改查图片，理论上让APP远程删除照片，成为可能。

“现在业内还在关注剪切板的隐私。”林顺说，“有时候，我们会复制银行卡号、密码到剪切板上，这就存在泄露的危险。”

据了解，国家工信部对APP隐私政策和使用权限都有严格规定，APP如何收集用户信息、数据怎么加密，都必须合规。