十几分钟会见数据两万余次“TIM”等多款APP涉组团“偷窥”

　　在尝试关闭软件读取权限的时候，经常有用户会发现部分APP会强制要求授权，否则无法继续使用，而打开权限后，你就会发现，手机越来越能读懂你的心——拿着到手的新包来一张自拍，打开购物网站就会出现相关产品推送；正在APP中浏览一款最新车型，销售人员就打来咨询电话……

　　没错，正是你的手机软件在“搞事情”。近日，媒体曝光的手机APP“偷窥”乱象调查显示，有的APP能够在十几分钟内访问照片和文件两万多次，其中涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。手机APP窃取用户隐私为何屡禁不止？作为用户，如何保护个人隐私？面对一系列疑问，科技日报记者采访了相关专家。

　　APP违规收集信息屡禁不止

　　近年来，关于手机软件“秘密访问”个人信息的事件屡见不鲜。手机软件是如何频繁窃取用户信息的？

　　北京理工大学计算机网络及对抗技术研究所所长闫怀志接受科技日报记者采访时表示，APP窃取用户信息，通常是通过对手机的“正常”操作而非攻击手段实现的。广义来讲，用户的数据处理、APP操作行为均需获得手机自带的操作系统支持。“而操作系统会在不同层面设置各种权限等安全机制，防止用户信息被恶意读取或滥用。但如果APP获得了某种权限，就可以轻松读取该权限项下的所有信息。”他说。

　　闫怀志解读，手机APP违法违规收集个人信息或是窃取用户信息，主要途径有以下两种：第一种是未明确告知而收集信息，例如有些APP在收集信息之前未予明示，有的干脆玩起文字游戏诱导用户同意；第二种是未以清晰权限限定收集的目的、方式及范围，比如通过正常渠道收集了用户信息，但是却超范围使用，给用户隐私和利益带来潜在风险和危害。

　　通常来说，用户信息应该遵循“收所必需、用所必需”的基本准则，也就是说，所收集的信息应该是完成用户某项业务所必需的信息，而且这些信息应该在该业务范围内被正当使用。

　　“需要注意的是，APP窃取信息与黑客窃取用户信息导致大量信息泄露，这是两个性质不同的事件。一款正规上架的APP软件，在用户不知情的情况下或超出用户授权的情况下来获取用户信息，在手机上的操作不必利用任何攻击手段来实现，即便系统没有漏洞，APP依然可以获取用户信息。”闫怀志说。

　　表面买薯条，暗拿“全家桶”

　　目前，我国已明确将数据纳入生产要素,很多APP过度收集隐私，就是为了商业目的。那么，频繁访问用户信息，究竟是作何用途？不同软件可彼此唤醒，共同窥探用户隐私，是否意味着开发商彼此之间存在利益交换？

　　据了解，一般来说，用户信息可分为两类，一类是准静态信息，融易新媒体，比如用户姓名、年龄、住址等，通常不会频繁变更，APP采集一次即可一劳永逸。另一类是动态信息，比如用户的位置、移动支付情况、个人健康状态等信息，经常或随时处于变化之中。动态信息就需要APP频繁访问方可获取。

　　闫怀志解释道，从技术上来看，APP频繁访问用户信息有的是确因业务需要，比如导航路径规划，自然需要了解用户的实时位置；健康监测业务，可能会需要随时获取用户的运动数据信息。获取用户个人信息后，软件运营商会通过数据分析，对用户的活动范围、消费能力等进行标定，从而进行更为精准的广告投放或其他营销行为。

　　“需要注意的是，用户信息具有特殊重要价值，为了提升注册量、共享用户有用数据，有些APP开发商之间会进行用户信息交换，这种操作的前提自然是利益。”闫怀志强调。

　　根据调查，很多手机软件下载之后，会频繁唤起其他软件自启动，进而共同在后台窥视用户照片、购物记录等，技术层面如何解读这一现象？

　　闫怀志解释说，APP唤起其他软件的技术实现途径很多，常见的有Intent唤起、包名唤起、URL唤起等方式，简单来说，就是通过后台通信协议来私自启动，并且启动后仅在后台运行数据，具有较强的隐蔽性，用户很难察觉到。闫怀志进一步强调，唤起其他软件在后台自启动，共同偷窥用户信息，目的是最大限度获取用户信息以实现更为精准地画像，这种表面买薯条，暗拿“全家桶”的行为具有更大的隐蔽性和危害性。

　　软件“偷窥癖”该如何防治

　　为保障个人信息安全，有关部门展开了一系列整治市场乱象的行动。2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局4部门，在全国范围内联合组织开展了APP违法违规收集使用个人信息专项治理活动，并成立APP违法违规收集使用个人信息专项治理工作组。工作组根据收到的万余条网民举报信息，统计出前五大典型问题分别为：超范围收集与功能无关的个人信息、强制或频繁索要无关权限、存在不合理免责条款、无法注销账号、默认捆绑功能并一揽子同意。