APP劫持的背后是经济利益驱动

记者在调查浏览器主页劫持现象的过程中发现，手机APP(应用程序)也是互联网技术霸凌的重灾区。“灾情”如何?记者进行了调查。

■安装时要求权限过多、收集信息过度，APP技术霸凌时有发生

“我的手机APP一打开网页，就弹出各种抽奖小广告”“看个视频，却要求获取我的通讯录权限，不打开权限就无法观看”“下载后安装APP，需要获取我的地理位置信息，不同意就装不了”……手机APP要求权限过多、过度收集信息非常普遍，也是被吐槽和投诉的技术霸凌“重灾区”。

记者在百度搜索框敲入“APP权限”，马上就自动显示“APP权限过大”和“APP权限哪些需要禁止”的搜索提示。“APP权限过大”的百度相关搜索结果量超过400万个，“APP权限哪些需要禁止”的搜索结果量也超过200万个。

在对40多万款APP进行调查后，中国人民大学信息学院教授孟小峰团队发现，目前APP的各类权限接近40个，但大部分权限跟APP实现功能的正常需求并不匹配。

前不久，上海市消费者权益保护委员会对39款手机APP涉及个人信息权限的测评显示：超过六成APP在用户安装时申请了很多敏感权限，却不提供实际功能，包括读取通讯录、电话权限、短信权限、定位权限等。

DCCI互联网研究院首席专家胡延平告诉记者，为了提供服务、提升体验，一些APP要求权限、收集信息是合理的，但应该有边界。“大多数用户并不知道APP要这些权限做什么，也不会仔细了解每个权限的风险，很容易不知不觉地掉进风险盲区。”

安装APP时，在用户不知情的情况下，违规捆绑无关软件、违规搜集用户个人信息……手机APP中的“恶意分子”所引发的技术侵害则更加难以防范。据中国科学院信息工程研究所副研究员刘奇旭介绍，这类APP技术入侵主要通过3种方式实现——

一是将正常的APP安装包替换成攻击者的安装包，或是在用户正常安装时，关联安装恶意APP，“操作者”通常是第三方应用商店或者手机中的恶意软件;

二是手机中的恶意软件监测手机APP的运行状态并进行攻击。例如，当用户打开某个APP的界面时，被恶意软件探知后，启动其仿冒界面来覆盖原界面，导致用户在仿冒界面中输入自己的账号信息，并被攻击者获取;

三是手机中的恶意软件会中途“劫持”用户对某个页面的访问，代之以返回错误或含有恶意代码的页面。例如用户在使用APP时会被插入不良广告，操作者通常是不良运营商和手机中的恶意软件。

■影响体验，泄露隐私，APP劫持的背后是经济利益驱动

安全专家表示，APP存在的过度要求权限等技术霸凌行为，不仅影响用户使用体验，还可能导致隐私泄露，甚至造成财产损失。腾讯发布的《2018年手机隐私权限及网络欺诈行为研究分析报告》显示，手机APP是重要的隐私泄露渠道之一。

智能手机是人们目前常用的移动互联网终端，存放着用户的社会交往、行为喜好、生活规律、账号密码、照片视频等隐私数据，甚至还包括商业机密文件。胡延平说，一些APP越界获取权限，用户不小心就掉进“天罗地网”，手机里的个人信息随时处于“裸奔”状态，无异于被APP“数据劫持”。

一些权限如果被恶意APP获取，会引发更大的风险。比如，APP要求的日历权限允许读取、分享或保存日历数据，如果该权限被恶意APP利用，可能用来追踪用户每天的行程;电话权限被恶意APP利用，可能会产生额外的电话费用、泄露智能设备的独有编码信息;通讯录权限被恶意APP软件获取后，不仅联系人信息被泄露，还很有可能被传播垃圾邮件、短信或电话的人利用，轻则给日常生活带来骚扰，重则还会引发诈骗、勒索等后果。

“APP技术霸凌给用户的手机带来了新隐患，使其可能成为攻击者攻击其他目标的跳板。尤其是获取高权限的APP，更是能够随心所欲地控制用户手机。”刘奇旭说。

面对APP的技术霸凌，用户缺少选择权，整体上处于任人宰割的弱势地位。

APP运营方为什么要获取这么多的权限和数据?专家分析说，大数据的应用，让个人数据变得越来越有价值。一些APP运营方通过各种手段，甚至在没有获得用户同意的情况下收集用户信息，主要是大数据背后的经济利益驱动。

“比如，APP抓取广大用户的手机通讯录后，会将通讯录上所有人的电话、姓名、地址等信息汇聚形成一个用户数据库，借此给用户精准‘画像’，通过推送广告等获取收益。”胡延平说，“这些信息和数据甚至会被反复、多次出售，被网络黑色产业链利用。”

■专家呼吁完善相关法律，为APP获取个人信息划定边界

针对APP过度和越界索求手机权限，安全专家表示，APP获取个人信息应遵循3个原则：一是最小必要原则，即APP获取的信息是不是服务的必要数据;二是用户知情原则，即第一次使用APP时，需要提示用户是否开启某项服务，即使选择不开启，也不能影响APP其他功能的正常使用;三是必要保护原则，即APP合规收集用户的数据时，要保证数据安全，确保不被泄露、贩卖和滥用。

“应该通过法律规范明确个人信息的收集边界，除特定情况并征得用户授权外，用户本人应绝对掌控自己的个人数据，信息采集方也无权违规使用。”北京师范大学网络法治国际中心执行主任吴沈括说。

吴沈括认为，与个人隐私相关的信息重点在于保护，与个人隐私不相关的个人数据重点在防止滥用，“维护数字生态健康发展，必须区分哪些数据是企业可以收集的，哪些数据的收集是要征得用户同意的。”

避免个人信息泄露，用户也有必要逐步提高自身安全意识。专家建议，用户要选择正规的渠道下载APP，同时要重视手机隐私权限管理，及时关闭不必要的APP权限。

对互联网技术霸凌现象，记者将继续跟踪报道。

关键词： APP劫持 经济利益 驱动