天创培训:您身边的信息安全培训专家!
行业动态
偷看日历?9款APP涉嫌过度获取权限

  不久前上海消保委针对网购平台、旅游出行、生活服务等39款手机APP进行了涉及个人信息权限的评测,主要包括四个方面:App所使用的目标API级别、App敏感权限的数量、敏感权限的授权方式(是否存在一揽子授权),及查看是否存在无实际功能对应用的权限申请。


  结果发现,15款网购平台类APP中10款存在问题,13款旅游平台类APP中7款有问题,11款生活平台类APP中8款有问题。


  截止3月23日,仍有9款“头铁”应用没有改进其权限功能。这9款应用分别为:聚美优品(v7.951),贝贝(v8.2.01),穷游(v9.2.0),TripAdvisor猫途鹰(v29.4.1),神州租车(v6.4.4),一嗨租车(v6.2.1),饿了么(v8.13.1),百度糯米(v8.4.7),格瓦拉生活(v9.5.0)。


  这些APP向用户索要了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限,除此之外,部分APP还会申请获取用户日历权限。


  平台方解释称如果上有抢购活动,消费者点击“关注”,就会将信息放在日历中,抢购前可以提醒。相关技术专家表示这个功能完全可以通过后台的信息推送等别的途径来实现,根本不需要获取日历权限。而一旦获取了日历权限,就可能获取用户更多隐私。


  事件曝光后,目前,一嗨租车、格瓦拉、饿了么已回应并删除了相关功能