没有授权，Android App 也能获取你的权限？！

Play Trick or Treat！

不给权限就捣乱！

整理 | 屠敏

出品 | CSDN（ID：CSDNnews）

一直以来，无论是 Android 还是 iOS 用户都有一种困扰，即每次下载并打开一款新的 App 时，各种获取不同权限的界面接踵而至。而作为用户只有两种选择，一种是同意将通讯录、麦克风、位置等权限授权给 App，继续使用 App 为我们带来的各种服务；另一种则是点击“不同意”，那么后果就是直接退出该 App，无法继续使用。

如今在经过大数据时代的洗礼，这种现象在 Android 系统层面中愈发泛滥，甚至根据最新的调查显示，当 Android 用户明确拒绝授权相关权限之后，App 竟然仍可以收集到位置等关键个人隐私信息。而这究竟是怎么一回事？且为何越来越多的 App 想要获得用户手机的各种权限？未经用户许可就掌控用户隐私的这个锅究竟是该 App 开发商来背，还是坐拥全球第一大 Android 操作系统的 Google 来扛？

多达 1325 款 Android 应用未经许可收集用户数据

按常理来看，Android App 的权限开放与否决定着你的数据是否给 App 开发商。作为用户，如果不想要正在使用的 App 读取如通话记录、短信、位置等信息，可以拒绝授权。

不过近日，据国际计算机科学研究所（ICSI）的研究人员调查显示，在观察了来自 Google Play Store 中 8.8 万多个应用之后，他们发现当用户拒绝给 App 一些权限时，依然有超过 1,000 个 App 绕过权限控制，获取到用户精确的地理位置数据和手机序列号等个人隐私信息。

这一发现直接揭示了大数据时代，用户想要保护个人隐私并非一件易事。虽然监管部门正试图通过隐私监管来改善现状，而且设置应用许可这一提醒功能也可以让用户自由选择可公开哪些数据，与此同时，如苹果、Google 等科技巨头们也已发布了新的功能来改善用户隐私，但是如今很多 App 无孔不入，一直在寻找隐蔽的方法来绕过层层监管或授权。

对此，ICSI 可用安全和隐私研究主任 Serge Egelman 评价道，“从根本上说，消费者很少有工具和线索可以用来合理控制他们的隐私并做出决定，”同时，他认为“如果应用程序开发者绕过系统，那么向消费者寻求许可是毫无意义的。”

那么是否有好的方法去解决或降低这一问题的发生？Egelman 表示，其实早在去年 9 月，就有研究人员向 Google、FTC 等企业和委员会通报了这些问题。Google 对此回应道，其将解决 Android Q（Android 10.0）的问题，不过该操作系统预计将于今年发布。具体的举措是，是在 Android Q 中将通过隐藏照片应用中的位置信息来解决问题，并要求任何访问 Wi-Fi 的应用必须向用户发出请求的许可，才可以获取相关的位置数据。

百度、迪士尼、三星被点名！

在违反 Android 权限的 1,325 个 App 中，大多是使用了隐藏在其代码中的变通方法，该代码将从 Wi-Fi 连接和照片中存储的元数据等来源获取个人数据。

其中，研究人员发现，一款名为 Shutterfly 的照片编辑 App，它一直在从照片中收集 GPS 坐标并将数据回执到自己的服务器，即使用户拒绝授予 App 访问位置数据的权限也无济于事。

对此，Shutterfly 发言人表示，尽管研究人员发现，但公司只会在明确允许的情况下收集位置数据。“像许多照片服务一样，Shutterfly 使用这些数据来增强用户体验，例如分类和个性化产品建议，所有这些都符合 Shutterfly 的隐私政策以及 Android 开发者协议。”

另外，还有一些 App 依赖其他被授予查看个人数据权限的应用程序来访问并收集诸如 IMEI 码之类的手机序列号。这些应用程序将读取设备 SD 卡上未受保护的文件，并收集他们无权访问的数据。因此，如果用户让其他 App 访问个人数据，并将其存储在 SD 卡上的文件夹中，某些间谍应用就可以获取该信息。

最终，据研究人员称，经过调查发现，只有大约 13 个应用程序这样做，但它们的安装次数超过了 1700 万次。而这些应用中包括了百度的香港迪士尼乐园应用程序等。截止目前，百度和迪士尼没有回应相关置评请求。

除此之外，研究人员还发现，有 153 个具有此功能的 App，包括三星的健康和浏览器 App，而这些应用程序安装在超过 5 亿台设备上。对此，三星也没有回复评论请求。

App 为何索要用户权限？

对此，我们不禁好奇，为何现在越来越多的 App 不给权限就无法使用？这样看似民主却又存在强制的手段到底为哪般？

追根溯源，其实最初授予 App 权限，只是开发者是为了用户提供定制化体验的一种举措。譬如使得第三方 App 获取位置信息，那么像打车、外卖、天气、新闻等 App 可本地化提供更加直接快捷的服务。

但是随着智能手机的普及、物联网设备的不断增多，呈喷井式爆发的数据成为各大公司一笔宝贵的财富。而在这之下，一些短信广告之类的黑产业务也因此浮出水面。对此，《人民日报》曾刊文称，有网友发现，多款 App 在没有明确提示的情况下加入社交属性。还有网友在使用某款手机时发现，打开部分 App 会导致手机的摄像头升降、以及被提示正在录音。如何管好越了界的 App，保护用户的隐私信息安全，是亟待解决的一道现实考题。

越了界的 App 该怎么办？

最终谁该为越了界的 App 负责？其实，想要依靠监管部门的监管，只能扼制住 App 生态衰败的速度，但是解决不了根本。更多的是需要 App 开发商，以及 Android 和 iOS 的拥有者 Google 与苹果公司从根源上动刀。

对此，知乎上不少开发者也发表了自己的看法（https://www.zhihu.com/question/50630373），其纷纷表示：

@查无此人：

还是开发者更任性，宁可失去用户，也不愿意让用户“使用但无法通过 IMEI 做统计。”

@黯月梦殇：

还是生态环境的问题，从公司出的商业化产品出于各种需求，开发者在这里是没有话语权的。用户就是躺枪的。

@陆洪涛：

这个的确是 Google 的锅。不过其实我还是不想给应用获取读取 IMEI 等看似无害的权限，毕竟影响匿名性，所以必要时还是用 XPrivacy。

@C Hero：

根源在 Android 权限分太细了，开发友好，但对用户端提示太笼统，太频繁。比如敏感的 Phone 权限，可能 App 只想读 IMEI，并不代表读你的通话。苹果这方面做的比较好，不敏感的不提示，敏感的简单明了。

App 权限申请也是自身功能设计和隐私的权衡，比如 Camera 权限，那是为了扫一扫。在意这个其实比较痛苦，实际的隐私大头真不在这上面。介意的话，Android 第三方隐私和权限软件丰富的很，随便装个不就得了。

针对这一问题，你怎么看？欢迎下方留言分享你的看法。

参考：

https://www.cnet.com/news/more-than-1000-android-apps-harvest-your-data-even-after-you-deny-permissions/

【End】

 热 文 推 荐 

☞为什么超 80% 的开源开发者苦苦挣扎在贫困线？

☞麒麟 810 实体芯片亮相；1325 个安卓应用私自搜集数据；Linux Kernel 5.2 发布 | 极客头条

☞人工智能 60 年技术简史

☞2019年技术盘点容器篇（三）：阿里专家谈容器：既叫好又叫座？ | 程序员硬核评测

☞微软洪小文：AI将成为人类未来最好的左脑

☞6月Top 20榜单出炉啦! 万万没想到区块链大佬竟在忙这个...

☞干货 | Python后台开发的高并发场景优化解决方案

☞泪目！Linux之父：我就是觉得苹果太没意思！

点击阅读原文，输入关键词，即可搜索您想要的 CSDN 文章。

你点的每个“在看”，我都认真当成了喜欢