央视：安卓对手机权限几无限制 用户隐私面临威胁

手机安全工程师 孙煜：

申请了23权限。发短信呀，获取联系人 位置信息算敏感的危险权限。

记者随后对工具类、金融购物类、阅读类、游戏类等手机软件进行了同类下载比较，发现包括短信、联系人信息和精确位置等隐私信息大都被软件获取。其中工具类和视频阅读类软件更多的是获取位置信息；游戏类软件更多获取发送短信权限；而金融类和购物类软件则大多获取联系人信息和精确位置信息。

而在不同类别的手机软件要求权限数量上，记者发现一般的软件要求权限都在10几项左右，最多的竟然获取了50多个权限。

手机安全工程师在对100多个手机软件要求的权限进行了统计，记者看到在这些安卓系统的敏感权限当中，读取电话状态占到第一位，达到95.51%，其余分别是地址定位54.04%，收发短信45.71%，拨打电话33.71%，读取联系人31.16%，录音28.09%。另外，与手机用户个人隐私密切相关的获取运行应用也占到了将近63%。

手机安全工程师告诉记者，在他们看来，被手机软件获取的各类手机权限，相当一部分并不是软件功能所必需的。相对于通讯软件获取联系人信息，导航地图软件要求精确地址信息，一些游戏类软件要求短信权限，阅读类软件要求地址信息和读取通讯录权限，很难让人理解。

手机安全工程师 孙煜：

作为一款阅读软件来说，它读取用户的通讯录是没有办法解释的一个行为。

记者：缺这些权限的话，这个软件还可以运行对吗？

还可以运行。

经过初步调查记者了解到，大量的手机软件获取手机的各类权限并不是一个罕见的现象，有的软件获取的权限还高达50多个。而涉及手机用户隐私的权限被获取也十分普遍。

获取短信、通信录、地理位置等隐私权限是否是手机软件功能上的要求呢？在手机安全技术人员帮助下，记者进行了进一步调查。

记者发现，像微信等通信类软件也获取了手机用户的联系人、短信记录、地理位置等信息，但技术人员通过专业的工具进行逆向分析发现，这些权限确实在软件应用中发挥了作用，最终实现了通信录好友添加、摇一摇、附近的人等软件功能。手机安全技术人员在另外10几款手机软件中发现，这些软件都要求了读取编辑短信、读取联系人，甚至拦截拨打电话的权限，但其中5个软件根本没有使用这些权限。

手机安全工程师 彭大伟：

有一些就是不必要的权限它也申请了，有些它申请了这项权限，其实从现在来看它没有代码去实现这样的功能。

调查显示，这几个软件在运行中根本没有使用读取联系人、收发短信等功能，但是依然也要求获取手机用户的这些隐私权限。

记者了解到，目前的手机操作系统中，安卓系统对手机权限几乎是没有限制的，这种开放性虽然吸引了大量的应用软件开发，但也造成了权限获取的无序现象。调查发现，很多软件商就是利用这个漏洞，不管有些权限根本用不到，也尽可能地大量获取包括隐私权限在内的各类权限，却丝毫不顾忌手机用户个人隐私面临的巨大威胁。

手机安全专家 阚志刚：

我想大部分的这种软件有这么几项5、6项、7、8项就足够了，你要是超过20项或者30项那个(软件)呢，就是很明显的一种权限滥用的这么一个嫌疑了。

调查中记者发现，几乎全部手机软件在其下载安装页面上，只提供了“安装”和“取消”两个选项，而手机用户对软件所要求的各种权限不能选择。也就是说，手机用户只能选择默认安装，或者放弃使用。而有的软件安装页面虽然提供了选项，但是记者试验之后发现，只要取消其中一项权限，就会不断提示重新设置权限，否则这个软件就不能安装，直到全部同意其要求的全部权限为止。

手机安全工程师 彭大伟：

就是你没有选择的权利，你只有选择是或者不是的权利，你没有去关闭一些权限(的权利)。

记者调查发现，不管用不用，获取过多的手机权限已经是普遍现象。那么开放给软件商的个人隐私仅仅是用于软件实现功能吗？记者进行了进一步调查。

这款名为“聊天360电话”的手机软件是一个能够节省通话费用的软件，记者下载了这个手机软件，发现其安装界面要求获取手机联系人，读取通话记录等权限。随后记者联系到了这个软件的工作人员。

聊天360电话软件 工作人：

记者：就是说要求我开放手机通讯录，这是为什么啊？

就是说你用我们软件拨打电话呢，就比较方便的这个意思，是没有其他意思的

记者：那我那个通讯录信息你们会看到吗？

看不到的， 你私人的一些什么隐私问题(信息)是不会透露的，你可以放心。

按照这位工作人员的说法，这款“聊天360电话”的手机软件要求获取联系人信息是为了将记者的手机通讯录同步到软件页面，以方便查询和拨打。如果真是这样，这款软件对读取联系人权限的要求确实是功能上的需要。但事实会像这位工作人员所说的，手机里的联系人信息不会被软件商看到吗？手机安全工程师登陆了该软件并进行了数据包抓取，结果发现，在登陆这款软件的同时，他手机里的所有联系人信息就传送到了该软件的网站后台。

手机安全工程师 彭大伟：

可以看到这边，其实它上传了我个人的这个联系人的信息，就会直接把我(的隐私信息)上传到服务器上面去了。

记者看到，手机中的联系人姓名和电话号码，分毫不差地显示在这款软件传往后台的数据包当中，也就是说，这些联系人信息已经被软件后台获取。记者查阅了2011年发布的《移动互联网恶意代码描述规范》，其中关于隐私窃取的描述中规定，“在用户不知情或未授权的情况下，获取通讯录内容”的行为属于隐私窃取属性。

手机安全工程师 彭大伟：

你在本地去操作是可以的，但是你不能把我(的隐私信息)上传到服务器上面去。把这个联系人(信息)获取之后，然后再偷偷地上传到远程的后台服务器，那这种行为就是肯定是非常恶意窃取用户隐私的这种行为。

通过进一步调查记者发现，要求获取通信录等隐私信息的手机软件，有的并不像软件商宣称的不会读取、传送这些隐私内容，而是在手机用户毫不知情的情况下，悄悄窃取了手机中的联系人信息。

调查中记者发现，除了联系人信息、通话记录等隐私内容被软件商窃取之外，手机当中的所有应用软件竟然也可以传到软件商的后台服务器。手机安全工程师打开了这款名为“爱聊”的手机通讯软件，这款软件也需要一些读取个人的信息，还要求获取手机正在运行的应用程序信息。登陆之后记者发现，手机中近百个应用程序毫无遗漏地也被传到该软件的服务器后台。