地图App安全吗 申请的敏感权限与实际功能不完全对应

　　地图App安全吗？百度、高德获隐私权限，但部分无相应功能

　　澎湃新闻记者 邹娟 实习生 白梦真 来源：澎湃新闻

　　如果一款App获得了你的隐私权限，但没有相关服务，你是否会感到不安全？

　　7月18日，上海市消保委通报2018地图类手机App涉及个人信息权限评测结果，超八成消费者担心地图类App泄露个人信息，大多消费者不知自己哪些隐私，暴露在不安全环境下。

　　今年6月初，上海市消保委委托北京捷兴信源信息技术有限公司，对使用率较高的百度地图、高德地图、腾讯地图、搜狗地图、图吧导航等5款热门地图类App涉及个人信息权限状况进行评测。

　　结果显示，图吧导航疑绕开授权申请获取消费者隐私，百度、高德等均存在获得权限但部分无相应功能的情况。

　　随后，上海市消保委邀请5家企业参加7月18日通气会。百度承诺对不需要的短信权限在下一更新中取消，并增加设置“一次性授权”选项；高德承诺在下一版更新中取消四个敏感权限申请；腾讯承诺取消iOS版本中的“通讯录”权限。

　　不过，搜狗地图、图吧导航两家App所属公司未到现场，且无任何回应。

发布会现场。 图片来自澎湃新闻记者 邹娟 实习生 白梦真

　　逾八成消费者担心地图类App泄露个人信息

　　地图类App几乎已成当前智能出行的必备软件。网络调查数据显示，97.63%的消费者手机安装了地图类App。其中，40%的消费者安装了两个地图类App，7%的消费者安装了三个。

　　使用中，个人信息保护成为焦点。网络调查显示，82.59%的消费者担心地图类App泄露个人信息。其中，23.44%的消费者“非常担心”。

　　上海市消保委认为，个人信息保护的关键是规范收集和使用。

　　《网络信息安全法》第四十一条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

　　敏感权限涉及用户隐私，需要用户授权

　　本次测评技术支持方，北京捷兴信源信息技术有限公司技术负责人介绍，权限被分为几类，其中“普通权限” 指一般不涉及用户隐私，不需要用户进行授权的权限；而“敏感权限” 一般会涉及用户隐私，且需要用户进行授权。

　　以目前受众最多的Android6.0（API-23）为例，总权限338个；普通权限57个、敏感权限共计11个权限组29个权限。无论“普通权限”、“敏感权限”，任何权限都需要在应用的清单文件里注册，即所说的权限申明。

　　实测中，各App敏感权限数量各不相同。安卓系统中，腾讯地图获取敏感权限数量最少，只有7个；百度地图获取敏感权限最多，为14个。另有搜狗地图、高德地图、图吧导航获取敏感权限的数量分别为10个、11个、13个。

5款地图类App在安卓系统下的敏感权限授权方式。 本文图片来自上海市消保委

　　iOS系统在访问照相机、麦克风、定位、通讯录等涉用户隐私功能时，也需要在info.plist 文件中声明。项目中需要使用什么，就添加对应权限。如不声明，程序则会在调用具体功能时崩溃，无法运行。

　　iOS版本中，各应用所申请的权限数量也各不相同。其中，百度地图有10个，腾讯地图有9个，图吧导航有8个，高德地图有6个，搜狗地图有5个。

　　上海市消保委表示，不能单纯通过应用所申请权限数量的多少，去评价一款应用权限“申请及使用”的合理性。权限与功能密切相关，功能越多，所需权限可能也会越多。

　　五款App实测：百度、高德均获敏感权限但部分无相关功能

　　但是，实测中，5款App呈现不同的问题。

　　问题一：申请的敏感权限与实际功能不完全对应。

　　从评测情况来看，腾讯地图申请的权限与实际功能均可以对应。而百度地图、高德地图、搜狗地图、图吧导航申请的权限与实际功能不完全对应，部分还未找到对应的实际功能。

　　发布会现场，工作人员现场演示，在百度地图App里，开发商获取了消费者“发送短信”的敏感权限，但是，工作人员关掉此授权后，App里仍然可以共享地图信息，发送短信。

　　“既然不授权也可以发送信息，为什么还要消费者这一授权呢？”对于这一问题，百度代表在现场表示，回去将进一步核实，如果确实不需要这一授权，将关闭之。

　　在实际应用中，有消费者表示，自己没有向通讯录朋友发送短信，但对方收到该消费者推送的广告信息。目前，尚无法证实这是否与部分App获取消费者发送短信权限有关。

　　同样的，测评中，高德地图通讯录和短信权限授权之后，也没验到相关功能。对此，高德地图代表现场回应，这可能是后续相关功能没有上线，将回去排查，如果确实用不到，将关闭这一授权申请。

iOS系统下，5款地图类App的未知用途权限。

　　问题二：缺少让消费者“一次性授权”的选项。

　　本次评测发现，与消费者个人隐私关系度密切的通讯录、短信等敏感权限，如果消费者一旦授权，APP将永久性获取该权限。虽然理论上可以通过系统设置的后台将其关闭，但入口较深，一般消费者并不知晓。

　　“授权好比一把钥匙。就像我忘记带手机，把钥匙给朋友，请对方帮我拿一下，但拿完之后，钥匙是不是应该还回来呢？”上海市消保委现场向高德地图代表发问。对方表示，将回去研究，争取下一个版本推出一次性授权功能。

　　问题三：图吧导航利用技术手段，绕开安卓6.0授权流程。

　　评测发现，图吧导航的更新时间为2018年4月26日，版本为 v9.4.3.100310a。该版本获取敏感权限13个，均在“安装时授权”，其中有8个未找到对应功能。图吧导航通过设置较低版本的系统适用环境，绕开较安全的安卓6.0系统，获取敏感权限，存在一定的安全风险。

　　发布会现场，图吧导航代表缺席。

　　建议App开发者提供“一次性授权”选项

　　上海市消保委认为，重视个人信息保护是App开发者诚信度的体现，呼吁尽快完善相关规范和标准。

　　上海市消保委要求，本次测试发现的地图类App获取的敏感权限和功能无法对应的企业，要依照合法、正当、必要的原则，对没有具体功能运用的敏感权限进行改正。对于个人隐私关系度密切的通讯录、短信等敏感权限，建议App开发者能够提供“一次性授权”的选项，以更好地保护消费者个人信息。

　　此外，上海市消保委提醒，消费者在涉及个人敏感权限授权时，应考虑到这些权限可能带来的风险。