上海市消保委：聚美、贝贝、穷游等9款App索取权限超过实际功能

　　艾媒网3月28日获悉，上海市消保委于3月27日发布了针对39款网购平台、旅游出行、生活服务等手机App涉及个人信息权限的评测结果，共有25款存在问题，其中穷游、百度糯米、神州租车等9款App存在向消费者索取的权限与实际功能不对应的问题。

　　在今年1月，上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司，对网购平台、旅游出行、生活服务等39款手机APP开展涉及个人信息权限评测。而截止到3月23日，仍有9款应用未能就其权限和功能无法对应的问题进行改进，涉及网购平台、旅游出行类平台、生活服务类平台。

　　据了解，本次评测主要从以下四个维度进行：

　　1. APP所使用的目标API级别。当目标API级别低于23时，安卓对于权限会采用一揽子授权的模式 ，存在可规避系统安全机制的漏洞；

　　2. APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用；

　　3. 注敏感权限的授权方式。是否存在一揽子授权的模式，如何向用户提出授权请求；

　　4. 查看是否存在无实际功能对应用的权限申请。

　　评测结果显示，仅有14款应用敏感权限与实际功能均能对应，于是上海市消保委与其他企业进行沟通，相关企业在排查后对存在的问题作出解释和优化意见。截止3月23日，上海市消保委再次进行了测试，有16款应用完成了改进，仍有聚美、贝贝、穷游、TripAdvisor猫途鹰、神州租车、一嗨租车、饿了么、百度糯米、格瓦拉生活等9款应用未能就其权限和功能无法对应的问题进行改进。问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话，重新设置外拨电话的路径”、接收讯息（短信）、读取通话记录等敏感权限未找到对应功能及目标API级别低等。

　　本次评测值得关注的是，不少网购类APP获取了日历权限，据上海市消保委开展的网络调查显示，52.5%的消费者用手机日历功能记录个人行程，其中，24.7%的消费者选择记录日常生活行程；18.5%的消费者记录日常生活及工作等行程。有69.9%的消费者关注手机APP获取个人权限问题。其中，通讯录权限最为关注，占43.5%；26%的消费者关注电话、短信权限，而仅有0.4%的消费者关注日历权限。这些信息涉及个人信息、商业机密等，而消费者对日历权限的重视度非常低。

　　为了保护用户的信息不被泄露，上海市消保委建议，如消费者经常使用日历记录敏感事项，对APP的日历权限应谨慎授权；APP开发者如无十分必要，建议尽可能不使用手机日历权限。