聚美贝贝等9款App涉嫌过度获取权限！当心你的日历被偷看

　　装个地图APP却要授权通讯录和短信？这种情况你遇到过吗
今年1月，上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司，对网购平台、旅游出行、生活服务等39款手机APP开展涉及个人信息权限评测。
而截止到3月23日，仍有9款应用未能就其权限和功能无法对应的问题进行改进。

39款手机APP涉及网购平台、旅游出行类平台、生活服务类平台。 本文图片 中国消费者报微信公号

本次评测主要从四个维度进行：
1
APP所使用的目标API级别。当目标API级别低于23时，安卓对于权限会采用一揽子授权的模式 ，存在可规避系统安全机制的漏洞；
2
APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用；
3
注敏感权限的授权方式。是否存在一揽子授权的模式，如何向用户提出授权请求；
4
查看是否存在无实际功能对应用的权限申请。


评测结果

-1-

本次评测发现，14款应用敏感权限与实际功能均能对应。

-2-

上海市消保委与手机APP企业进行沟通，16款应用完成改进。


为推动相关问题的解决，上海市消保委与手机APP企业进行技术沟通，相关企业也在排查后对存在的问题作出解释和优化意见。
在前期沟通确认中，有8款应用第一时间进行沟通，并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。

在本次会议前（截止到3月23日），上海市消保委再次进行了测试，又有8款应用完成了改进。

-3-
仍有9款应用未能就其权限和功能无法对应的问题进行改进

截止到3月23日，仍有9款应用未能就其权限和功能无法对应的问题进行改进。问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话，重新设置外拨电话的路径”、接收讯息（短信）、读取通话记录等敏感权限未找到对应功能及目标API级别低等。

（截至2019年3月23日）









提醒！关于日历权限
本次评测发现，不少网购类APP获取了日历权限，而调查也表明，超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等，而消费者对日历权限的重视度非常低。
上海市消保委通过上海市消保委、上海新消费微信公众号和腾讯大申网开展的网络调查显示：
69.9%的消费者关注手机APP获取个人权限问题。其中，通讯录权限最为关注，占43.5%；26%的消费者关注电话、短信权限。值得关注的是，仅有0.4%的消费者关注日历权限。

而52.5%的消费者用手机日历功能记录个人行程。其中，24.7费者选择记录日常生活行程；18.5%的消费者记录日常生活及工作等行程。

重要提醒！
网购类平台使用日历权限
给消费者带来的场景
可以用其他技术手段加以替代
上海市消保委建议☟
如消费者经常使用日历记录敏感事项，对APP的日历权限应谨慎授权；
APP开发者如无十分必要，建议尽可能不使用手机日历权限。（原文标题：聚美、贝贝等9款App涉嫌过度获取权限！当心你的“日历”被偷看......）