偷看日历？9款 APP 涉嫌过度获取权限

最近网友已经看累了APP搞事的瓜， 3月 29 日，“ 9 款 APP 涉嫌过度获取权限”又上了热搜。

不久前上海消保委针对网购平台、旅游出行、生活服务等 39 款手机 APP 进行了涉及个人信息权限的评测，主要包括四个方面： App 所使用的目标 API 级别、 App 敏感权限的数量、敏感权限的授权方式（是否存在一揽子授权），及查看是否存在无实际功能对应用的权限申请。

结果发现， 15 款网购平台类 APP 中 10 款存在问题， 13 款旅游平台类APP中 7 款有问题， 11 款生活平台类APP中8款有问题。

截止 3 月 23 日，仍有 9 款“头铁”应用没有改进其权限功能。这 9 款应用分别为：聚美优品( v7.951 )，贝贝( v8.2.01 )，穷游( v9.2.0 )，TripAdvisor猫途鹰( v29.4.1 )，神州租车( v6.4.4 )，一嗨租车( v6.2.1 )，饿了么( v8.13.1 )，百度糯米( v8.4.7 )，格瓦拉生活( v9.5.0 )。

你中招了几款？

这些APP向用户索要了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限，除此之外，部分APP还会申请获取用户日历权限。

偷看日历是什么操作？

平台方解释称如果上有抢购活动，消费者点击“关注”，就会将信息放在日历中，抢购前可以提醒。但在新京报报道中，相关技术专家表示这个功能完全可以通过后台的信息推送等别的途径来实现，根本不需要获取日历权限。而一旦获取了日历权限，就可能获取用户更多隐私。要知道多数人会用手机日历纪录行程，工作安排。

这些被批评的APP们是怎么回应的？

“一嗨租车”表示，“短信权限是开发时的失误造成的，但并未去用，也没有运用的场景，在新版本中已去除”。（软件开发是个锅，哪里需要搬哪里）

“饿了么”申请了11个权限，其中就包括拨打电话、日历等。在测试新版本时，这两个权限已删除，但又新增了“读取通话记录”权限。饿了么回应称，该权限“在不知情的情况下上线， 3 月 22 日已下线”。（影视剧反转剧情）

格瓦拉回应称，在 3 月 26 日发布的新版本中，已取消了申请的短信、通讯录、麦克风 3 个权限。

参考来源：新京报

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注