同一个App,国内版竟要求更多权限? 最近,App隐私又再次成为了人们倾泻口水的话题。一方面,某互联网大佬"中国人对隐私不敏感"的言论一石激起千层浪;另一方面,官媒点名"WiFi万能钥匙"这个广为流传的App,向其存在的隐私泄露问题开炮。一时间,人们议论纷纷,毕竟对于国内隐私泄漏的严重程度,大家都是心知肚明的。隐私泄露早已经成为了互联网时代的日常,人们对此怨气满满,这次终于是找到了一个发泄点大倒苦水。 国人的隐私是否真的不值钱? 的确,国内的隐私泄露问题无比严峻,特别是进入到了移动互联网时代后,各家互联网厂商大显神通,令人惊叹于一个个表面光鲜的正规企业原来竟能有如此吃相。特别是在安卓平台上,App们对用户隐私的拿取可谓是丧心病狂。这具体表现在哪里?这就来看看吧。 同一个App,国内版竟要求更多权限 在国内随便找一个App安装,你往往会碰到长得令人头疼的权限申请列表,这点相信大家在日常使用中早已经深有体会。但是,很多人或许并不知道,这种现象往往是国内版本的App特有的。同一个App,国际版本所申请的权限,很多时候要比国内版的要更加干净! 这并非是笔者危言耸听。如果你有条件到Google Play上逛一逛,会发现某些国内常见的App也有上架。但和国内版本不同,这些在Google Play上架的国产App,对权限的渴求却并没有国内版本那么丧心病狂。例如,最近全世界人民都喜闻乐见的吃鸡官方手游,腾讯也在Google Play上架了《绝地求生:刺激战场》的国际版本《PUBG MOBILE》。但和国内版本不同,国际版的《PUBG MOBILE》只申请了14个权限,而国内版的《绝地求生:刺激战场》却申请了31个权限!这是否真的有必要呢? 同样的游戏,国际版(左)所需的权限就是要比国内版的更少 对比两个版本的官方吃鸡,可以发现很多涉及隐私的权限申请,在国际版本都没有出现。例如,国内的《绝地求生:刺激战场》会申请GPS定位,会申请修改系统配置,会申请开机启动,这些权限在国际的《PUBG MOBILE》都是没有申请的。 此种现象是否国产App独有?并非如此。一些来自国外的App,国际版本同样要比中国版所申请的权限要更少。例如亚马逊官方商城的App,在Google Play上架的版本申请了21个权限,而在中国发行的版本却足足申请了41个权限之多。 亚马逊国际版(左)和国内版相比,不仅国产App如此,国外的App也是如此,国际版的权限更少 为何同一个App,国内版会要求更多权限呢?原因是多方面的。例如,国际版本的App能够调用Google服务框架去实现推送、记录等功能,而国内App却没有这个条件——Google Play服务和国内是绝缘的,为了实现类似功能,国内App只能利用一些第三方API,而这些API通常需要App申请额外的权限才能接入。又例如,Google Play的隐私政策虽然宽松,但还是存在的,而国内基本就没这回事。 国内无法使用Google服务,很多App依赖第三方API实现推送等功能,这会申请额外多的权限 种种因素作用下,国内版本App会索取更多权限,也就不足为奇了。虽然一些国内版本的App索取更多权限是为了实现正常功能,而不是为了偷隐私,但索取更多的权限,在很大程度上就增加了泄漏用户隐私的风险——就拿接入第三方API为例,你很难保证这个第三方API是否会出卖用户隐私。在Google Play无法正常使用、国内统一推送联盟又未成型之际,恐怕用户还得忍受这种现状好一段时间。 2强横的权限捆绑/淡薄的隐私意识 你有权限管理系统?不给权限不许用 安卓在近年来也是越来越注重隐私和安全的问题,目前就算是原生版本的安卓系统,也已经加入了大家喜闻乐见的权限管理系统。利用系统的权限管理系统,用户可以控制某个App是否能够使用某项权限,而在之前,使用某个App必须全盘接受该App所申请的所有权限。权限控制系统普及有,有用户感叹道,这下终于不必被App强奸了,但事实是否真的如此? 所谓道高一尺魔高一丈,在权限管理方面,国内的App们上演了一出典型的"上有政策下有对策"。你的确可以禁止某些国产App申请某项权限,但这样做后,该App可能就直接拒绝打开了。没错,就算有权限管理系统,你不接受该App的权限申请,就算你装上了这App也压根没法用。App往往会给出一个看似理直气壮的理由,例如某权限是功能实现必不可少的组成部分,没有了该权限App可以拒绝运行等等。然而,这理由是否站得住脚呢? 某些App不给权限,就拒绝提供服务 实际上,禁用某个权限,的确可以令App无法使用相应部分的功能。例如,如果拒绝赋予App摄像权限的话,那么扫描二维码之类的功能就形同虚设了。但是,无法使用App内的某个功能,并不等同于无法使用某个App,如果一个App调用不到摄像头权限,然后拒绝为你提供浏览网页、即时通讯等等功能,怎么看也像是霸王条款。 按照常理,App调用某个权限,应该发生于激活涉及该权限的功能之时。但是,很多国内App在开启应用的同时,就会检查权限是否健全。例如,开启了某个App,还未点开二维码扫描,就已经弹出摄像头权限的申请框了。正是这种滥用权限的现象,令App得以绑架用户必须赋予某某权限,让权限管理系统形同虚设。 正确的权限调用机制应该是这样,某功能需要用到权限,才弹出申请 幸运的是,现在已经越来越少App使用此种策略了。如果想要彻底防范这样的情况,恐怕用户必须得折腾一个能够赋予App假权限的管理系统,Xposed框架中就有类似的工具。不过,这样的折腾方法始终门槛太高,如果一个App决心不给权限不许用,恐怕大部分用户还是得咽下权限捆绑的大礼包。 这些App国内很流行,但你可知有多大的隐私风险 国内App拿权限已经是家常便饭,无论是什么浏览器App、天气App、聊天App,不拿你几十个权限都不好意思。但是,某些App天然就比其他App更加容易泄漏隐私,这类App在国内风行,但很多人却没有注意到其中的危险性。 例如,这次官媒点名的WiFi万能钥匙,就是很多国人的装机必备。官媒认为,WiFi万能钥匙会泄漏WiFi密码等重要隐私,甚至会泄露国家机密。随后,WiFi万能钥匙官方对此事进行了回应,称官媒的报道剪辑中带有山寨品的内容,WiFi万能钥匙一直注重对密码的保护。但是,这也从侧面反映出,这类App天生就是隐私泄漏的温床。 官媒报道App会"偷密码" 且不说WiFi万能钥匙App会否泄漏WiFi密码,类似功能的WiFi分享类App早已经铺天盖地,不少朋友都有安装,并尝试去用它们来蹭网。然而,这类App之所以能成功蹭网,所依靠的必然是庞大的WiFi密码数据库。而这数据库之中,是否会存在用户不知情下泄漏出去的隐私?这是非常值得担忧的。毕竟谁也不敢保证,所有的WiFi分享类App都会严格把关WiFi密码分享的过程——连上WiFi自动分享密码、甚至试图破开路由器密码获取进一步数据的魔幻,却是时有发生的现实。 使用一些WiFi分享App,意味着把无线网络的隐私给对方任人鱼肉,但遗憾的是很多国人都没有意识到这点。其实类似的情况何止是使用WiFi分享App?不少国人还喜欢使用一些全局过滤手机广告的工具,这类工具的原理是利用VPN来建立本地网关,过滤用户所有的上网流量——通过规则匹配,这的确可以有效过滤广告,但与此同时也意味着你所有的上网流量数据都处于他人眼皮底下。而这类去广告App也没令人失望,爆出了劫持流量推送广告的丑闻(点击查看相关报告)。然而对于此种存在隐私泄漏风险的App,很多人用得乐此不彼,不得不令人感叹国人安全意识的淡薄。 把流量交给广告过滤工具,也意味着把隐私完全交到了别人手里 总结 中国人是否真的对隐私不敏感?种种例子表明,这的确是真的。尽管国内也有很多用户对目前的隐私状况感到痛心疾首,但更多的人并不关心App索取了多少个权限,并不关心某个功能是否存在什么风险,只要软件应用能工作就行。而关于隐私保护的法律法规也迟迟未完善或者有力执行,此情此景下,国人的隐私显得额外廉价。 在这个移动互联网时代,还会有越来越多的App乃至各种技术,以智能的名义索取更多的隐私。隐私的泄漏如果没有得到有效控制,"智能"恐怕最终能进化到比你还了解你自己的程度,这是否会是好事?这个问题还是交给时间来回答吧。