华为小米商店多款APP暗开敏感权限 代用户审核遭质疑

记者测试发现，天猫、携程、58同城、优酷、爱奇艺、今日头条、赶集网七款APP在华为和小米手机内置应用商店下载时均在没有明示提醒的条件下默认开启了定位等敏感权限，而在vivo和OPPO手机内置应用商店下载时，除优酷在OPPO安装时默认开启了摄像头和录音外，其余APP均做到了明示提醒。

从上述实例来看，11款APP中，百度、京东等4款APP在小米和华为做到了所有敏感权限的明示提醒，10款APP在OPPO上做到了所有敏感权限的明示提醒，11款APP都在vivo上做到了所有敏感权限的明示提醒。

手机应用商店“代”用户“审核”APP权限

“造成不同手机品牌上APP权限索取情况不一样的原因，是每家手机品牌应用市场上线APP的审核策略不同导致的。”李宇称，“作为APP方，肯定要老老实实的申请权限，再根据应用市场商家审核的要求有所改变。”

2月6日，新京报记者以开发者身份联系华为应用市场负责审核的相关人士，想要了解自身APP能否以默认开启通讯录权限的方式上架华为应用市场。得到的答复是，“权限是否选择默认开启，开发者可以在自己的SDK（软件开发工具包）中‘自行实现’。”但该人士同时表示，若应用索取权限过高，可能存在读取用户通话记录、读取用户通讯录、读取用户短信记录、获取用户手机号码、通知栏推送广告等情况，就不符合华为应用市场审核标准。

“应用市场一般执行最低权限策略，除非权限是刚需，比如读取通讯录是为了实现加通讯录好友。”李宇解释称，“至于APP具体能够开启哪些权限，要看应用商店的审核要求。如果应用商店觉得你索取的权限出于正当目的，就可以上架，至于默认开启权限的功能，只能是与应用商店有关。”

需要注意的是，应用商店本身就具备审核功能，如《小米应用商店应用审核规范》明确规定应用未提示用户或未经用户授权情况下不得搜集、传输或者使用用户的位置信息。而《OPPO应用市场审核规则》也规定未经用户授权，不得搜集、传输或者使用用户的位置信息。

根据华为发布的《华为应用市场2017年度安全报告》，华为应用市场2017年全年接纳了64.7万次应用上架申请，其中20.2万没有通过审核，通过率为68.8%。在没有通过审核的APP中，有15.4%的未通过原因是被华为判断“存在恶意行为”。

“从应用商店下载APP本身必须要经过安全监测，对用户的隐私保护是一则利好，但手机厂商赋予了内置应用市场一个更高的权限，从而绕过了原版安卓系统的权限提示，这本身也违反了《规范》中的选择同意原则，不符合相关规定。”李宇表示。

2月5日，记者在华为手机上使用浏览器下载了天猫APP安装包后发现，在安装过程中确实对索取的权限进行了明示。但当使用应用商店下载时，明示提醒就不见了。

“通过浏览器下载时，上面就列出了所有的权限提示。你如果在应用商店里边装的话，它就把这个过程给你省略掉了。因为应用商店本身是内置在这个系统里的，它的权限是叫厂商权限，基本上和root的权限差不多高，所以它有能力做这些事情。”梆梆安全研发中心副总裁方宁解释称。

在方宁看来，原版系统和应用市场上下载到的APP所采用的都是同一个程序，但当用户通过手机内置应用商店下载APP时，应用商店占主导地位，有话语权，APP方必须要通过应用商店的审核才能上架自己的应用。“这一点苹果和其他手机厂商都不一样，由于苹果的操作系统无法像安卓一样定制，所以就不会出现厂商权限的问题。”

不同品牌手机隐私权限判断不同

新京报记者测试发现，不同手机品牌对隐私权限的判定也不相同。

例如从小米和华为内置应用商店下载爱奇艺时，虽然没有任何明示提醒，但从后台权限系统观察，可以发现小米手机关闭了爱奇艺拨打电话权限，但开启了定位和录音权限；华为则相反，关闭了定位录音权限，却恰恰对拨打电话权限“网开一面”。

腾讯视频在四款品牌手机上都明示了隐私协议，这也意味着在法理上腾讯视频可以开启隐私权限。但记者查阅后台权限系统发现，腾讯视频在华为和小米手机上没有开启任何隐私权限，但在OPPO手机上则开启了摄像头和录音权限。

 2/3   首页 上一页 1 2 3 下一页 尾页