記者在調查瀏覽器主頁劫持現象的過程中發現，手機App（應用程序）也是互聯網技術霸凌的重災區。“災情”如何？記者進行了調查。“我的手機App一打開網頁，就彈出各種抽獎小廣告”“看個視頻，卻要求獲取我的通訊錄權限，不打開權限就無法觀看”“下載後安裝App，需要獲取我的地理位置信息，不同意就裝不了”……手機App要求權限過多、過度收集信息非常普遍，也是被吐槽和投訴的技術霸凌“重災區”。

■安裝時要求權限過多、收集信息過度，App技術霸凌時有發生

記者在百度搜索框敲入“App權限”，馬上就自動顯示“App權限過大”和“App權限哪些需要禁止”的搜索提示。“App權限過大”的百度相關搜索結果量超過400萬個，“App權限哪些需要禁止”的搜索結果量也超過200萬個。

在對40多萬款App進行調查後，中國人民大學信息學院教授孟小峰團隊發現，目前App的各類權限接近40個，但大部分權限跟App實現功能的正常需求並不匹配。

前不久，上海市消費者權益保護委員會對39款手機 App涉及個人信息權限的測評顯示：超過六成App在用戶安裝時申請了很多敏感權限，卻不提供實際功能，包括讀取通訊錄、電話權限、短信權限、定位權限等。

DCCI互聯網研究院首席專家胡延平告訴記者，為了提供服務、提升體驗，一些App要求權限、收集信息是合理的，但應該有邊界。“大多數用戶並不知道App要這些權限做什麼，也不會仔細了解每個權限的風險，很容易不知不覺地掉進風險盲區。”

安裝App時，在用戶不知情的情況下，違規捆綁無關軟件、違規蒐集用戶個人信息……手機App中的“惡意分子”所引發的技術侵害則更加難以防範。據中國科學院信息工程研究所副研究員劉奇旭介紹，這類App技術入侵主要通過3種方式實現——

一是將正常的App安裝包替換成攻擊者的安裝包，或是在用戶正常安裝時，關聯安裝惡意App，“操作者”通常是第三方應用商店或者手機中的惡意軟件；

二是手機中的惡意軟件監測手機App的運行狀態並進行攻擊。例如，當用戶打開某個App的界面時，被惡意軟件探知後，啟動其仿冒界面來覆蓋原界面，導致用戶在仿冒界面中輸入自己的賬號信息，並被攻擊者獲取；

三是手機中的惡意軟件會中途“劫持”用戶對某個頁面的訪問，代之以返回錯誤或含有惡意代碼的頁面。例如用戶在使用App時會被插入不良廣告，操作者通常是不良運營商和手機中的惡意軟件。

■影響體驗，洩露隱私，App劫持的背後是經濟利益驅動

安全專家表示，App存在的過度要求權限等技術霸凌行為，不僅影響用戶使用體驗，還可能導致隱私洩露，甚至造成財產損失。騰訊發布的《2018年手機隱私權限及網絡欺詐行為研究分析報告》顯示，手機App是重要的隱私洩露渠道之一。

智能手機是人們目前常用的移動互聯網終端，存放著用戶的社會交往、行為喜好、生活規律、賬號密碼、照片視頻等隱私數據，甚至還包括商業機密文件。胡延平說，一些App越界獲取權限，用戶不小心就掉進“天羅地網”，手機裡的個人信息隨時處於“裸奔”狀態，無異於被App“數據劫持”。

一些權限如果被惡意App獲取，會引發更大的風險。比如，App要求的日曆權限允許讀取、分享或保存日曆數據，如果該權限被惡意App利用，可能用來追踪用戶每天的行程；電話權限被惡意App利用，可能會產生額外的電話費用、洩露智能設備的獨有編碼信息；通訊錄權限被惡意App軟件獲取後，不僅聯繫人信息被洩露，還很有可能被傳播垃圾郵件、短信或電話的人利用，輕則給日常生活帶來騷擾，重則還會引發詐騙、勒索等後果。

“App技術霸凌給用戶的手機帶來了新隱患，使其可能成為攻擊者攻擊其他目標的跳板。尤其是獲取高權限的App，更是能夠隨心所欲地控制用戶手機。”劉奇旭說。

面對App的技術霸凌，用戶缺少選擇權，整體上處於任人宰割的弱勢地位。

App運營方為什麼要獲取這麼多的權限和數據？專家分析說，大數據的應用，讓個人數據變得越來越有價值。一些App運營方通過各種手段，甚至在沒有獲得用戶同意的情況下收集用戶信息，主要是大數據背後的經濟利益驅動。

“比如，App抓取廣大用戶的手機通訊錄後，會將通訊錄上所有人的電話、姓名、地址等信息匯聚形成一個用戶數據庫，藉此給用戶精準’畫像’，通過推送廣告等獲取收益。”胡延平說，“這些信息和數據甚至會被反复、多次出售，被網絡黑色產業鏈利用。”

■專家呼籲完善相關法律，為App獲取個人信息劃定邊界

針對App過度和越界索求手機權限，安全專家表示，App獲取個人信息應遵循3個原則：一是最小必要原則，即App獲取的信息是不是服務的必要數據；二是用戶知情原則，即第一次使用App時，需要提示用戶是否開啟某項服務，即使選擇不開啟，也不能影響App其他功能的正常使用；三是必要保護原則，即App合規收集用戶的數據時，要保證數據安全，確保不被洩露、販賣和濫用。

“應該通過法律規范明確個人信息的收集邊界，除特定情況並徵得用戶授權外，用戶本人應絕對掌控自己的個人數據，信息採集方也無權違規使用。”北京師範大學網絡法治國際中心執行主任吳沈括說。

吳沈括認為，與個人隱私相關的信息重點在於保護，與個人隱私不相關的個人數據重點在防止濫用，“維護數字生態健康發展，必須區分哪些數據是企業可以收集的，哪些數據的收集是要徵得用戶同意的。”

避免個人信息洩露，用戶也有必要逐步提高自身安全意識。專家建議，用戶要選擇正規的渠道下載App，同時要重視手機隱私權限管理，及時關閉不必要的App權限。

對互聯網技術霸凌現象，記者將繼續跟踪報導。

人民日報本報記者喻思南吳月輝劉詩瑤谷業凱馮華余建斌