《蘋果》抽查Android熱門排行榜社交Apps濫索權限　盲Click失私隱

《蘋果》抽查Android熱門排行榜
社交Apps濫索權限　盲Click失私隱

【本報訊】一項調查顯示，全球310多萬個Android手機應用程式（Apps），有四分一（24%）屬惡意或私隱高風險的程式。《蘋果》抽查也發現，港人使用的熱門Apps讀取用戶私隱資料的情況嚴重，四分一可讀取用戶的通訊錄、五分一可讀取通話紀錄。　
記者：盧勁業　梁御和

港人愛用Android手機，在安裝Apps時會被要求授予權限，手機分分鐘變成監控工具。　

網絡保安公司「趨勢科技」調查了全球310多萬個Android Apps，該公司資訊安全研究副總裁Rik Ferguson訪港時向《蘋果》表示，當中有15%含有惡意程式，即含有病毒、更改手機系統造成破壞或造成用戶金錢上損失的程式；另有9%則為洩露用戶私隱的高風險程式，因Apps一方面讀取用戶的私隱資料，另一方面卻無加密，等於任人看。
私隱專員公署早前進行的調查，只涵蓋香港Apps（Android和iOS Apps各30個）。《蘋果》從Google Play Store抽查本港50個最熱門Android免費Apps（當中三成為香港Apps），發現Apps拿取用戶私隱的情況嚴重：使用鏡頭或錄音功能（38%）、讀取手機通訊錄（26%）、讀取通話記錄（20%）的比率，都比私隱署的調查結果高最少一倍。

可利用錄音功能竊聽

在用戶的八類私隱資料中，有三個Apps取得七類，全為社交Apps（Viber、facebook手機即時通、WeChat）。以權限數目計，也以社交Apps索取最多，達30至45個；三分二Apps只索取3至19個權限。如用戶拒絕授予權限，便不能安裝有關Apps。
《蘋果》再從首100個熱門Apps中，抽查11個社交Apps，發現只有四個索取「讀取SMS」權限，當中由內地開發的WeChat、微博，更是功能上用不着此權限。
早前美國政府向電話公司收集用戶的通話紀錄，成為國際新聞。其實八成社交Apps（包括全部三個內地Apps）都有讀取用戶的通話紀錄，且多是功能上毋須的。Rik Ferguson對Facebook App索取此權限感驚訝，因兩者根本用不着此功能。
抽查中的所有Apps，都有索取「完整互聯網存取」權限。Rik指，這權限等於容許Apps存取你手機媒體庫上的相片及影片，「如果開發者有惡意，它可以直接將你的相片上載到他的伺服器上」。
Rik又為《蘋果》示範，利用一個簡單的App，獲幾個授權，就可利用手機的鏡頭或錄音功能，在用戶毫不察覺的情況下，進行竊聽（或偷拍）等監控，根本毋須安裝間諜程式，問題只是開發商會否這樣做。

開發商「想做乜都得」

香港專業教育學院（沙田）電子及資訊工程系主任趙炳權也表示，Apps的權限，一經授予，開發商「想做乜都得」，也不受當初說明的用途所限，「有啲軟件亂嚟嘅話，你一授權畀佢睇（如通訊錄），佢就攞晒資料掟晒畀人、賣畀人都得㗎」。
私隱署表示，該署只能規管本地的資料使用者，但如有市民投訴外地App，該署也會按既定程序處理。

安裝Apps安全貼士

‧ 只從可靠的官方程式庫，如Google Play Store下載Apps。
‧ 下載前，留意程式要求的權限，是否和用途相符，如聽歌程式理論上毋須讀取SMS或自動撥打電話。
‧ 留意開發商是否具聲譽和可靠，對不知名開發商多加留意，有懷疑就不要下載。
‧ Apps被下載數量越大，理論上較安全；同時留意App Store的評分和評語。
‧ 查看開發者網站，網站規模通常是開發者的可靠指標之一。
‧ 更新程式時，須留意權限有否更改。