IT業界社群及資訊平台

【專家獨家教路】安心出行不安心? 揭開應用程式權限注意位

由 2 月 18 日起,政府有條件開放食肆晚市堂食、健身室、美容院等處所,要求進出以上處所人士,強制使用「安心出行」應用程式或登記個人資料作出入紀錄,否則將被罰停業。但此項防疫措施引起社會對私隱及監控問題的憂慮,同時亦再次令大眾關注應用程式索取的手機權限會否過量。wepro180 找來跨國資訊安全公司 wizlynx group 資訊安全服務總監盧振宇(Mike),探討「安心出行」及其他應用程式的安全問題,以及使用時的自保方法。

「安心出行」應用程式最令人「不安心」的部分是要求存取的權限是否全部都具必要,根據該應用程式 Andriod 1.1.6 版本所列出的權限所需,包括相機拍攝功能、全面網絡存取權、擷取執行中的應用程式、控制震動、防止手機進入休眠狀態、啟動時執行及接收互聯網資料。雖然創新及科技局長薛永恒曾多次強調,程式沒有追蹤功能,政府亦不會刻意查看市民出行記錄,所有資料會存放在用戶手機,不會存在中央資料庫,但政府的說法仍未釋除市民疑慮,不少人仍對「安心出行」抱有戒心。

擷取執行中的應用程式成爭議點

「安心出行」最受爭議需索取的權限為「擷取執行中的應用程式(Retrieve running apps)」,意即「安心出行」可知道用家的電話同時在運行中的應用程式,由於政府沒有作出相關解說,因此難以推斷需要此權限的真正原因,網上亦引起不少猜測。Mike 估計,此權限或因程式開發人員編寫時用上第三方程式庫,例如需要配合其他應用程式使用,如掃描 QR code 時要用上第三方程式,便需要用到此權限;不過 Mike 亦指,此功能可能是配合 Android 5.0 以前的作業系統使用,更新後的版本則沒有太大用途,應該再次考量是否需要在應用程式內加入相關權限要求。

線上交易發可轉移資金應用程式宜多注意

在下載應用程式時,其實應留意其所要求索取的手機權限,Mike 指長者或使用後備手機安裝應用程式人士,多不會留神應用程式所索取的權限,另有部分使用者可能不知道應用程式權限背後的用意或者對使用上有何影響,懷著自己應該沒有甚麼敏感資料可以被盜的心態,未有詳細考量就直接下載應用程式。而大部分手機應用程式要求的權限,視乎其性質而定,例如攝影應用程式會要求相機、相簿存取權限,新聞 app 要求推送通知等,一般常用的軟件多會要求允許權限包括擁有全面網絡存取權、檢視網絡狀況、相機、位置、儲存空間、日曆、通訊錄、咪高風、結帳服務等。Mike 提到,如使用者熟悉智能手機的操作,相對會關注應用程式相關存取權限,尤其在操作線上交易程序時,如電子銀行或是網購應用程式等,由於會輸入敏感資料,建議使用者多加留神;如有需要的話,可考慮用 debit card 支付網上交易,減低被不可靠的應用程式挪用信用卡扣款的損失。

Android及iOS手機設定均可查看權限

那麼 Android 及 iOS 系統各自有甚麼保安問題需要留意?Mike 表示,早期 Android 平台上的應用程式審批上架較 iOS 平台容易,所以較易發生有安全問題的應用程式上架,但後來 Android 改善上架審批程序令問題改善,令兩個平台現時的審批嚴謹程度相約。要看清楚應用程式的權限,Mike 提醒 Android 用戶可以在下載應用程式前在 Play Store 上預覽應用程式所需要的權限,衡量是否需要下載安裝;也可以在安裝程式後,於手機設定中,修改應用程式不應該使用的權限,減低風險;而 iOS 方面,可於安裝應用程式之後到設定中查看及修改有關程式權限,而應用程式於第一次需執行相關權限時,作業系統會詢問用家是否允許執行。所以,只要在安裝應用程式時,仔細查看應用程式需要用到的權限,倘覺得不合理就不要安裝,而 iOS 用戶亦可選擇在程式運作需要時才允許執行這些權限,以最大保障自己的私隱。

用應用程式時輸入個人資料前應三思

要安心使用手機應用程式,同時又能守護個人私隱,Mike 建議要時刻要提高安全防範意識,於輸入個人敏感資料時,就要再三提醒自己:「我是否必須向這個應用程式提供相關敏感資料?」由於智能手機已經成為都市人生活的一部分,很多時候與手機的互動甚至比與家人的互動更密切,或許不是經常見面的家人,或需從社交媒體了解其生活近況,正因為如此,分享給親朋好友的個人近況或私隱資料,有機會遭「有心人」或者黑客窺看,造成風險,所以從保護自己私隱的角度來看,分享資訊時也要留心。

Mike 又提到,要留意應用程式收集個人資料後,會如何處理這些資料,例如有否採取足夠兼合理的資料保護措施,例如作加密儲存,以及只在合理合法條件下才向相關人士分享,而有關目的用途亦是已獲同意認可使用。另外,資料保存時限後的處理,以及在哪種情況下會被上傳至許何機構,如有否第三方監管相關執行情況等,了解這些都可以幫助保障自己嘅私隱;同時亦要留意應用程式會否在用戶不知情下,擷取過多個人資料,並將之轉移到不獲授權的人士或單位。

相關文章:
【私隱危機】FB Messenger應用程式索取過多權限早受轟
https://bit.ly/2Nxv5xw