這些“越界”的權限是哪些？

　　以“王者榮耀攻略”為例，該APP由呂元飛開發，提供游戲相關圖片和視頻，基本只有展示功能，但它要求獲取修改系統設置、地理位置、查看手機狀態和身份等明顯與核心業務不相關的功能。

　　圓圓是一名王者榮耀玩家，她告訴南都記者，自己下載“王者榮耀攻略”就是想看看攻略，學習怎么把游戲打得更好，并未留意會收集自己哪些信息。“一般APP如果收集位置信息不是會提示么，我沒有收到提示哎。而且這個APP顯示通過安全檢測，就沒有看過其他的了”，圓圓說。

　　事實上，多數用戶都與圓圓一樣，對于應用普遍存在獲取 “越界”權限的問題并不注意。

　　在南都記者查看的50款APP中，最嚴重的當屬“獲取精確位置”權限，有29個無相關功能的APP要求獲取，匪夷所思的是，其中還包含不少主題類和視頻類APP。

　　19個APP擁有“讀取通訊錄”的權限，其中也不乏只有幾張圖片的主題壁紙類應用。

　　這些權限無一例外與APP的核心功能毫不相關，卻與用戶隱私有著密不可分的關系。

　　位置信息可以用來勾勒出用戶的行動范圍和路線，從而精確定位到個人；通訊錄則包含了他人的電話號碼，一旦授權獲取并被用于商業目的，將對自己和他人都造成困擾。

　　南都記者此前就報道過，一些社交應用強制要求用戶在注冊時開放通訊錄權限，并利用獲取到的聯系人信息發送推廣短信，很多人不勝其擾。

　　一些應用強制獲取用戶的聯系人數據并群發廣告短信。

　　還有更“奇葩”的。豌豆莢里的“王者榮耀瀏覽器”被安裝到手機之后，除了拍照、位置信息的權限，它還要求用戶開放錄音權限。也就是說，一個瀏覽器也可以隨時對你錄音。

　　據安卓市場官方簡介，“王者榮耀瀏覽器”由“廣州掌闊信息科技有限公司”開發，公司地址為廣州市天河區黃村大道自編98號。

　　南都記者根據地址找到這家公司。雖然正值工作時間，但僅數平米的辦公室內僅擺放了一張桌子，沒有一個辦公人員。類似這樣的“公司”，在同一樓層還有至少30間，都是門上貼著公司的名字，”辦公室”里卻非常狹窄，大部分連一張桌子都沒有，更沒有一位員工，并不像有人辦公的正規公司地址。

　　此外，南都記者也試圖通過電話與公司聯系，聽聞是記者，對方立即掛斷了電話并不再接聽。

　　工作日，廣州掌闊信息科技有限公司門口。

　　申請讀取的權限

　　與通知你的可能不同

　　如果說應用商店簡介中列出的權限已令人擔憂，APP真正獲取的權限許可就可謂觸目驚心。

　　一款APP中，除了應用商店簡介，通常還能從另外三處查看到獲取權限列表：第一處，是安裝應用時（或首次打開時）跳出的權限列表，用戶直接可見。但南都記者隨機采訪了20名安卓手機用戶，其中19人都表示從來不會仔細看這個列表，“太長了，不會認真看。”

　　第二處是安裝包中的xml文件。網絡上的安全測試平臺多可測試出這一列表中的權限，它相當于列明了一款應用“向安卓系統申請允許讀取用戶哪些權限”?

　　“這雖然不代表應用一定會讀取列表中權限關聯的各項隱私，但通俗地說，這像是拿到了打開你家門的鑰匙。”愛加密科技有限公司工作人員蕭何向南都記者介紹。

　　而第三處，則是程序中與敏感權限相關的代碼行，北京大學軟件安全小組組長張漢與蕭何均向南都記者介紹，代碼行中出現的權限相關命令可以認為只要條件合適就會開始讀取用戶相關權限，與實際的行為幾乎等同。

　　據此，南都記者以感融互聯網金融服務有限公司的“王者榮耀視頻網”（百度手機助手下載）為例進行了更加詳細的測試。

　　在北京大學軟件安全小組、北京郵電大學軟件學院與愛加密科技有限公司技術幫助下，南都記者將這款應用上述四處的權限一一列出對比：

　　王者榮耀視頻網明示與實際權限的對比。

　　在上圖中，王者榮耀視頻網在簡介中稱只會讀取用戶6項權限，但安裝時彈出的提示中則列出了20項權限，在安裝包中至少向安卓系統申請了21項權限的許可。技術人員則從其代碼中又發現了“獲取手機IMEI編號”與“網絡下載”等10項敏感函數。

　　這意味著，一個APP代碼中寫入的隱私獲取命令與申請讀取的權限不同，申請讀取的權限與通知用戶的不同，通知用戶的與簡介中的也不相同。

　　可以說，一個用戶想確切獲知一款應用究竟獲取了自己哪些權限，十分困難。