聚焦Android11和iOS14系统的个人信息保护新特性


来源:App治理工作组    2020-11-17 9:19

近年来,随着移动互联网应用程序(App)得到广泛应用的同时,强制授权、过度索权、超范围收集个人信息、个人信息泄露、滥用等问题突出,用户对手机厂商优化手机操作系统的呼声也越来越高,近期发布的Android 11和iOS 14都特别强调了其系统对于用户隐私安全的保护。让我们一起看看Android 11和iOS 14在隐私安全上究竟分别做了哪些突破和创新。

 聚焦Android11和iOS14系统的个人信息保护新特性

01 Android 11新增隐私安全设置

1、单次授权:Android 11引入了单次授权的概念,每当应用请求与位置信息、麦克风或相机相关的权限时,弹出的权限对话框中会包含仅限这一次的选项,如果用户选择该选项,则系统会授予应用临时访问设备的麦克风、摄像头或位置信息的单次授权,仅在授权当时有效,当用户下次使用应用请求与位置信息、麦克风或相机相关的权限时,系统会再次提示用户授予权限。这对于部分使用麦克风、摄像头或位置频次低的应用来说,方便用户进行精确授权,以保证权限最小化使用。

单次授权

2、权限自动重置:权限自动重置是Android 11引入的新特性。对用户长时间未使用的应用,系统将"自动重置"所有与该应用关联的已授予的运行时权限,并通知用户。当用户下次使用该应用时,应用可以再次请求权限。如果被重置权限的应用有正当的理由,需要保留权限,则可以提示用户在"设置"中关闭该功能。

权限自动重置

3、后台权限控制:在Android 10中,系统会针对后台位置的使用情况向用户发出提醒,根据统计75%的用户选择降低应用的位置权限级别或拒绝授予权限。在Android 11中,如果应用需要在后台访问位置、麦克风、相机,系统将确保该应用首先在前台请求相关权限。然后,应用才会单独向系统发送权限请求,并引导用户在"设置"中以完成授权,从而升级该应用权限,使其能够在后台使用。此举防止了权限被后台应用滥用。

前台服务类型声明

使用前在前台请求访问位置权限

应用单独请求权限引导用户完成权限授予

4、存储区保护:在Android 10中,引入了分区存储的概念,将共享存储分为特定的集合,并限制应用访问更广泛的存储空间。分区存储针对Android 10的应用有五个特点:1、应用可以不受限制的访问自己的存储。2、共享存储分为四个集合,分别是图片、视频、音乐和下载,应用无需任何权限即可向这些集合添加文件。3、当存储权限被使用时仅对共享存储的图片、音乐和视频文档授予读取权限,如果想要访问下载或者无组织的文档,需要得到用户给予的特定权限才能访问。4、删除或修改不是由你的应用创建的媒体文件时,必须得到用户的确认。5、必须申请新的权限才能访问文件的位置元数据。

在最新版本的Android 11中,将对所有应用强制开启分区存储,不再像Android 10中可以选择不启用,除了以上介绍的Android 10中的功能外,还新增了应用访问权限“All file access”,这个权限可以为一些真正有需求的应用提供所有文件和共享存储的读写权限,例如文件管理和应用备份之类的应用。另一项在Android 11中新增的功能则是私人应用存储,“private App storage”,Android 11正式确定任何应用都将无法访问其他应用的外部应用存储,包括了读取文件的所有方法,也就说如果你的应用正在访问另一个应用的数据或者你允许应用访问你的存储空间,在Android 11中都需要在授权后才能按预期运行。

Android 11分区存储示意图

02 iOS 14新增隐私安全设置

1、模糊定位。为了贯彻了收集最小化的原则,在iOS13中用户可以选择是否授权,仅授权一次或仅在使用期间授权,现在iOS14提供了更加精细的位置信息管控,即关闭设置中的精确位置选项,App就只能获得用户的大致定位。在实际地图软件的测试中,当精确位置开启时,能够定位用户所在街道。而当精确位置关闭后,只能看到用户大概在某一个地区,范围扩大了很多。

实际地图测试结果

精确位置选项

2、照片图库访问限制。iOS14中新增了对照片图库的访问限制,如果开发者请求访问用户的照片,用户可以选择仅分享特定的项目,或允许访问整个图库。

照片图库访问限制弹窗

3、App Store明示隐私处理规则。App Store中的每个产品页面增加了一个新版块,让用户在下载某款App之前,能够查看它的隐私处理规则。开发者会以简单易懂的格式,自行报告其隐私处理方法,包括开发者会收集哪些数据,又有什么样的数据会被不同公司用于追踪。这样用户无需阅读过长篇幅的隐私协议也能知道自己的哪些数据将会被收集使用。据报道,该功能将于后续iOS14的更新中提供。

App隐私摘要效果图

4、摄录指示器。每当有App使用用户的麦克风或相机时,屏幕顶部就会出现一个指示器,使用相机时指示器显示绿色,使用麦克风时指示器显示黄色。用户也可以在控制中心查看最近是否有App使用过它们,App偷偷使用麦克风或相机的行为将无所遁形。

相机指示器

录音指示器

5、App追踪控制和透明度。很多App在使用过程中会跟踪记录用户的某些行为或者数据,通过跟踪来向用户投放定向广告或进行广告监测。在iOS14系统中,如果开发者想通过App对用户进行追踪 记录,将会被要求先征得用户的同意。

允许App请求跟踪选项

6、剪贴板访问提示。当用户在微信复制了一段淘口令,打开淘宝之后就会自动弹出商品链接,这就是淘宝访问了用户的剪贴板。这种App访问剪贴板行为,方便了用户的使用,却也催生了信息安全隐患。比如我们复制的地址和电话,万一有App滥用剪切板读取了怎么办?iOS 14中会在App读取剪切板时弹出消息:A pasted from B,通过剪贴板访问的提示方式,可有效防止App借助“剪切板”偷读个人信息。

淘宝访问剪贴板

7、Safari浏览器。除了iOS13中的反跟踪措施,iOS14系统中新增了网站隐私报告功能,在反追踪的同时,让用户更直观的了解Safari浏览器中智能防跟踪功能为用户拦截的所有跨网站追踪器。

Safari隐私报告

03 国内安卓手机厂商的新尝试

随着手机操作系统在隐私保护的机制上不断推陈出新,国内安卓手机也在不断尝试深度定制化开发其自身操作系统,通过增进透明化机制、对敏感行为限制、增强用户控制权一系列措施,切实为隐私保护创造了更加有利的软硬件基础环境。相关介绍可参见文章:观察|手机操作系统强化隐私设置对今后App个人信息保护带来哪些改变?

从国内安卓手机厂商更新的功能来看,其中不少功能参考了国内有关App收集使用个人信息相关标准规范的要求,这为促进国内App合法合规收集使用个人信息,创造良性移动互联生态来说有着显著的积极意义。

结语

正是因为用户在个人信息保护问题上深受其苦、槽点不断,以及有关监督管理工作的强化,以Android和iOS两大阵营为代表的手机操作系统在更新版本时,围绕隐私为中心的设计理念越来越突出,同时双方也在相互学习借鉴,力求自己的系统在隐私保护方面能具有更强的竞争力,以获得用户的青睐。这种良性竞争机制一方面不断挤压着App收集个人信息行为的灰度空间,另一方面促使了隐私保护技术的不断创新发展。App如果需要适应这种局面,除了合法合规收集使用个人信息以外恐怕无路可择。

(作者:上海市信息安全测评认证中心胡毅杰)

关于本站联系我们手机版
Copyright © 2020 安知讯 粤ICP备11061396号 粤公网安备 44030602001878号