(司法兰亭协会成立九周年,感谢田永伟主任新题词)
手机的特殊权限、App和SDK开发者的风险和应对措施
移动互联网时代,人们对手机的依赖程度已经超出了想象,一刻也不放下手机似乎已经成为一种习惯。 在手机系统市场中,谷歌开发的系统开放性强,占据了相当大的市场份额。 正是因为这种开放性,也成为了很多软件开发商针对的目标,他们利用免费应用向用户索取各种权限,然后通过各种方式将用户流量变现。 随着《数据安全法》《个人信息保护法》等法律的颁布实施,以及公安部“网络清理行动”和工信部专项行动的持续实施针对侵犯用户权益的App的清理行动,各大互联网公司和App在赋权开发者的同时承担更多责任,黑灰手机行业自然成为重要打击对象之一。
1、系统特殊权限——无障碍服务
系统权限一般可以分为不同的级别。 其中有普通权限,比如App申请使用网络连接、蓝牙配对等,由于风险比较小,只需要在其中声明即可获得系统授权。 对于敏感权限,例如申请访问摄像头、麦克风、联系人信息等的App,由于数据或资源涉及用户隐私信息,出于保护用户的目的,除了声明外,还需要手动申请此类权限。 在弹出的窗口中点击确认后才能获得相应的权限。 此外,还有特殊的权限,如..(无障碍服务)、..(设备管理器)等。由于系统权限较高,功能强大,官方规定了较高的权限级别。 其中,无障碍服务(权限)为代表,已成为黑灰手机行业的关键技术手段。
(一)无障碍服务功能
据系统官方介绍,考虑到部分用户由于视力、身体条件等限制,无法很好地使用设备,导致阅读内容、触摸操作、声音信息等获取困难.,提供的功能和服务可以帮助他们更好地操作手机,这在中国通常被称为无障碍服务。 该服务具有三个主要功能:收集信息、响应可访问性事件以及为用户执行操作。 通俗地说,它可以获取用户正在运行的App的信息,用户的点击、长按等动作,读取通知栏信息,同时代表用户操作手机。 也就是说,无障碍服务可以获取手机上的所有信息,实现用户可以手动完成的所有操作。 可见,无障碍服务是一个具有非常高权限的应用程序接口。 为此,官方强制要求辅助权限必须由用户在应用管理中手动确认并开启。
虽然无障碍服务最初是为了更好地服务残障用户或者暂时无法与设备完全交互的用户,但随着市场需求的变化,这一功能也出现了很多新的应用场景和扩展。 例如,著名的“李跳跳”应用程序可以帮助用户在打开任何应用程序时自动点击屏幕广告的“跳过”按钮。 被很多设备用户视为必备软件。
(2) App或SDK使用无障碍服务的风险
无障碍服务给我们带来极大便利的同时,也蕴藏着巨大的风险。 基于上述功能,一个获得无障碍权限的App就具备了完全控制用户手机的技术可能性。 风险主要存在于两个方面。
首先,在用户授权应用程序使用无障碍权限的场景中,可能存在对第三方计算机信息系统的侵犯。 以比较出名的“自动抢红包”软件为例。 其原理是在获得无障碍权限后监控微信、QQ软件,获取他人发送的红包信息,然后模拟用户操作,实现自动抢红包的功能。 。 (2019)民08兴中119号,刘某某等人提供入侵、非法控制计算机信息系统的程序、工具,涉案软件被认定为“未经微信授权,通过‘无障碍’功能添加‘自动抓取’” ”。 “红包”功能干扰了微信抢红包的过程,属于破坏性程序。”(2021)浙01民中第10310号腾讯计算机系统有限公司诉杭州百号不正当竞争案科技有限公司等公司,涉案软件名为系统为开发者提供的无障碍服务和通知使用权服务,通过监听、控制或自动点击屏幕自动抢红包的功能,阻碍QQ产品或服务的正常运行,扰乱了市场竞争秩序,应当认定为不正当竞争,两案应用程序在具体功能部署上可能存在差异,但违法风险显而易见。
其次,在用户授权被骗取或者超出用户授权的场景下,用户的手机设备可能会被非法控制。 从技术角度来看,无障碍权限完全有能力控制用户的手机,因此是否属于“非法控制”主要侧重于对用户授权的自愿性和范围的判断。 对于提供无障碍服务的应用来说,正常提供服务不可或缺的前提就是让用户手动点击确认并开启无障碍服务。 不过,系统的“设置-辅助功能-辅助功能”部分对于完善辅助功能服务非常重要。 应用程序描述是由开发人员自定义的,这会导致用户可能被诱导以欺诈方式获得授权。 例如,某“Wifi密码查看器”软件将无障碍服务描述为“WIFI信号增强服务”,诱骗用户启用。 但事实上,无障碍服务与所谓的信号增强无关,只是为后续的其他操作做铺垫。 。 此外,如果用户授权使用无障碍服务实施某种“自动操作”,超出授权范围进行广告推送、关联APK下载等,也可能涉嫌非法控制计算机信息系统。
2、APP运营商、SDK提供商合规应对
由于无障碍服务可以控制用户手机执行特定操作,具有“控制”行为的特点,因此判断是否违法的关键是是否违背用户意愿“违法”。 同时,由于SDK插件在App中大量使用,想要实现完全合规,就意味着App运营商、SDK提供商和用户需要进行多重、完整的授权。
(1)App与SDK的关系
App和SDK既独立又共生。 App是供用户使用的应用程序,而SDK是指用于为特定软件包、软件框架、硬件平台、操作系统等创建应用软件的软件工具包的集合。除了App开发者自己开发的SDK外, SDK一般由第三方独立开发者完成。 一般来说,SDK是第三方服务提供商提供的用于实现产品软件某种功能的工具包。 例如,我们可以在其他应用程序中通过微信帐号登录,这就使用了微信登录SDK。
但由于SDK封装在App中,用户普遍无法感知到SDK,这也使得SDK成为手机黑灰产品的重灾区。 央视315晚会此前曾报道过SDK“寄生推送”、SDK未经授权收集用户信息、倒卖个人信息等各类恶性事件,需要重点关注。
(2)App、SDK、用户三重授权
由于SDK嵌入在合作伙伴的App中,因此只能通过App向用户获取相关权限。 因此,用户与App、用户与SDK、App与SDK之间存在三重授权关系。 三者之间的授权关系主要以《用户协议》、《隐私政策》等电子协议的形式存在。 同时,相关协议也应该在首次启动时以弹窗的形式播放,并设置强制等待时间或下拉至结束。 然后才能采取关闭等措施。
首先,在App与用户之间的协议中,除了明确规定App提供的各项服务外,还需要枚举该服务对应的权限。 同时对App内嵌的第三方SDK进行说明,如在访问列表中说明第三方SDK的主体、服务、权限、功能用途等信息,并承诺严格保护合作伙伴的安全SDK或API。 监控请求用户授权。
其次,SDK向用户提供服务时,还应展示用户协议和隐私政策,其中需要说明具体的服务类型和相关权限。 需要注意的是,提供服务和请求权限要紧密结合,权限和服务可以匹配来请求用户授权。 特殊权限的开启需要用户再次手动确认。 例如,前面提到的无障碍服务权限需要用户在系统设置中将其打开。
第三,App与SDK的合作中,除了服务、权限、运营模式等一般事项的约定外,App运营方还存在一定的审核义务。 SDK的审核主要包括源码安全评估、代码安全评估、行为安全评估等。具体比如SDK提供商的基本信息、是否存在已知的安全漏洞、是否申请敏感权限、是否嵌入其他SDK等
3、申请和使用权限必须符合合法、正当、必要的最低原则。
虽然现行法律法规没有直接要求应用程序和SDK申请权限,但考虑到获取权限与收集个人信息有很多相似之处,《网络安全法》和《个人信息保护法》均规定用户个人信息的收集。 处理规定可以作为重要的参考标准。
《网络安全法》
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明确收集、使用信息的目的、方式和范围,并取得被收集者的同意。集。
《个人信息保护法》
第五条 处理个人信息应当遵循合法、正当、必要、诚实信用的原则,不得以误导、欺诈、胁迫或者其他方式处理个人信息。
第六条 个人信息的处理应当有明确、合理的目的,与处理目的直接相关,并采用对个人权益影响最小的方式。
所谓合法性、正当性和最低必要性原则包括三个方面。 合法是指获得许可的方式合法。 如果通知用户并征得用户同意,则不存在诱导、欺骗用户开放权限的情况。 合法是指使用目的合法。 权限开放后,应用于实现相应功能,不得用于其他用途。 最低必要原则要求权限的获取和应用必须严格符合特定App或SDK向用户提供服务的需求。 除提供服务外,不得存在与服务无关或相关性较低的其他应用。 同时,如果存在短期、高频次的权限请求,或者用户明确拒绝权限申请、频繁弹窗、重复申请与当前业务场景无关的权限,则很容易被视为违反这一原则。 情节严重的,有涉嫌非法控制计算机信息系统的风险。
此外,2022年5月7日,工业和信息化部发布了《移动互联网应用程序(APP)收集、使用个人信息最低限度必要评估规范》等4项行业标准。 虽然它们不具备法律强制力,但也可以作为App和SDK之间合作的基础。 法规的重要参考。 标准规定了“最少必要原则”的评估要求,同时也对“权限的申请和使用”提出了多项要求,例如:
APP应申请与业务功能相关的权限,不应申请过多的权限。 如果APP的业务功能不包含录音相关场景,则不应申请录音权限。
APP申请敏感权限时,应同时告知权限的用途和用途。
APP应优先使用系统自带功能,而不是调用相关敏感权限。 如果APP需要拨打电话,可以优先调用系统的电话接口,而不需要申请电话权限。
对于引用第三方SDK等外部代码,APP应要求申请SDK的相关权限也满足最少必要的原则,不应申请过多的权限。
虽然上述评价标准针对的是位置、图片等常见的敏感权限,但以无障碍服务为代表的特殊权限的评价仍然可以围绕“最小必要原则”的核心识别思想——权限与服务的关联性。 级别,是否有必要向用户提供服务。
4、在授权范围内提供服务和使用权限,不存在滥用权限的情况
App或SDK在手机端合法获得相关权限后,应严格按照法律和协议的规定使用相关服务的权限。 不得超越授权范围或协议范围,滥用权限,实施广告推送、关联下载、恶意跳转等行为。
工信部《关于开展深入推广侵犯用户权益App专项整治行动的通知》列举了一批App及SDK非法收集、滥用权限的行为,如非法收集、使用个人信息、强迫、频繁、过度的权限请求和欺骗。 误导用户下载应用程序等。以比较常见的广告SDK为例。 由于广告服务并不是用户使用手机所必需的,因此其申请的权限相对有限。 但部分SDK提供商在提供其他服务的同时,强制用户捆绑定向推送功能,并将收集用户搜索、浏览记录、使用习惯等个人信息用于定向推送或定向广告营销,且无法选择转单独关闭此功能。 此类行为也是通知中指出的重点违规领域。
对此,企业收入来源可以作为判断的参考标准。 根据公司收入来源明细,相关收入是否为依法并按照协议提供服务的收入,是否存在利用获得的用户权限进行其他特定操作产生的灰色收入等因此,“收入来源的合法性”可以作为App或SDK Core合规性审核要素。
修改计算机软件的罪与罚
“刑法起源于互联网之前的时代,而现代刑事立法和刑法理论形成时期还没有互联网。刑法中的具体概念原本与互联网无关,所以很多具体概念很难理解。”适用于网络犯罪。”
张明凯:《网络时代的刑事立法》
为了满足游戏玩家追求个性化设置的需求,手机市场掀起了一股“越狱”、“刷机”热潮。 随着通信技术的发展和手机产品能力的提升,互联网流量行业的“变革”,“一体机”、“云手机”正在兴起。 这里出现的“越狱”、“刷机”、“修改”、“云手机”等词语,都是手机行业从业者对某一类行为的概括表述。 并不一定意味着违法犯罪行为的发生。 相关软件不能等同于“专用于侵入、非法控制计算机信息系统”的工具。 具体的功能以及使用该功能实现的行为还是需要考察和判断的。 在本专题研究的第二章中,我们将重点关注当前“流行”的电脑改装软件。
问题一:如何实现全息备份功能
市面上“改装软件”的主要功能之一就是全息备份功能。 所谓全息备份,就是将App运行时产生的所有文件打包备份,并在新设备中恢复。 例如,某个App运行后,会在应用程序目录data或var////下生成该App运行时生成的文件,如登录状态、App设置、聊天文件、游戏存档等。一般情况下,由于操作系统权限的原因,我们无法查看相关目录下的文件。 不过,在root安卓和越狱苹果系统后,使用修改软件获取系统权限就可以突破原有的限制,将上述目录文件复制导出,实现全息备份。
用户通过“越狱”或Root获得系统的最高权限。 在修改软件的操作过程中,可以直接查看手机中APP的缓存目录,进行清理、备份、导出缓存目录文件和环境文件、修改手机参数等。 然而,上述功能的实现是软件使用者操作自己手机中存储的数据,控制自己的手机设备。 此过程不涉及任何APP或第三方计算机信息系统,不存在对计算机信息系统的入侵和非法控制。
对于这个函数来说,它也是一个通用函数。 当用户更换手机时经常使用。 大部分App设置、记录等信息都可以复制到新手机上。 事实上,国内的miui、emui等第三方定制系统都有一键换机功能,还有系统下著名的“钛备份”软件。
问题二:未经验证,使用全息备份登录新设备,是否构成“入侵”第三方计算机信息系统?
笔者团队正在处理一起利用修改软件的全息备份功能对抖音账号数据进行打包备份,然后利用抖音软件传播非法信息的案件。 其中,由于备份完成后,可以在新设备上跳过验证,直接登录抖音,因此被认为是有害的。
“跳过验证步骤登录抖音账号”被认为是涉案软件的核心非法功能,但事实上,该功能是网络连接过程中大量存在的通用技术。
用户访问服务器的流程如上两图所示。 由于互联网连接使用的http协议是非持久连接,所以当我们每次登录时,服务器并不知道这两次访问是否来自同一个用户。 为了提高服务效率和用户体验,这里用到了技术。 。 该技术的目的是识别用户的身份。 每个网站都会为每个访问者生成一个ID,并以文件的形式存储在用户本地终端设备上,以便再次登录时可以直接读取该文件,快速通过验证。 如上图所示,当用户第一次登录时,账户信息经过服务器验证后,会保存用户的Token值,后续登录时,服务器只需要验证该文件即可确认用户的身份。 该技术基本上用在各种App和网站的连接过程中。
设备修改软件之所以可以在新设备上跳过验证,是因为设备修改软件可以用来备份和传输抖音App缓存数据,当然也包括本地文件。 当新设备发出访问请求时,抖音服务器读取该文件并同意相应的登录请求。 至于这个文件的所有权,它包括用户的账户登录数据和其他信息,这些信息存储在用户的设备中,属于用户。 而且,将文件复制传输到新设备上仍然是用户对其自身数据进行的操作,不存在对第三方计算机信息系统的入侵或非法控制。
问题三:修改设备参数信息是否构成对第三方计算机信息系统的“干扰”?
用户在下载特定App时,需要签署相应的用户服务协议。 基于本协议,两者之间将自动形成合同关系并受其约束。 近年来,随着各类App侵犯用户权益,国家进行了多次整治。 在《个人信息保护法》、《数据安全法》和《数据安全管理条例(征求意见稿)》中,对App运营者收集、存储的数据信息进行了严格规范,赋予App运营者更多的保护义务。
对于App用户来说,上述法律也体现了对用户个人隐私和信息的重点保护。 从所有权角度来看,手机设备当然属于用户,其中存储的数据信息也应该属于用户。 用户对其拥有的计算机信息系统和数据进行的任何操作,不应评价为“入侵”。 即使用户提供的数据信息与实际情况不符,App运营者也可以按照用户协议的规定停止服务、关闭账户等。 例如,《抖音应用服务协议》规定:
3.7...如果您提交的材料或您提供的信息不准确、不真实、不规范、违法或本公司有理由怀疑其错误、不真实或违法,本公司有权拒绝向您提供与相关服务。 您在使用过程中可能无法使用“抖音”软件及相关服务或部分功能受到限制。
又如,微信服务协议中的“用户权利和义务”规定:
(4) 用户应遵守本协议条款,正确、恰当地使用本服务。 若用户违反本协议任何条款,腾讯有权按照协议约定终止向违规用户的腾讯微信帐号提供服务。 同时,腾讯保留随时撤销腾讯微信帐号和用户名的权利。
换句话说,用户对自己拥有的设备和数据拥有自主决定权。 行使该权利过程中任何违反运营协议和政策的行为,只会导致运营商停止服务。 以苹果手机“越狱”为例。 2008年越狱首次出现时,苹果也向美国司法当局表达了上诉,认为用户越狱是对IOS系统的破解和侵权,但后来遭到否认。 “越狱”从此成为一种合法行为,而这种行为的后果就是你无法享受苹果的在线服务和硬件保修。 因此,单纯修改手机设备参数并不一定构成犯罪。
此前,上海地区曾根据(2018)沪0105行初1034号、(2019)沪01行中1632号刑事判决书和《上海长宁法院》下发的《关于修改软件的规定》,对某类“修改软件”作出判决。 2021年1月22日公众号文章《长案解读|徐某、潘某等人提供入侵、非法控制计算机信息系统程序及工具案》介绍。 “小白改装机”软件是一款专门为饿了么App编写的电脑。 该程序是针对App读取和传输本地数据的过程而设计的。 它不仅具有修改设备信息的功能,还可以在App读取本地数据后,在传输和处理过程中篡改数据信息。 ,所以它具有“入侵”功能。 然而,即使根据法医鉴定该软件具有破坏性,它也不是计算机病毒等破坏性程序。 其无法“干扰”计算机信息系统(饿了么),因此不构成破坏计算机信息系统罪。
问题四:电脑改装软件是“专用工具”吗?
修改软件常用于“收钱”、虚假刷量、群控抢单、虚拟位置签到等暗灰色互联网产品。 涉嫌犯罪最多的是提供入侵、非法控制计算机信息系统程序、工具罪。 但修改软件是否属于本罪所要求的“专门用于侵入、非法控制计算机信息系统的程序、工具”,除了司法解释规定的情形外,我们认为还可以从软件来判断。用户群体和软件的合法使用。 现场综合判断。
就用户群体而言,无论是相对封闭的IOS系统,还是相对开放的系统,对用户权限都有很多限制,因此长期以来存在着一批有“越狱”和root需求的用户。 获取系统最高权限,安装各种功能插件,读取设备中的所有数据,进行各种自定义设置。 修改软件就是基于这种需求而开发的,以那些想要实现自己对手机进行修改的人为锚点。 获得完全控制权的客户和一些应用程序开发人员。 所以从本质上来说,这类软件是为了进一步增强“控制自由度”而存在的功能增强插件。 从技术上来说,就像市面上的各种自定义设置插件(各大手机助手)一样。 除了普通用户之外,一些手机维修店在刷机修改手机的过程中也有需求,就是能够快速恢复到保存的状态,防止手机变砖。
从使用场景来看,备份功能经常被用户用来更换设备,而手机参数修改功能则相当于生成一个“虚拟”的手机环境。 以IOS系统为例,由于手机越狱导致系统安全性下降,对于一些金融类APP或游戏,由于监管原因和资金安全问题,会对用户手机进行越狱检测,也就是说,越狱用户不会接受测试。 提供服务。 通过生成虚拟手机环境,可以实现防检测,以确保用户可以获得更完整的用户体验。 此功能还针对应用程序开发人员设计。 “虚拟手机”和“云手机”可用于应用程序仿真测试,压力测试等,以便它们可以替换实体手机并提高效率。 目前,许多主要的互联网公司也在开发虚拟手机相关的产品。
结论
由于互联网的汇总和扩散效应,网络空间中某些帮助行为的有害性变得更加突出。 除了打破主要罪犯外,上游助手的追踪和纠正越来越多。 修改软件是手机黑客的最新示例。 在灰色产品中更频繁地出现的类别。 尽管客观上为下游非法犯罪提供了一定程度的帮助,正如本文开头引用的那样,通用修改软件不能直接与犯罪相对应。 在这方面,该案例应具体,并且应调查和判断软件的特定功能。
关于作者:
Chen
上海Jing Yulin律师事务所
党派高级合伙人副秘书
网络犯罪研究与国防部主任
Chen 律师拥有东中国政治科学与法律大学的刑事诉讼法硕士学位。 他目前是国际仲裁法院的仲裁员,澳门仲裁学会的副研究员,东中国政治科学与法律大学法律辩论俱乐部的教练,研究生律师法庭的教练,也是一个国际刑事法院模拟法院法官。 他专门研究计算机网络犯罪,互联网犯罪,数据犯罪和与区块链相关的犯罪的防御和合规管理。 他撰写了60多种相关的专业研究文章,并在各个级别的期刊和论坛上发表了它们。 自从执行法律以来,他已经处理了近100种各种类型的典型网络犯罪案件,包括30多个无辜案件。 为十个以上的大型和中型互联网公司提供全面的刑事合规性或特殊的犯罪风险预防和控制法律服务。 第三期和第三期分别纳入了两个由最高人民采购方处理的互联网公司的合规性纠正和非批准案件。 未经起诉的四个典型企业合规性纠正案件。
张静宇
上海Jing Yulin律师事务所
网络犯罪研究与国防部副主任
国民网络犯罪研究办公室的吉格林秘书长
东中国政治科学与法律大学的刑法硕士。 主要从事新的网络犯罪研究和辩护。 自从他的实践以来,他就参与了许多涉及非法互联网产品的刑事案件的处理,并获得了许多非关注和取消案件。
单击下面阅读:
