大家手机中安装的各类APP可以说是其灵魂所在，通过各类APP用户也得以实现各式各样的功能。但是出于获取更多利益的考量，这些APP的开发者往往会费尽心思的获取系统权限，以便收集用户数据。

日前，来自国际计算机研究所（International Computer Science Institute，ICSI）的报告显示，在研究人员针对Google Play商店中超过8.8万个APP的调查中发现，多达1325个Android应用程序正在从用户的设备上收集数据，即便在安装时已经明确拒绝了其相关权限的申请。

什么！Android的权限管理居然形同虚设，难道谷歌是在哄全世界消费者玩吗？还真不是，就如我们此前介绍过的那样，Android权限管理遵循的是“最小特权原则”，即APP应该只具备执行其任务所需的最低能力。

因此APP如果想访问其他文件、数据，以及相关资源，就必须在Android的Manifest.xml文件中进行声明。谷歌在Android开发者页面中也规定了APP开发中存在的四种系统权限——正常权限、危险权限、签名权限，和系统签名权限。

正常权限即不会对用户隐私或设备造成很大风险的权限，需要用户明确授权的危险权限则全部归属于权限组，签名权限只对拥有相同签名的应用开放，而系统签名权限则主要应用在预制应用上。因此开发者必须事先声明APP所需的权限，不然将无法调用相应的系统资源，因此如果用户拒绝给予这些权限，正常情况下APP也不能获得对应的系统资源。

尽管通常情况确实不能，但Android是一个庞大而臃肿的生态系统，自然就会存在某些不正常的现象，比如说利用签名权限构建一个“秘密通道”。ICSI的研究人员在报告中指出，假设A应用获得了IMEI权限，但是B应用却被拒绝，因此在通过签名权限机制的情况下，A应用将能够合法的将IMEI数据传输给B应用。

这个秘密通道有很多构建方式，目前这项1325个APP之中使用比较频繁的是“shared storage(共享存储)”或者共享内存机制。既然是“共享”，那不就是你的就是我的，我的就是你的吗？某些APP因此就可以通过“曲线救国”的方式收集到包括网络芯片型号、MAC地址、SSID、IMEI号码等敏感信息。

还有的则是类似照片编辑应用Shutterfly这种监守自盗的方式，作为一款照片编辑应用，Shutterfly在用户拒绝该应用访问位置数据的情况下，依然能够从照片中收集EXIF信息，将其中的GPS坐标发送到服务器上。这种方式确实完美规避了谷歌的权限管理，但同样能收集用户的数据信息，显然也是防不胜防。

无独有偶，在今年《华盛顿邮报》进行的一项实验中，在将iPhone连接一个监控软件，随后竟然在其中发现了近5400个追踪程序。这些追踪程序可以利用苹果的“后台刷新功能”，从手机向Demdex等第三方数据分析公司发送相关的用户数据。

对于开发者来了说，出门做生意可不是开善堂的，在普通用户技术水平上无法对抗的情况下，就只有依赖于平台与监管机构的努力了。但可惜谷歌的反应是迟缓和无力，ICSI的研究人员表示，需要等待即将到来的Android Q才会有一些问题得到修复，而不是每月的例行安全补丁更新，也就是说大量被OEM厂商和谷歌忽视的老机型，将会永远暴露在这类隐私风险下。

好在随着今年春天，中央网信办、工信部、公安部、市场监管总局等多部门联合开展的APP违法违规收集使用个人信息安全评估，并出台了《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》，将专项治理App强制授权、过度索权、超范围收集个人信息等问题。也就说未来在国内市场，APP在索取权限方面将有了法律法规的监管。