“扫一扫”
CBF

“隐私越轨”的移动APP


发布时间:2014-12-02 13:44:11    来源于:CBF聚焦网

摘要:这些被泄露的用户隐私,变现的渠道包括用户隐私信息的出售,以及自身的广告推广。而获得用户隐私信息的买家

始于今年9月份的好莱坞艳照门事件,仍在持续发酵。黑客利用苹果手机存储空间漏洞,进入众多好莱坞女星的苹果手机,并大肆盗窃拷贝其中储存的各类“不雅和自拍”图片。

此消息一出,舆论一片哗然,因为无论明星还是普通用户,作为使用者来说,手机本身带来的 “安全感”已不复存在,然而在没有安全的基础上,用户信息似乎无保密可言。

今天,不管是上班挤公交,还是出差等火车,越来越多的人依赖手机打发时间:玩游戏、看新闻、订酒店……所有这些,都离不开一个个第三方应用程序(APP)客户端的支撑。

但近年来APP被植入后门、假冒电商APP横行,甚至被誉为大牌的APP,也暗地里收集你的设备信息、地理位置及手机号码。如何解决开放性与安全性的矛盾,这或许是手机产业链业者所需要思考的问题。

“隐私越轨”愈演愈烈

“APP读取用户隐私正在被大众逐步地认知,但这一现象正在进一步抬头,向窃取用户核心隐私的趋势正在加强。” 腾讯移动安全实验室专家陆兆华表示。

据中国互联网数据中心数据显示,在国内各类Android市场下载量前1400位的APP内,有66.9%的智能手机移动应用在抓取用户隐私数据,其中,34.5%的移动应用有“隐私越轨”行为,即APP抓取用户隐私信息并非APP服务功能所必需。

陆兆华表示,一款应用是否属于过度读取隐私权限,主要是看该款软件读取该项隐私权限是基于什么目的,即是否属于功能必需的范畴之内,反之则属于“隐私越轨”行为。

一般而言,安全软件、系统管理软件、通讯软件、社交软件等针对用户的通讯录等隐私读取是在合理的权限之内,但例如一款游戏软件或壁纸软件需要读取用户的通讯录和短信信息则大可不必。

《中国经贸聚焦》记者了解到,目前有近4成的手机游戏存在调用过多权限的情况,导致通讯录、短信等用户敏感的数据被随意读取。此类“越权”APP的大量存在直接威胁到手机用户的隐私安全。

此外,隐私窃取类恶意软件的感染比例呈现明显的上升趋势,可以通过后台上传用户短信、通讯录、照片、甚至网银密码等关键隐私信息,通过联网或者短信外发到指定号码,导致用户隐私大规模泄露。

有业内人士向记者透露,隐私窃取类恶意软件大多出自“打包党”之手,即将盗版他人应用软件,插入或去除他人的相关代码,重新打包签名。

有不愿具名的业内人士介绍,一款名为《简单计算器》的APP,经验证其被开发者恶意篡改,加入了恶意扣费代码。当用户将其安装到手机上后就会被恶意扣费,同时它还窃取机主的联系人、短信息内容等隐私信息,然后将这些隐私信息回传给开发者。

“打包党” 的行为是一种软件盗版行为,本身不开发任何对网民有用的应用软件,只会在别人的应用软件中植入可以为自己赚钱的代码,其中有广告代码,也可以窃取用户隐私的有害代码。

“由于目前手机平台的应用下载渠道众多,监管也处于空白的状态,给予了‘打包党’可乘之机”。上海迪爱斯通信设备有限公司研发技术人员秦阳介绍,其实一般较具规模的应用软件由于企业自身发展的需要和社会监督,窃取用户隐私的可能性并不大,但是由于“打包党”的存在,在利用其它移动应用程序蒙骗用户进行下载安装的同时,窃取了用户隐私。

提高隐私安全攻略

隐私保护一直是互联网讨论的焦点,也是难点。很多软件探测用户隐私,美其名曰是为了提升产品质量,完善服务,但这些信息能否得到有效的保护?

“我们允许APP适度的获取我们的部分信息,但不允许这些信息滥用,甚至被转卖!这种情况在日常生活中更常见,买房买车,去银行办卡都会遇到。”一名深受垃圾短信之害的王女士向记者抱怨。

现实是,有很多APP本来就需要客户的这些信息才能工作,本身难以防范。面对此种情况,除了对安全引起重视、避免隐私泄露外,掌握一定的安全技巧也成为了提升安全系数的保障。

比如,浏览安全选项并更改相关隐私设置;不要盲目点击链接或者广告;尽量关闭定位功能,如果使用了定位功能的话,事后及时清除个人位置信息;为避免财务损失,也必须尽量少在手机上使用银行服务。

秦阳介绍,手机应用必须要获取一定的权限才可以使用,例如图片美化类软件,需要获得访问照片的权限,这些权限是与手机应用本身相关的。但如果游戏软件要访问用户的通讯录就值得用户注意了,在安装软件时要注意查看其权限问题。

另外,选择安全的下载渠道也至关重要。不要轻易到不知名手机论坛、非安全电子市场下载应用,因为这些地方的应用未经过安全检测,很可能被内置恶意代码,存在严重的权限过度授权问题,最终导致隐私泄露。

他建议用户安装专业的手机安全软件,并开启隐私保护功能。涉及财务的问题,尽量减少使用频率,用的时候下载一下,不用就立马卸载。

此外,“手机目前已经集合了我们的太多个人信息。手机丢失是目前对我们账户安全最大的威胁之一。” 上海迪爱斯通信设备有限公司信息化组专员周绮玮表示,很多手机APP都要求我们注册登陆,在这过程中,用户就留了手机号、邮箱、甚至姓名、身份证号等大量个人信息。

“这些应用都普遍支持手机号注册登陆,同时为了便捷性,又几乎都提供了手机短信找回密码的功能。也就是说,只要手机丢失,捡到的人基本就可以凭手机找回密码,以失主的名义登陆这些应用。” 秦阳说。

他建议,一般用完APP退出之后,一般APP都会默认保存你的用户名,甚至密码。一定不要嫌麻烦,要删除默认用户名。

“PC端的隐私保护尚未得到有效控制,移动端更是遥遥无期。现在唯一能做的就是利用手机安全软件进行选择性保护,要么就别上APP、别联网。”周绮玮说,对于个人而言,想要上网,想要使用APP,提高使用应用的安全意识已经非常必要。

“隐私”背后的商业牟利

“58%以上都有隐私信息泄密的问题,大部分是把信息送回了软件开发商、广告商,有的甚至送到不知名的第三方的网站。”复旦大学计算机科学技术学院院长王晓阳曾对比较热门的330多款手机软件进行为期半年的监测发现。

据了解,很多移动广告公司为了做到更精准的广告投放,在软件里恶意插入获取用户位置信息的代码。几家广告公司就明确表示对用户位置信息了如指掌,坦言包括用户的手机号码、手机IP地址及其手机的一些属性都可以在公司后台看到。

“这些被泄露的用户隐私,变现的渠道包括用户隐私信息的出售,以及自身的广告推广。而获得用户隐私信息的买家,则可能用于垃圾短信、骚扰甚至诈骗电话等,或者为广告公司牟利。”秦阳告诉本刊记者。

陆兆华也表示,由于收集地理位置、设备识别信息,本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告,并进行有效的用户消费行为分析,符合部分广告商的利益诉求,APP开发者也可以因此而获取广告分成,因而获取这类信息成为某些不正规广告商与APP开发者共同的核心利益。
一位手机软件开发者告诉记者,对第三方应用开发者来说,他们希望调用的用户权限越多越好。调用用户权限越多,就越了解用户信息,越接近ROM(存放手机固件代码的存储器,近似于操作系统)的价值,其商业价值就越大。

他坦言,他们调取用户个人信息,是为了给用户提供更好的服务,而且在安装前,都会提示用户,该软件具有哪些涉及到个人信息的权限。然而一旦用户安装了这样的软件,个人信息就可能偷偷流向软件开发者的服务器。而对一些出厂时就已经预装的应用软件,用户连提示都不会看到。

《中国经贸聚焦》记者在采访中发现,一些第三方应用通过出售信息、绕开安全应用与硬件厂商联合牟利的现象也大量存在。

有要求匿名的业内人士对记者表示,这是因为,在PC端,由于微软开放了Admin权限(用户管理者权限),因此一些桌面客户端可以将该权限拿走,而屏蔽竞争对手的客户端,于是有了3Q大战的爆发;但在手机移动端,只有手机硬件厂商才有基于Android系统的用户管理者权限(ROOT),而其他的第三方应用包括第三方基于Android系统之上的ROM开发商都没有该权限,因此手机硬件厂商享有最高的用户安全级别。

个人信息保护刻不容缓

“大多数的用户对个人信息泄漏没有明确的概念,更谈不上保护自己的个人信息。另外App收集用户信息时多采用比较隐蔽,加密的方式收集,一般用户难以察觉。”秦阳表示,这需要国家相关部委出台部门规章进行规范。

去年6月,工信部提出要对提供APP的第三方平台实行备案制,对APP应用实行实名制。但也有观点认为,对数以百万的APP应用,备案制显然难以操作,并给开发者带来额外成本。

手机个人信息的泄露,不仅是一个技术的问题,更是一个缺少法规约束的问题。据了解,目前我国尚无一部个人信息安全法律,而现有涉及个人信息的法律条文,散落于近40部法律、10条法律解释、近30部法规、近200部部门规章之中。

资深律师詹毅建议,要解决我国个人信息安全问题,必须加快制定专门的个人信息保护法。日俄有个人信息保护法,欧盟有隐私保护指令,美国也有完备的隐私保护法律,我国近几年逐步重视起来,但面对大面积的个人信息泄露、擅自使用,立法、执法还没有很好地跟上。

他建议,通过法规,应从顶层对个人信息保护有关内容作出规定,从源头上规范个人信息处理活动,同时严厉打击个人信息犯罪活动;从底层,加强对手机APP读取权限范围的规范,进行必要的安全验证,阻止其安装前、后调用与其主体功能无关的系统权限,通过健全规范确保用户在使用APP过程中的隐私安全。

(责任编辑:CBF聚焦网)

近期热门资讯:

中国诗人