“隐私越轨”的移动APP

Privacy Probing Problem of App

China Business Focus (Chinese) - - 特别关注 - ◎文/ CBF记者 凌云霄

这些被泄露的用户隐私,变现的渠道包括用户隐私信息的出售,以及自身的广告推广。而获得用户隐私信息的买家,则可能用于垃圾短信、骚扰甚至诈骗电话等,或者为广告公司牟利。 隐私窃取类恶意软件大多出自“打包党”之手,即盗版他人应用软件,插入或去除他人的相关代码,重新打包签名。

酵。黑客利用苹果手机存储空间漏洞,进入众多好莱坞始于今年9月份的好莱坞艳照门事件,仍在持续发

女星的苹果手机,并大肆盗窃拷贝其中储存的各类“不

雅和自拍”图片。

此消息一出,舆论一片哗然,因为无论明星还是

普通用户,作为使用者来说,手机本身带来的 “安全

感”已不复存在,在没有安全的基础上,用户信息似乎

无保密可言。

今天,不管是上班挤公交,还是出差等火车,越

来越多的人依赖手机打发时间:玩游戏、看新闻、订

酒店……所有这些,都离不开一个个第三方应用程序

(APP)客户端的支撑。

但近年来APP被植入后门、假冒电商APP横行,甚

至被誉为大牌的APP,也暗地里收集你的设备信息、地

理位置及手机号码。如何解决开放性与安全性的矛盾,

这或许是手机产业链业者所需要思考的问题。

“隐私越轨”愈演愈烈

“APP读取用户隐私正在被大众逐步地认知,但这

一现象正在进一步抬头,窃取用户核心隐私的趋势正在

加强。”腾讯移动安全实验室专家陆兆华表示。

据中国互联网数据中心数据显示,在国内各类

Android市场下载量前1400位的APP内,有66.9%的智能

手机移动应用在抓取用户隐私数据,其中,34.5%的移

动应用有“隐私越轨”行为,即APP抓取用户隐私信息

并非APP服务功能所必需。

陆兆华表示,一款应用是否属于过度读取隐私权

限,主要是看该款软件读取该项隐私权限是基于什么目

的,即是否属于功能必需的范畴之内,反之则属于“隐

私越轨”行为。

一般而言,安全软件、系统管理软件、通讯软件、

社交软件等针对用户的通讯录等隐私读取是在合理的权

限之内,但例如一款游戏软件或壁纸软件需要读取用户

的通讯录和短信信息则大可不必。

《中国经贸聚焦》记者了解到,目前有近4成的手

机游戏存在调用过多权限的情况,导致通讯录、短信等

用户敏感的数据被随意读取。此类“越权”APP的大量

存在直接威胁到手机用户的隐私安全。

此外,隐私窃取类恶意软件的感染比例呈现明显

的上升趋势,可以通过后台上传用户短信、通讯录、照

片、甚至网银密码等关键隐私信息,通过联网或者短信

外发到指定号码,导致用户隐私大规模泄露。

有业内人士向记者透露,隐私窃取类恶意软件大多

出自“打包党”之手,即盗版他人应用软件,插入或去

除他人的相关代码,重新打包签名。有不愿具名的业内人士介绍,一款名为《简单计

算器》的APP,经验证其被开发者恶意篡改,加入了恶

意扣费代码。当用户将其安装到手机上后就会被恶意扣

费,同时它还窃取机主的联系人、短信息内容等隐私信

息,然后将这些隐私信息回传给开发者。

“打包党”的行为是一种软件盗版行为,本身不开

发任何对网民有用的应用软件,只会在别人的应用软件

中植入可以为自己赚钱的代码,其中有广告代码,也有

可以窃取用户隐私的有害代码。

“由于目前手机平台的应用下载渠道众多,监管也

处于空白的状态,给予了‘打包党’可乘之机。”上海

迪爱斯通信设备有限公司研发技术人员秦阳介绍,其实

一般较具规模的应用软件由于企业自身发展的需要和社

会监督,窃取用户隐私的可能性并不大,但是由于“打

包党”的存在,在利用其他移动应用程序蒙骗用户进行

下载安装的同时,窃取了用户隐私。

提高隐私安全攻略

隐私保护一直是互联网讨论的焦点,也是难点。很

多软件探测用户隐私,美其名曰是为了提升产品质量,

完善服务,但这些信息能否得到有效的保护?

“我们允许APP适度地获取我们的部分信息,但不

允许这些信息滥用,甚至被转卖!这种情况在日常生活

中更常见,买房买车,去银行办卡都会遇到。”一名深

受垃圾短信之害的王女士向记者抱怨。

现实是,有很多APP本来就需要客户的这些信息才

能工作,本身难以防范。面对此种情况,除了对安全引

起重视、避免隐私泄露外,掌握一定的安全技巧也成为

提升安全系数的保障。

比如,浏览安全选项并更改相关隐私设置;不要盲

目点击链接或者广告;尽量关闭定位功能,如果使用了

定位功能的话,事后及时清除个人位置信息;为避免财

务损失,也必须尽量少在手机上使用银行服务。

秦阳介绍,手机应用必须要获取一定的权限才可

以使用,例如图片美化类软件,需要获得访问照片的权

限,这些权限是与手机应用本身相关的。但如果游戏软

件要访问用户的通讯录就值得用户注意了,在安装软件

时要注意查看其权限问题。

另外,选择安全的下载渠道也至关重要。不要轻

易到不知名手机论坛、非安全电子市场下载应用,因为这些地方的应用未经过安全检测,很可能被内置恶意代码,存在严重的权限过度授权问题,最终导致隐

私泄露。他建议用户安装专业的手机安全软件,并开启隐私

保护功能。涉及财务的问题,尽量减少使用频率,用的

时候下载一下,不用就立马卸载。

此外,“手机目前已经集合了我们的太多个人

信息。手机丢失是目前对我们账户安全最大的威胁之

一。” 上海迪爱斯通信设备有限公司信息化组专员周

绮玮表示,很多手机APP都要求我们注册登陆,在这过

程中,用户就留了手机号、邮箱、甚至姓名、身份证号

等大量个人信息。

“这些应用都普遍支持手机号注册登陆,同时为了

便捷性,又几乎都提供了手机短信找回密码的功能。也

就是说,只要手机丢失,捡到的人基本就可以凭手机找

回密码,以失主的名义登陆这些应用。”周绮玮说。

他建议,一般用完APP退出之后,一般APP都会默

认保存你的用户名,甚至密码。一定不要嫌麻烦,要删

除默认用户名。

“PC端的隐私保护尚未得到有效控制,移动端更是

遥遥无期。现在唯一能做的就是利用手机安全软件进行

选择性保护,要么就别上APP、别联网。”周绮玮说,

对于个人而言,想要上网,想要使用APP,提高使用应

用的安全意识已经非常必要。

“隐私”背后的商业牟利

“58%以上都有隐私信息泄密的问题,大部分是把

信息送回了软件开发商、广告商,有的甚至送到不知名

的第三方的网站。”复旦大学计算机科学技术学院院长

王晓阳曾对比较热门的330多款手机软件进行为期半年

的监测发现。

据了解,很多移动广告公司为了做到更精准的广告

投放,在软件里恶意插入获取用户位置信息的代码。几

家广告公司就明确表示对用户位置信息了如指掌,坦言

包括用户的手机号码、手机IP地址及其手机的一些属性

都可以在公司后台看到。

“这些被泄露的用户隐私,变现的渠道包括用户隐

私信息的出售,以及自身的广告推广。而获得用户隐私

信息的买家,则可能用于垃圾短信、骚扰甚至诈骗电话

等,或者为广告公司牟利。”秦阳告诉本刊记者。息,本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告,并进行有效的用户消费行为分析,既符合部分广告商的利益诉求,APP开发者也可以因此而获取广告分成,因而获取这类信息成为某些不正规广告商与APP开发者共同的核心利益。发者来说,他们希望调用的用户权限越多越好。调用用陆兆华也表示,由于收集地理位置、设备识别信一位手机软件开发者告诉记者,对第三方应用开

户权限越多,就越了解用户信息,越接近ROM(存放手机固件代码的存储器,近似于操作系统)的价值,其商业价值就越大。他坦言,他们调取用户个人信息,是为了给用户提

供更好的服务,而且在安装前,都会提示用户,该软件具有哪些涉及到个人信息的权限。然而一旦用户安装了这样的软件,个人信息就可能偷偷流向软件开发者的服

务器。而对一些出厂时就已经预装的应用软件,用户连提示都不会看到。

《中国经贸聚焦》记者在采访中发现,一些第三方

应用通过出售信息、绕开安全应用与硬件厂商联合牟利

的现象也大量存在。

有要求匿名的业内人士对记者表示,这是因为,

在PC端,由于微软开放了Admin权限(用户管理者权

限),因此一些桌面客户端可以将该

权限拿走,而屏蔽竞争对手的客户

端,于是有了3Q大战的爆发;但在

手机移动端,只有手机硬件厂商才有

基于Android系统的用户管理者权限

(ROOT),而其他的第三方应用包括

第三方基于Android系统之上的ROM开

发商都没有该权限,因此手机硬件厂

商享有最高的用户安全级别。

个人信息保护刻不容缓

“大多数的用户对个人信息泄漏没

有明确的概念,更谈不上保护自己的个

人信息。另外App收集用户信息时多采

用比较隐蔽,加密的方式收集,一般用

户难以察觉。”周玮绮表示,这需要国

家相关部委出台部门规章进行规范。

去年6月,工信部提出要对提供APP的第三方平台实

行备案制,对APP应用实行实名制。但也有观点认为,

对数以百万的APP应用,备案制显然难以操作,并给开

发者带来额外成本。

手机个人信息的泄露,不仅是一个技术的问题,

更是一个缺少法规约束的问题。据了解,目前中国尚无

一部个人信息安全法律,而现有涉及个人信息的法律条

文,散落于近40部法律、10条法律解释、近30部法规、

近200部部门规章之中。

资深律师詹毅建议,要解决中国个人信息安全问

题,必须加快制定专门的个人信息保护法。日俄有个人

信息保护法,欧盟有隐私保护指令,美国也有完备的隐

私保护法律,中国近几年逐步重视起来,但面对大面积

的个人信息泄露、擅自使用,立法、执法还没有很好

地跟上。

他建议,通过法规,应从顶层对个人信息保护有关

内容作出规定,从源头上规范个人信息处理活动,同时

严厉打击个人信息犯罪活动;从底层,加强对手机APP

读取权限范围的规范,进行必要的安全验证,阻止其安

装前、后调用与其主体功能无关的系统权限,通过健全

规范确保用户在使用APP过程中的隐私安全。

∨手机个人信息的泄露,不仅是一个技术的问题,更是一个缺少法规约束的问题

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.