无良安卓免费应用开发商成罪魁祸首
时间:2020-09-18 08:00:57 来源:达达文档网 本文已影响 人 
打开文本图片集
对安卓手机用户而言,你可能不会注意到安装视频客户端时,软件安装协议要求获取你的位置信息。在安装社交软件时,你可能会不假思索就同意它读取你的通信录、电话以及短信内容。但事实上,这些行为都可能带来安全风险,导致用户的隐私在互联网上“裸奔”。近日,3·15晚会曝光移动应用窃取隐私的消息,给每个用户敲响了警钟。
应用越权“访问”隐私
为更好地为用户提供服务,安卓应用程序调用手机本身的应用程序和功能是普遍现象。然而,一些开发者将其作为窃取用户隐私的借口。
“不同软件根据自身不同功能需要,都会获取一些‘信息’作为软件优化分析、用户分析的基础,如手机设备信息IMEI、国际移动用户识别码IMSI,也有一些软件功能会用到用户敏感隐私,包括手机号码、通信录、短信、位置等。”手机安全专家、奇虎360公司副总裁李涛在接受本报记者专访时表示,“规范的软件会说明需要哪些信息、用来做什么。但是一些恶意广告商、不规范的开发者会非法读取用户隐私。这些信息很可能成为信息买卖黑色产业链的信息来源。”
安卓应用是如何窃取用户隐私的?中国电子信息产业发展研究院信息安全研究所研究员冯伟认为:“安卓系统没有统一的系统升级机制,许多用户长期使用缺乏保护的有漏洞的系统。同时,安卓系统是特权分隔的系统,每个应用运行在独立的沙盒中,其权限需用户分别授予。用户在急于使用应用程序时通常不仔细阅读协议就同意授权。获得授权以后 ,应用程序就能为所欲为了。”
“广告商将一些获取用户隐私的代码写入SDK(软件开发工具包),然后传播到市场,潜入各种软件中。用户下载安装软件后,隐私信息就通过联网方式回传到广告商的服务器内。”李涛介绍说,“还有一些开发者或软件厂商会直接将窃取用户隐私的代码写入软件,用户在使用过程中这些隐私信息将通过联网被回传到其服务器。”
这意味着,安卓手机用户一旦下载了应用程序,就等于将自己的隐私向开发者完全开放了!金山网络安全专家李铁军告诉记者:“一些游戏软件窃取的隐私很全面,而不仅是联系人和电话号码。这些软件像名片扫描工具一样,将用户信息扫描了一遍,数据库中所有信息都会被开发者获取,包括用户的邮箱信息、QQ和MSN等手机程序的信息,甚至用户喜欢哪种类别的应用程序等。”
冯伟认为,恶意软件窃取用户隐私的后果十分严重:“一是手机短信、存储卡内的身份证号码、银行账号等敏感信息,可能被直接用于侵犯用户隐私和财产;二是手机号码、通信录等信息,会导致手机用户频繁收到垃圾邮件、垃圾短信、各类广告通知、钓鱼欺诈攻击,有的还会连累亲朋好友被诈骗;三是手机用户的实时位置信息,可被用于跟踪用户行踪,将直接威胁用户人身安全。”
趋势科技近日发布的《中国地区2012年度安全威胁报告》显示,2012年中国区移动设备的病毒数同比大幅提升了34倍,从年初的1000个上升到了年末的35万个。而在2013年,这一数量将达到100万。
用户只能任宰割?
开发者窃取用户隐私犹如“探囊取物”,但用户还蒙在鼓里。这些窃取行为通常在后台自动运行,对于大部分没有技术背景的普通用户而言,很难了解到哪些应用程序在自己的手机上作怪。冯伟表示:“只有利用专业工具进行长时间的监测,才能判断移动应用是否非法窃取用户信息。”
不过,即便是用户并不希望应用程序调用安卓手机的某些功能和信息,恐怕也很难阻止。在下载安装应用程序时,面对应用软件调用本地信息的协议,用户无法选择部分同意或者不同意,如果接受软件提供就只能任其为所欲为。
既然无法拒绝安装协议内容,能否通过技术手段将应用程序调用本地信息的部分权限关闭?这对安卓用户而言也并非易事。使用iPhone手机的用户都知道,我们可以通过设置关闭某些应用程序的部分功能,例如关闭视频客户端调用定位功能,或者禁止社交应用调用本地通信录。但是安卓手机并没有开放这些权限给用户。
李涛表示,借助360手机卫士等带有隐私保护功能的安全软件,安卓手机用户也可以实现对手机安装软件的监控和管理。当软件读取用户的个人隐私时,安全软件就会提示用户是否允许读取,用户可以对其授权或者拒绝。同时,在管理界面,用户可以了解并且管理每个软件的详细监控信息,例如软件具备哪些权限。
类似的针对恶意应用程序的安全软件的服务功能还很丰富。李铁军告诉记者,针对应用程序后台发送信息的行为,安全软件可以及时提示用户,并且截取短信内容。另外,金山手机安全软件还可以帮助用户实现部分功能的关闭和限制。
不过,要实现李涛和李铁军所说的这些功能必须具备一个前提——安全软件必须获取手机的系统权限。这意味着,用户要使用这类安全软件,必须先将手机越狱。而越狱可能让用户的手机面临更大风险。
将安全融入各个环节
作为一款以Linux为基础的半开放源代码的操作系统,安卓系统漏洞频发、安全策略匮乏的弊端诟病已久。尽管谷歌在其官方应用市场中提供了安全工具,用户可以用来测试应用程序是否存在恶意行为。不过,由于网络访问流畅度等各种问题,中国网民很少通过谷歌官方应用市场下载软件,而是衷情于各种第三方应用市场,但这些市场往往鱼龙混杂。因此,安卓系统的安全性,需要应用开发者、第三方应用市场和手机终端厂商与安全厂商共同努力,才能保障。
第三方应用市场通常只是用当前的安全软件检测移动应用是否存在病毒,如果没有就可以上线。“一些应用程序为避免检查,上线之初并不收集用户隐私,而是上线之后几天才开始,而第三方应用商店很少会进行二次审查。”李铁军认为,第三方应用商店应加强与安全厂商的合作,“金山的火眼系统,可以找出那些隐藏的恶意行为。我们正在积极地与更多第三方应用市场合作,接入第三方应用市场的程序都需要经过火眼严格的安全审查才能上线。”
针对终端厂商预装安卓应用程序的现象,李涛认为,除了对预装应用进行安全检测和认证,确保内置应用的安全外,终端厂商也应与专业安全厂商建立合作,如内置安全产品及进行一系列芯片级合作,避免用户在购机后下载各种应用时遭遇木马威胁。
记者手记
世上没有免费的午餐
在国外,当人们看到一款免费的移动应用程序,或者一款免费的软件时,第一反应往往是质疑——免费软件和服务能否保障手机的安全性。而在中国,你经常可以看到,用户在搜索应用程序时候,往往将免费作为一个很重要的考量标准。
事实上,免费模式造成了更大的安全隐患。我们经常听移动应用开发者发表“赚钱不重要,重要的是积累用户”等观点。但事实上,很多移动开发者都利用免费软件“绑架”用户,迫使用户接受软件的安装协议,进而将用户作为自己的资源,以吸引广告商,或者通过其他非法途径谋利。
3·15晚会曝光的隐私泄露问题让终端用户愤怒的同时,更应引起软件开发者的重视。因为,“免费经济”这种畸形的模式并不具有生命力,当用户觉醒,抛弃免费思维时,崩塌的不仅是“免费经济”,更是开发者辛辛苦苦建立起来的“商业帝国”。
