在“3.15”之前,DCCI互联网数据中心(以下简称“DCCI”)发布了《2013移动隐私安全评测报告》。报告显示,高达66.9%的APP拥有获取用户隐私的权限,34.5%的APP涉嫌过度收集用户隐私行为,即APP除了获取本身功能需要的数据以外,还收集其本身不需要的其他数据。
黑色产业链:恶意软件吸费
据一位知情人士向钛媒体透露,像吸费这种现象在地级市以下的地方更严重,尤其是那种千元智能机或更便宜的山寨智能机被安装了大量吸费的手机游戏,都是盗版和仿冒下载量较高的游戏,比如在山寨版的《愤怒的小鸟》、《神庙》等游戏中内置扣费插件,用户下载后插件就会暗中扣费。
一般都是游戏前10关不要钱,到了10关以后就开始扣费了;或者帮用户订制增值业务短信。“不经过你的同意,它就会神不知鬼不觉的扣掉你的钱,唰唰唰几十块钱很快就没了。”
除了上述扣手机费、吃流量的现象,还有偷发手机短信的。
很多恶意软件,它会通过你的手机给你通讯录里的联系人发垃圾信息。它非常智能,会查看你手机套餐里发了多少条短信,还剩多少条没用完。查看完以后,它只发你手机里剩下的这些短信,不会额外扣你的话费,这个你一般也不会察觉。
“它会检测到你的手机是不是锁屏。如果你的手机是锁屏,说明你没有在用手机,它会趁机把短信发出去,发完之后还会删除,这个你完全看不出来,完全可以做到用户不知情。”上述知情人士说。
在LBE安全大师COO高偌薇看来,更可怕的事情还在后头呢,有些恶意软件在用户发现之后还能卸载掉,有些变种的恶意软件,即便卸载也未必能完成清除,还会继续在后台“为非作歹”。
正常的业务模式中,手机短信正常扣费需要经过“询问是否订购业务、服务器反馈、最终确认扣费”这三个步骤,但在上述恶意APP上,用户一个也步骤也收不到,即便遭受了经济损失也还会完全蒙在鼓里。
灰色地带:APP“越轨”抓取用户信息
事实上,在恶意软件吸费、吃流量和偷发短信的同时,还有许多用户自认为“安全”的APP也在悄悄地抓取用户个人信息。
在这些隐私信息中,位置信息成第一获取目标,联系人、通话记录、短信记录这些敏感隐私信息读取普遍。
在DCCI互联网数据中心创始人胡延平看来,有些APP获取用户信息是为了应用本身功能所需,可以理解;但有些APP除了获取本身功能需要的信息以外,还会获取更多其它信息,这是难以理解的。“就好比一款拍照软件,本来是用来拍照的,但它还要去读取你的位置信息、通话记录;一款闹钟软件会去读取你的短信记录、联系人。”
就算是用户为防止个人信息泄露,要卸载这些软件或者禁止这些软件使用自己的这些隐私权限时,仍然没有办法,因为大部分手机只有经过ROOT之后才被允许。(ROOT就好像是手机系统中唯一的万能用户,拥有系统中所有的权限,如启动或停止一个进程,删除或增加用户,增加或者禁用硬件等等。)这也正是安全厂商的为难之处,受ROOT权限限制只能提醒用户哪些权限遭到滥用,而不能前去禁止。
即使在ROOT之后用户可以限制软件使用某些权限,但这又会带来新的安全隐患,“恶意插件”攻击的对象往往面向的是ROOT之后的安卓手机用户群。只要联网,APP在网络数据交互的过程中就可以得到任何提交过来的用户信息,包括用户通讯录、信息、邮件、账号等所有隐私信息。
对此,安全厂商建议用户不开启ROOT权限。在高偌薇看来,如果手机被ROOT,或者没有安装安全杀毒软件,而用户想要禁止手机软件抓取个人信息,几乎没有解决方案。
尽管开发者为调取用户隐私权限想尽各种理由,但很难有说服力。在高偌薇看来,近40%的APP涉及滥用权限的问题,不能单凭开发者的解释就能为自己洗脱罪名。如何来鉴别这些应用访问了一些过度的权限,这涉及到对整个大数据的分析。
谷歌安卓的开源和免费给一些投机分子提供了可乘之机。
智能手机中安卓为何成为吸费和泄露个人隐私的重灾区?中国红麦软件总裁刘兴亮此前发文称主要有以下三点。
首先,都是“开放”惹的祸。苹果是封闭的,所以苹果出现“吸费门”和泄露个人隐私的概率就会小很多。谷歌推出安卓平台之初,就赋予其完全开放的特性,这一方面降低了手机厂商的使用门槛,也便于更多的应用开发者加入这一阵营之中。然而,开放性与安全性之间本来就是矛盾的,安卓平台并没有Symbian平台一样的第三方签名认证机制;应用商城过多,缺少对上架应用程序进行安全审查的机制与工具。因此,在应用中置入后门程序也变得更加容易。
其次,谷歌当初开发手机操作系统的时候,并没有考虑到中国市场,对系统的短信和网络控制能力很薄弱,一般的程序都能调用。谷歌实在想不到中国的SP增值业务会这么猖獗,并导致安卓在中国被恶意程序扣费和泄露个人隐私这么严重。
解决之道:如何杜绝吸费和隐私泄露
如何才能杜绝吸费和用户隐私泄露事件再次发生呢?
一是要强化标准和监管。这方面,杨珉给出了三点建议:
去年年底,工信部已决定建立评估体系,对智能APP程序、内置软件进行评估和抽查,将第三方平台纳入管理,逐步完善备案、审核、监督、抽查等管理环节,督促服务提供商和内容提供商加大自我清查,整治恶意APP暗扣费等现象。
二是要加强行业自律。
各个APP开发企业也要强调自律,不赚黑心钱。用户并非专业科技人士,往往并不清楚各种APP的使用说明,也很难发现其中隐藏的吸费或窃取隐私的陷阱。
三是要培养公众的危机意识,避免上当。
在上述建议无法立刻起作用之前,安卓官方以及媒体应该对用户进行教育,避免上当事件发生。
对此,刘兴亮认为,用户也要加强隐私保护意识。对于一个安卓用户来说,最简单最安全的办法就是到谷歌官方的应用程序商店下载软件,官方的有审核,扣费程序难以通过,是最安全的。除了谷歌官方应用商店,其他的也必须要选择正规的渠道下载应用,如到运营商、知名手机品牌以及第三方的应用商店等。用户切勿轻信“破解版”、“完美修正版”等经过二次打包的手机软件、手机游戏、歌曲、音乐、电子书等,谨防其中埋藏手机病毒。
如果非法“吸费”和用户隐私泄露的问题不能解决,安卓平台显然将遭遇危机。在胡延平看来,谷歌现已认识到问题的严重性,诸多动作表明其正在收紧安卓平台。如果谷歌像苹果那样形成一个封闭的生态系统,建立自己的应用商店,那么谷歌将亲自上阵审核APP,到时第三方安全厂商和应用商店恐难以再继续“陪玩”下去。
快报
10:19
默多克修改家族信托控制权的请求据悉遭驳回
国债期货涨幅扩大,30年期主力合约涨1.00%
10:14
沪深两市成交额连续第50个交易日突破1万亿元
10:11
AI应用端概念股反复受追捧,神思电子20CM涨停
1至11月全国铁路完成固定资产投资7117亿元,同比增长11.1%