玩“憤怒的小鳥”也可能泄露隱私

僅僅只是一個游戲，為何“憤怒的小鳥”要求收發(fā)短消息，“水果忍者”需要用戶的電話號碼？僅僅只是一個服務(wù)型的應(yīng)用軟件，為何“航班管家”讀取了你的通訊錄，“公信衛(wèi)士”會用短消息將手機號碼發(fā)回客服？你有沒有想過，這些智能手機上異常的軟件行為可能使你的個人隱私遭到泄露。

日前，我國“千人計劃”專家、復(fù)旦大學(xué)計算機學(xué)院院長王曉陽教授，系統(tǒng)安全研究專家楊珉博士發(fā)布了一項“使用安卓程序的智能手機用戶隱私泄露情況”的報告，報告選取了7個國內(nèi)安卓應(yīng)用商城的330項熱門手機應(yīng)用程序進行調(diào)查，發(fā)現(xiàn)手機用戶的總體信息泄露率將近6成。王曉陽還指出，使用其他平臺的智能手機，也在不同程度上存在個人隱私泄露的隱憂。

被泄露的信息包括國際移動設(shè)備身份碼、國際移動用戶識別碼、集成電路卡識別碼、通訊錄、手機號碼、用戶位置和用戶短信

“授權(quán)請求”是泄露源頭

使用智能手機時，很多人都習(xí)慣于到應(yīng)用商城去下載各種好玩或?qū)嵱玫挠螒蚧驊?yīng)用軟件。但下載軟件時那一堆拗口專業(yè)的“授權(quán)請求”，很多人不會留意或者干脆直接忽略。

比如，在安裝“憤怒的小鳥”時，授權(quán)請求中就有一項：收發(fā)短消息。“水果忍者”要求得到用戶的電話號碼，“航班管家”需要讀取你的通訊錄，“公信衛(wèi)士”則要求用短消息將手機號發(fā)回給客服。

這類超出正常需要的授權(quán)請求，其實都可能為用戶的隱私泄露埋下伏筆。王曉陽表示，這些授權(quán)請求，使得個人的手機信息、身份信息、地理位置信息、郵件、諸多賬號信息等被軟件輕易復(fù)制和傳送，但大多數(shù)用戶對此一無所知，“比如你授權(quán)給一個軟件自行收發(fā)短消息，那么你的手機就可能在不知不覺中發(fā)出一些高收費的短信，而且這些短信完全可以做到對用戶隱蔽，你手機里根本查不到”。

一項由美國加州大學(xué)伯克利分校針對谷歌官方軟件市場的調(diào)查結(jié)果顯示，超過33%的軟件要求的授權(quán)超過實際需要。國內(nèi)的情況更不容樂觀，王曉陽團隊曾對國內(nèi)100款熱門軟件進行分析，其中80余款過度要求授權(quán)。

手機上網(wǎng)流量暴增是信息泄露信號之一

實驗報告還顯示，用戶個人信息泄露的三大目的地分為開發(fā)者（65%的信息泄露到此）、廣告商（38%的信息泄露到此）和第三方（23%的信息泄露到此）。有些信息被泄露給多方。

實驗中還發(fā)現(xiàn)，部分程序并非由原開發(fā)者提交給商城，而是由第三方的開發(fā)者對原始程序進行了再次封裝，并嵌入了其它代碼，比如“憤怒的小鳥”的短消息收發(fā)授權(quán)請求，就是經(jīng)過了二次封裝的結(jié)果。

實驗結(jié)果揭示，隱私泄露行為影響的人群非常廣泛。根據(jù)某應(yīng)用商城公布的數(shù)據(jù)顯示，截至5月，其全站共有用戶1100萬，安卓系統(tǒng)應(yīng)用程序下載量達8.59億次。“我們在檢測該商城最熱門的40個應(yīng)用程序中發(fā)現(xiàn)，至少有25個程序存在竊取用戶隱私信息的行為，以此推算，累計影響的用戶數(shù)在92萬人以上。”王曉陽指出，這40個程序多數(shù)是由知名企業(yè)開發(fā)，企業(yè)的自律與規(guī)范性已相對較好，“而國內(nèi)安卓市場中更多的應(yīng)用程序則由中小企業(yè)或個人開發(fā)者提供，受經(jīng)濟利益等因素的驅(qū)使，他們更熱衷于惡意收集用戶的隱私數(shù)據(jù)”。

王曉陽團隊研究還發(fā)現(xiàn)，除了使用安卓系統(tǒng)的智能手機和移動平臺，使用iOS的智能手機比如iPhone以及使用Symbian的智能手機如諾基亞，其他多數(shù)智能手機都存在不同程度的軟件信息泄露隱憂，“有的iPhone使用者會突然發(fā)現(xiàn)手機上網(wǎng)流量暴增幾百元，這就有可能是那些惡意軟件在后臺悄悄聯(lián)網(wǎng)導(dǎo)致的”。

[專家建議]

普通用戶避免安裝不健康軟件有條件者工作娛樂手機各備一個

王曉陽團隊建議，在下載安裝應(yīng)用程序時，應(yīng)提高警惕，盡量選擇可靠的來源，比如選擇知名度高、負責(zé)任的應(yīng)用商城或者相應(yīng)程序的官方網(wǎng)站等；在下載和安裝程序時，可以參考用戶評價和評分信息，不要輕易點擊短信、email、社交網(wǎng)站中有風(fēng)險的鏈接，尤其應(yīng)該盡量避免安裝一些不健康軟件，因為大量惡意軟件往往都通過類似的偽裝吸引用戶下載。

在安裝程序時，用戶應(yīng)樹立起風(fēng)險意識，嚴(yán)格控制系統(tǒng)權(quán)限的授予，盡量避免將訪問個人隱私數(shù)據(jù)的權(quán)限和訪問網(wǎng)絡(luò)的權(quán)限同時授予給可疑程序。對于如賬號、口令、卡號、身份信息等，盡量避免明文存儲于手機，或通過短消息方式等隨意發(fā)送。王曉陽還建議，有條件的用戶，可根據(jù)實際需求，將工作與個人通信用途的手機和日常上網(wǎng)娛樂的手機分開，對數(shù)據(jù)進行物理隔絕，從而最大程度的保護自身的隱私數(shù)據(jù)。

此外，相關(guān)部門應(yīng)盡快確定移動終端隱私數(shù)據(jù)分級、應(yīng)用程序收集和使用隱私數(shù)據(jù)的規(guī)范、應(yīng)用程序開發(fā)者認(rèn)定、安卓系統(tǒng)的安全機制和應(yīng)用商城發(fā)布應(yīng)用程序的審核等方面的國家安全技術(shù)標(biāo)準(zhǔn)，建立應(yīng)用程序的安全性檢測與測評機制，加強對應(yīng)用商城運營商與程序開發(fā)商的監(jiān)督管理。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]