玩“憤怒的小鳥”也可能泄露隱私 |
發(fā)布時間: 2012/9/4 18:00:30 |
僅僅只是一個游戲,為何“憤怒的小鳥”要求收發(fā)短消息,“水果忍者”需要用戶的電話號碼?僅僅只是一個服務型的應用軟件,為何“航班管家”讀取了你的通訊錄,“公信衛(wèi)士”會用短消息將手機號碼發(fā)回客服?你有沒有想過,這些智能手機上異常的軟件行為可能使你的個人隱私遭到泄露。 日前,我國“千人計劃”專家、復旦大學計算機學院院長王曉陽教授,系統(tǒng)安全研究專家楊珉博士發(fā)布了一項“使用安卓程序的智能手機用戶隱私泄露情況”的報告,報告選取了7個國內(nèi)安卓應用商城的330項熱門手機應用程序進行調(diào)查,發(fā)現(xiàn)手機用戶的總體信息泄露率將近6成。王曉陽還指出,使用其他平臺的智能手機,也在不同程度上存在個人隱私泄露的隱憂。 被泄露的信息包括國際移動設備身份碼、國際移動用戶識別碼、集成電路卡識別碼、通訊錄、手機號碼、用戶位置和用戶短信 “授權(quán)請求”是泄露源頭 使用智能手機時,很多人都習慣于到應用商城去下載各種好玩或?qū)嵱玫挠螒蚧驊密浖。但下載軟件時那一堆拗口專業(yè)的“授權(quán)請求”,很多人不會留意或者干脆直接忽略。 比如,在安裝“憤怒的小鳥”時,授權(quán)請求中就有一項:收發(fā)短消息。“水果忍者”要求得到用戶的電話號碼,“航班管家”需要讀取你的通訊錄,“公信衛(wèi)士”則要求用短消息將手機號發(fā)回給客服。 這類超出正常需要的授權(quán)請求,其實都可能為用戶的隱私泄露埋下伏筆。王曉陽表示,這些授權(quán)請求,使得個人的手機信息、身份信息、地理位置信息、郵件、諸多賬號信息等被軟件輕易復制和傳送,但大多數(shù)用戶對此一無所知,“比如你授權(quán)給一個軟件自行收發(fā)短消息,那么你的手機就可能在不知不覺中發(fā)出一些高收費的短信,而且這些短信完全可以做到對用戶隱蔽,你手機里根本查不到”。 一項由美國加州大學伯克利分校針對谷歌官方軟件市場的調(diào)查結(jié)果顯示,超過33%的軟件要求的授權(quán)超過實際需要。國內(nèi)的情況更不容樂觀,王曉陽團隊曾對國內(nèi)100款熱門軟件進行分析,其中80余款過度要求授權(quán)。 手機上網(wǎng)流量暴增是信息泄露信號之一 實驗報告還顯示,用戶個人信息泄露的三大目的地分為開發(fā)者(65%的信息泄露到此)、廣告商(38%的信息泄露到此)和第三方(23%的信息泄露到此)。有些信息被泄露給多方。 實驗中還發(fā)現(xiàn),部分程序并非由原開發(fā)者提交給商城,而是由第三方的開發(fā)者對原始程序進行了再次封裝,并嵌入了其它代碼,比如“憤怒的小鳥”的短消息收發(fā)授權(quán)請求,就是經(jīng)過了二次封裝的結(jié)果。 實驗結(jié)果揭示,隱私泄露行為影響的人群非常廣泛。根據(jù)某應用商城公布的數(shù)據(jù)顯示,截至5月,其全站共有用戶1100萬,安卓系統(tǒng)應用程序下載量達8.59億次。“我們在檢測該商城最熱門的40個應用程序中發(fā)現(xiàn),至少有25個程序存在竊取用戶隱私信息的行為,以此推算,累計影響的用戶數(shù)在92萬人以上。”王曉陽指出,這40個程序多數(shù)是由知名企業(yè)開發(fā),企業(yè)的自律與規(guī)范性已相對較好,“而國內(nèi)安卓市場中更多的應用程序則由中小企業(yè)或個人開發(fā)者提供,受經(jīng)濟利益等因素的驅(qū)使,他們更熱衷于惡意收集用戶的隱私數(shù)據(jù)”。 王曉陽團隊研究還發(fā)現(xiàn),除了使用安卓系統(tǒng)的智能手機和移動平臺,使用iOS的智能手機比如iPhone以及使用Symbian的智能手機如諾基亞,其他多數(shù)智能手機都存在不同程度的軟件信息泄露隱憂,“有的iPhone使用者會突然發(fā)現(xiàn)手機上網(wǎng)流量暴增幾百元,這就有可能是那些惡意軟件在后臺悄悄聯(lián)網(wǎng)導致的”。 [專家建議] 普通用戶避免安裝不健康軟件有條件者工作娛樂手機各備一個 王曉陽團隊建議,在下載安裝應用程序時,應提高警惕,盡量選擇可靠的來源,比如選擇知名度高、負責任的應用商城或者相應程序的官方網(wǎng)站等;在下載和安裝程序時,可以參考用戶評價和評分信息,不要輕易點擊短信、email、社交網(wǎng)站中有風險的鏈接,尤其應該盡量避免安裝一些不健康軟件,因為大量惡意軟件往往都通過類似的偽裝吸引用戶下載。 在安裝程序時,用戶應樹立起風險意識,嚴格控制系統(tǒng)權(quán)限的授予,盡量避免將訪問個人隱私數(shù)據(jù)的權(quán)限和訪問網(wǎng)絡的權(quán)限同時授予給可疑程序。對于如賬號、口令、卡號、身份信息等,盡量避免明文存儲于手機,或通過短消息方式等隨意發(fā)送。王曉陽還建議,有條件的用戶,可根據(jù)實際需求,將工作與個人通信用途的手機和日常上網(wǎng)娛樂的手機分開,對數(shù)據(jù)進行物理隔絕,從而最大程度的保護自身的隱私數(shù)據(jù)。 此外,相關部門應盡快確定移動終端隱私數(shù)據(jù)分級、應用程序收集和使用隱私數(shù)據(jù)的規(guī)范、應用程序開發(fā)者認定、安卓系統(tǒng)的安全機制和應用商城發(fā)布應用程序的審核等方面的國家安全技術(shù)標準,建立應用程序的安全性檢測與測評機制,加強對應用商城運營商與程序開發(fā)商的監(jiān)督管理。 本文出自:億恩科技【1tcdy.com】 |