Pages

Saturday, 1 September 2012

移动应用成“隐私窃取机”

当你在应用商城下载一款应用程序时,你是否知道,可能在不知情的情况下,你的手机号码、通讯录、短信,甚至USB存储上的资料,已被悄悄“偷”走。国内一 项最新研究显示,在基于安卓操作系统的应用商城中,过半软件涉嫌泄露用户隐私,涉及用户上百万人。网民惊呼“太可怕”的同时,也直指缺乏相应规范和监管。

  过半应用泄露用户隐私 网民惊叹“太可怕”

  近日,复旦大学计算机科学技术学院研究团队通过抽查国内基于安卓系统的7个应用商城330款应用发现,58%的应用程序存在泄露用户隐私的行为,其中25%还将泄露的信息进行了加密发送,使得在进行安全性审查时,确认其内容和传送目的地变得非常困难.

  “一些泄露用户隐私的应用甚至连专业杀毒软件都无法查出。”复旦大学计算机科学技术学院院长王晓阳教授说。

  研究机构艾媒咨询发布的数据显示,2012第二季度,谷歌安卓系统在中国移动终端操作系统中的占比达63.1%。有预测认为,2012年将有1.4亿台移动互联网终端投放中国市场,其中搭载安卓系统的设备超过总数的2/3。

  可以想见,受这类隐私泄露行为影响的用户群非常庞大。复旦大学研究团队杨珉博士透露,以他们所关注的机锋市场为例,其宣称,截至2012年5月全站用 户1100万,安卓系统应用程序下载量达8.59亿次。复旦大学研究团队检测了该商城最热门的40个应用程序,发现至少25个应用存在窃取用户隐私信息的 行为,据此推算,累计受影响的用户数估计上百万人。

  实际上,随着智能手机和平板电脑呈爆发式增长,用户遭受个人信息泄露的案例已不绝于耳。此前,国外著名安全公司Dasient发布报告称,超过8%的安卓应用程序在用户完全不知情的情况下,正在把用户个人数据传输到未经授权的电脑中。

  网民“羽之枫世界”称,此前就知道智能终端存在风险,“但不看不知道,一看吓一跳,实在太可怕,信息泄露了居然完全不知情”。网民“张方亮”以在91 安卓商城下载应用为例说,一个手电筒软件,居然要互联网访问权限,个人信息访问权限,短信权限,真是可怕。基于安卓的应用商城平台太多,太混乱,一般人在 安装时很少关注,这些平台也没有把关,用户自己得小心中招。网民“李堂刚”则认为免费和开放造成了安卓应用市场的混乱,“一大堆程序在后台运行,还会自动 连接互联网”。

  打开隐私泄露的“潘多拉魔盒” 移动应用处处有陷阱 

  当一个应用程序请求访问你的设备存储时,实际上它就可以修改或删除你的USB存储。当它询问访问你的账户,可能意味着对你的通讯录等信息“莫名被共 享”?如果它请求SMS特权,它就可以代表你使用文本付费服务。这些严重的用户信息泄露问题,往往不被用户所注意,大多数人都只知道点击“下载”并安装使 用这个应用。

  据介绍,安卓应用程序可以要求124种不同等级和类型的权限,借助权限就可能将数据盗窃,发送垃圾邮件和恶意软件。今年2月,加州大学伯克利分校一项 研究显示,33%的安卓应用程序的请求权限比实际需要获得了更多的权限,97%的受访者不能正确识别自己使用的应用程序权限。

  值得注意的是,被许多发烧友用户所喜爱的“ROOT”权限也成为恶意应用提供了通道。手机安全专家提醒,许多流氓推广木马多已实现判断手机是否具备ROOT权限,如果有,则不但可以做到应用的静默安装,还可以访问设备上的其他应用程序以及随意读写用户隐私数据。

  与苹果应用商店相比,业内人士和用户也将泄露风险归咎于谷歌应用商店缺乏管制。无论是谷歌自家的Google Play,还是国内主流的安卓市场、安 智市场、移动MM应用商城、机锋市场,都没有苹果漫长的审核程序,甚至有些应用商城为了快速提供尽可能多的应用吸引用户,完全不作任何筛选核查。

  王晓阳说,部分安卓应用商城的这种做法,确实能吸引用户和开发者,但这是以牺牲用户安全为代价的。由于各个应用商城的运营方缺乏有力的程序安全审查机制与检测手段,导致以获取用户隐私信息为目的的程序大量涌现。

  越来越多的人注意到,安卓系统的开放性让人“既爱又恨”。移动MM应用商城负责人告诉记者,一些窃取用户私隐信息的病毒确实利用了安卓系统的开放性, 将流行的应用恶意植入了病毒代码,在用户不知情、未授权,没有得到用户同意或未有意识的情况下发送了设备识别码(IMEI)、IMSI、手机号码、短信内 容、通讯录内容。

  复旦大学国家保密学院教育指导委员会主任张世永教授说,获得上述用户隐私信息后,便可以精确获悉用户所在的方位、社会关系网络、单位组织构成等,甚至可以侵入并远程控制用户的智能手机等移动设备,实现窃听、跟踪与监视等效果。

  移动互联网时代的信息安全: 标准不可少 用户要当心

  应用商城已成为用户获取应用的主要途径。据不完全统计,国内市场上安卓应用商城已有上百家,用户量较大的至少有七八家,到目前共有约30万款各类应用,且与苹果应用商店完全不同,国内安卓应用商城的应用几乎全部免费。

  针对国内安卓应用市场的混乱状况,杨珉建议,主管部门应制定相应的技术规范和标准,统一应用审查技术标准,防止恶意应用进驻应用商城传播,并对违规应用商城进行打击;对于恶意应用开发者和个人信息窃取者,应制定相应惩处法规,加大打击力度。

  政府有关部门也应提供相应的安全性审查检测工具和服务,要求应用商城承担平台管理和用户数据安全保障的连带责任,比如可要求应用商城对上架的所有应用程序进行强制的安全核查及进行开发者验证等。

  国家工信部已于2012年6月初发布《关于加强移动智能终端进网管理的通知》(征求意见稿)。政府主管部门已发现移动终端存在不少恶意攻击软件。然 而,《通知》并未对应用程序的开发者、安卓应用商城平台运营商进行监督和管理,对于隐私数据的收集与使用缺乏法律法规的界定和有效的检测手段。

  王晓阳说,政府相关机构可在制定上述标准的基础上,出台相应的法律法规与管理办法,明确告知开发者和运营商,能做什么和不能做什么,比如要求应用程序显示声明对用户隐私数据的收集行为,并要求收集者承担对这些数据的保护和不扩散的责任。  

  防止个人信息泄露,用户也要学会自我保护。移动MM应用商城负责人提醒用户,尽量选择安全可靠的应用商城,在下载应用时注意有关权限的提示,如果它的 权限请求不合理,那么尽量不要安装。比如,一个RSS阅读器应用却要求摄像头的访问权限,你就需要警惕。此外,在移动互联网时代,有必要给自己的移动终端 装上安全可靠的杀毒软件,以减少被恶意应用侵入的可能.
--------------------------------
智能手机遭窃密的风险大增

 伴随着移动互联网的快速发展,智能手机的功能越来越广泛,作用越来越大,承载的信息量也越来越多,而相关的安全防范体系却远远没有PC那样成熟,这就为恶 意软件窃取信息提供了可乘之机。有专业人士称,某种智能手机窃听软件至今已累计感染手机近100万部。这类窃听软件利用了手机的三方通话功能,在诱骗用户 安装后,每次启动时可在通话时插入一则波段,实际置于同一通话环境之中,从而在其中可以随意听取通话信息。而且,这种利用智能手机窃密的软件不是个别现 象,目前已经形成庞大的黑色产业。有法律人士认为,恶意软件收集、窃取用户信息的行为已经严重侵犯了公民的隐私权,亟须相关部门依法予以严厉打击。治理恶 意软件,首先要治理行业不规范的现状。对于品类繁多的应用商城,相关部门应加强监管,予以规范,应用商城经营者也应加强自律,严格审查各类软件。同时,对 于软件读取个人信息的行为,也应加强规范。与地理位置无关的软件,不可以捆绑读取位置信息的条件;与地理位置有关的软件,开启读取地理位置信息的服务需经 用户授权,用户具有不开启该服务的选择权;严厉打击不经用户授权,读取用户位置的行为。严格限制软件读取用户通讯录、通话记录、短信记录等私密信息;对于 不经用户同意,后台窃取用户通话录音、环境录音的违法行为,要依法严厉打击。