一個備受爭議的晚會,央視“3.15晚會”,除了一些無厘頭的打假,還有沒有有價值的信息?其曝光了大部分移動應(yīng)用(APP)存在私自獲取手機(jī)用戶個人信息的行為究竟怎么回事?在這些隱私信息中,位置信息成第一獲取目標(biāo),聯(lián)系人、通話記錄、短信記錄這些敏感隱私信息讀取普遍。除此之外呢?隱私用來干嘛?這一系列也都形成了一個未知的環(huán)。
在“3.15”之前,DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心(以下簡稱“DCCI”)發(fā)布了《2013移動隱私安全評測報(bào)告》。報(bào)告顯示,高達(dá)66.9%的APP擁有獲取用戶隱私的權(quán)限,34.5%的APP涉嫌過度收集用戶隱私行為,即APP除了獲取本身功能需要的數(shù)據(jù)以外,還收集其本身不需要的其他數(shù)據(jù)。
實(shí)際上,據(jù)鈦媒體小編了解,APP不止收集用戶隱私,還亂扣手機(jī)話費(fèi)、植入惡意廣告,游離于法律的灰色空間,業(yè)已形成一條黑暗的隱形暴利鏈條。
黑色產(chǎn)業(yè)鏈:惡意軟件吸費(fèi)
在大量的APP軟件中,手機(jī)游戲和內(nèi)置廣告插件等惡意軟件,存在吸費(fèi)、吃流量、偷發(fā)短信現(xiàn)象最嚴(yán)重。
據(jù)一位知情人士向鈦媒體透露,像吸費(fèi)這種現(xiàn)象在地級市以下的地方更嚴(yán)重,尤其是那種千元智能機(jī)或更便宜的山寨智能機(jī)被安裝了大量吸費(fèi)的手機(jī)游戲,都是盜版和仿冒下載量較高的游戲,比如在山寨版的《憤怒的小鳥》、《神廟》等游戲中內(nèi)置扣費(fèi)插件,用戶下載后插件就會暗中扣費(fèi)。
一般都是游戲前10關(guān)不要錢,到了10關(guān)以后就開始扣費(fèi)了;或者幫用戶訂制增值業(yè)務(wù)短信?!?B>不經(jīng)過你的同意,它就會神不知鬼不覺的扣掉你的錢,唰唰唰幾十塊錢很快就沒了。”
還有就是內(nèi)置廣告插件吸費(fèi)。該知情人士認(rèn)識的一個朋友,2011年在深圳給手機(jī)刷機(jī),每天大概能出到15萬臺,每臺手機(jī)里刷20個應(yīng)用里就有一半在推廣告。“那些APP開發(fā)者主動找到他,給他錢讓他幫忙在APP里內(nèi)置廣告插件,這個手機(jī)一刷完全是數(shù)據(jù)廣告,等于說就變成了一個肉雞?!?/P>
當(dāng)用戶在使用這些應(yīng)用時,內(nèi)置廣告就會通過聯(lián)網(wǎng)下載和刷新,悶聲不響“吃流量”,什么都沒干,流量就沒了。“這是整個產(chǎn)業(yè)鏈條比較黑暗的一條,但這也是很多做APP的被逼無奈,因?yàn)橐窟@個賺錢的?!?/P>
除了上述扣手機(jī)費(fèi)、吃流量的現(xiàn)象,還有偷發(fā)手機(jī)短信的。
很多惡意軟件,它會通過你的手機(jī)給你通訊錄里的聯(lián)系人發(fā)垃圾信息。它非常智能,會查看你手機(jī)套餐里發(fā)了多少條短信,還剩多少條沒用完。查看完以后,它只發(fā)你手機(jī)里剩下的這些短信,不會額外扣你的話費(fèi),這個你一般也不會察覺。
“它會檢測到你的手機(jī)是不是鎖屏。如果你的手機(jī)是鎖屏,說明你沒有在用手機(jī),它會趁機(jī)把短信發(fā)出去,發(fā)完之后還會刪除,這個你完全看不出來,完全可以做到用戶不知情。”上述知情人士說。
在LBE安全大師COO高偌薇看來,更可怕的事情還在后頭呢,有些惡意軟件在用戶發(fā)現(xiàn)之后還能卸載掉,有些變種的惡意軟件,即便卸載也未必能完成清除,還會繼續(xù)在后臺“為非作歹”。
如復(fù)旦大學(xué)計(jì)算機(jī)系統(tǒng)與安全專家楊珉在接受《新民晚報(bào)》采訪時分析的那樣,許多用戶下載的熱門應(yīng)用軟件,其實(shí)已經(jīng)被動過手腳了,軟件里被重新打包了一些惡意代碼。
“這種代碼可以讓手機(jī)在用戶未授權(quán)的情況下,通過發(fā)短信或者鏈接指定的扣費(fèi)網(wǎng)站,為機(jī)主訂購不同類型的手機(jī)業(yè)務(wù)。它最厲害的地方在于,可以屏蔽掉扣費(fèi)業(yè)務(wù)發(fā)送給用戶的扣費(fèi)確認(rèn)短信?!?/P>
正常的業(yè)務(wù)模式中,手機(jī)短信正??圪M(fèi)需要經(jīng)過“詢問是否訂購業(yè)務(wù)、服務(wù)器反饋、最終確認(rèn)扣費(fèi)”這三個步驟,但在上述惡意APP上,用戶一個也步驟也收不到,即便遭受了經(jīng)濟(jì)損失也還會完全蒙在鼓里。
灰色地帶:APP“越軌”抓取用戶信息
事實(shí)上,在惡意軟件吸費(fèi)、吃流量和偷發(fā)短信的同時,還有許多用戶自認(rèn)為“安全”的APP也在悄悄地抓取用戶個人信息。
《2013移動隱私安全評測報(bào)告》顯示,通過對中國各類安卓市場下載量前1400位的應(yīng)用進(jìn)行了相關(guān)調(diào)查,高達(dá)66.9%的APP擁有獲取用戶隱私的權(quán)限,34.5%的APP涉嫌過度收集用戶隱私行為,即APP除了獲取本身功能需要的數(shù)據(jù)以外,還收集超出本身功能之外的其他信息。
在這些隱私信息中,位置信息成第一獲取目標(biāo),聯(lián)系人、通話記錄、短信記錄這些敏感隱私信息讀取普遍。
在DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心創(chuàng)始人胡延平看來,有些APP獲取用戶信息是為了應(yīng)用本身功能所需,可以理解;但有些APP除了獲取本身功能需要的信息以外,還會獲取更多其它信息,這是難以理解的?!熬秃帽纫豢钆恼哲浖?,本來是用來拍照的,但它還要去讀取你的位置信息、通話記錄;一款鬧鐘軟件會去讀取你的短信記錄、聯(lián)系人?!?/P>
這在安全廠商看來,手機(jī)軟件到底有沒有“越軌”竊取用戶過多信息很難辨別清楚,這被安全廠商稱為“灰色地帶”。比如讀取位置信息和通信記錄的拍照軟件,很可能是要在拍照完之后分享給其他人;讀取短信記錄的鬧鐘,它可能未來要增加更多短信相關(guān)的功能。為了推動整個產(chǎn)業(yè)的發(fā)展,只要開發(fā)者給出合理的理由,就無法拒絕他調(diào)取用戶權(quán)限。
就算是用戶為防止個人信息泄露,要卸載這些軟件或者禁止這些軟件使用自己的這些隱私權(quán)限時,仍然沒有辦法,因?yàn)榇蟛糠质謾C(jī)只有經(jīng)過ROOT之后才被允許。(ROOT就好像是手機(jī)系統(tǒng)中唯一的萬能用戶,擁有系統(tǒng)中所有的權(quán)限,如啟動或停止一個進(jìn)程,刪除或增加用戶,增加或者禁用硬件等等。)這也正是安全廠商的為難之處,受ROOT權(quán)限限制只能提醒用戶哪些權(quán)限遭到濫用,而不能前去禁止。
即使在ROOT之后用戶可以限制軟件使用某些權(quán)限,但這又會帶來新的安全隱患,“惡意插件”攻擊的對象往往面向的是ROOT之后的安卓手機(jī)用戶群。只要聯(lián)網(wǎng),APP在網(wǎng)絡(luò)數(shù)據(jù)交互的過程中就可以得到任何提交過來的用戶信息,包括用戶通訊錄、信息、郵件、賬號等所有隱私信息。
對此,安全廠商建議用戶不開啟ROOT權(quán)限。在高偌薇看來,如果手機(jī)被ROOT,或者沒有安裝安全殺毒軟件,而用戶想要禁止手機(jī)軟件抓取個人信息,幾乎沒有解決方案。
隱形利益鏈:移動廣告公司是黑手?
盡管開發(fā)者為調(diào)取用戶隱私權(quán)限想盡各種理由,但很難有說服力。在高偌薇看來,近40% 的APP涉及濫用權(quán)限的問題,不能單憑開發(fā)者的解釋就能為自己洗脫罪名。如何來鑒別這些應(yīng)用訪問了一些過度的權(quán)限,這涉及到對整個大數(shù)據(jù)的分析。
據(jù)高偌薇所在的LBE安全大師公司分析,確實(shí)有相當(dāng)一部分APP被冤枉了。據(jù)他們的備案顯示,濫用權(quán)限其實(shí)不是開發(fā)者自身直接造成的,而是他們?yōu)E用第三方廣告插件造成的。
在她看來,收集用戶隱私信息的主要黑手為移動廣告公司。為了賺取應(yīng)用內(nèi)置的廣告費(fèi)用,APP開發(fā)商會與移動廣告平臺簽署協(xié)議,在應(yīng)用中內(nèi)置廣告代碼,真正作惡的正是這些代碼,有廣告商利用應(yīng)用安裝時獲得的權(quán)限,大量讀取用戶信息,并上傳至自己的服務(wù)器。
“可能很多APP一開始并沒有涉及到地理定位這個權(quán)限,但可能在加了一批我們現(xiàn)在能檢測到的,最起碼國內(nèi)四五十家的廣告SDK,這么多SDK重合到一起最終導(dǎo)致這個APP過多地訪問了用戶的定位權(quán)限、通信記錄權(quán)限或者說聯(lián)系人的權(quán)限?!彼f,“所以在我們看來濫用權(quán)限是由這些SDK強(qiáng)加給APP莫須有的罪名?!?/P>
但事實(shí)上,APP和廣告商是不可分割的一體,雙方相互依存,不能說是誰背負(fù)了誰的罪名。
在安卓應(yīng)用中,除了一些手機(jī)游戲公司賺到錢外,單純的功能型APP賺錢的很少,其生存模式就是靠各種形式的廣告——彈窗、垃圾短信、推薦安裝軟件找推廣方結(jié)算推廣費(fèi)等;而廣告商依靠安卓應(yīng)用抓取用戶信息,將用戶的聯(lián)系人、短信、通話記錄等進(jìn)行綜合分析,作出判斷,從而進(jìn)行精準(zhǔn)的廣告投遞,并以此謀利。
谷歌安卓的開源和免費(fèi)給一些投機(jī)分子提供了可乘之機(jī)。
智能手機(jī)中安卓為何成為吸費(fèi)和泄露個人隱私的重災(zāi)區(qū)?中國紅麥軟件總裁劉興亮此前發(fā)文稱主要有以下三點(diǎn)。
首先,都是“開放”惹的禍。蘋果是封閉的,所以蘋果出現(xiàn)“吸費(fèi)門”和泄露個人隱私的概率就會小很多。谷歌推出安卓平臺之初,就賦予其完全開放的特性,這一方面降低了手機(jī)廠商的使用門檻,也便于更多的應(yīng)用開發(fā)者加入這一陣營之中。然而,開放性與安全性之間本來就是矛盾的,安卓平臺并沒有Symbian平臺一樣的第三方簽名認(rèn)證機(jī)制;應(yīng)用商城過多,缺少對上架應(yīng)用程序進(jìn)行安全審查的機(jī)制與工具。因此,在應(yīng)用中置入后門程序也變得更加容易。
其次,谷歌當(dāng)初開發(fā)手機(jī)操作系統(tǒng)的時候,并沒有考慮到中國市場,對系統(tǒng)的短信和網(wǎng)絡(luò)控制能力很薄弱,一般的程序都能調(diào)用。谷歌實(shí)在想不到中國的SP增值業(yè)務(wù)會這么猖獗,并導(dǎo)致安卓在中國被惡意程序扣費(fèi)和泄露個人隱私這么嚴(yán)重。
再次,安卓系統(tǒng)面世的時間較短、版本也十分混亂,這也使得其軟件底層的漏洞較多,為黑客植入病毒和惡意程序提供了空間,被不法分子盯上。目前,網(wǎng)絡(luò)上大量熱門的安卓第三方應(yīng)用商店也多為個人打造,存在較多的安全隱患,并且缺乏有效的監(jiān)管、審核機(jī)制。這也吸引了一些小軟件開發(fā)商的進(jìn)入,他們會選擇在受歡迎的應(yīng)用中加入惡意代碼。好在,谷歌目前已意識到這一點(diǎn),在最新的版本中做了改進(jìn)。
解決之道:如何杜絕吸費(fèi)和隱私泄露
如何才能杜絕吸費(fèi)和用戶隱私泄露事件再次發(fā)生呢?
一是要強(qiáng)化標(biāo)準(zhǔn)和監(jiān)管。這方面,楊珉給出了三點(diǎn)建議:
首先,要有移動終端隱私數(shù)據(jù)分級、應(yīng)用程序收集和使用隱私數(shù)據(jù)應(yīng)有標(biāo)準(zhǔn);二要有相應(yīng)的技術(shù)檢測手段,智能APP程序發(fā)布、審核等方面應(yīng)有國家安全技術(shù)標(biāo)準(zhǔn)和測評機(jī)制;三要有追懲機(jī)制,制定相應(yīng)的法律法規(guī)與管理辦法,明確告知開發(fā)者和運(yùn)營商,能做什么和不能做什么,比如要求應(yīng)用程序顯示聲明對用戶隱私數(shù)據(jù)的收集行為,并要求收集者承擔(dān)對這些數(shù)據(jù)的保護(hù)和不擴(kuò)散的責(zé)任。
去年年底,工信部已決定建立評估體系,對智能APP程序、內(nèi)置軟件進(jìn)行評估和抽查,將第三方平臺納入管理,逐步完善備案、審核、監(jiān)督、抽查等管理環(huán)節(jié),督促服務(wù)提供商和內(nèi)容提供商加大自我清查,整治惡意APP暗扣費(fèi)等現(xiàn)象。
二是要加強(qiáng)行業(yè)自律。
作為既得利益者,運(yùn)營商必須把好關(guān),這是堵住非法“吸費(fèi)”和用戶隱私泄露最直接、最有效的途徑。運(yùn)營商可以切斷利益鏈條中核心的利益一環(huán),針對安卓平臺的特點(diǎn),采取針對性的打擊措施,切斷吸費(fèi)公司的收入來源,讓依靠垃圾廣告獲利的方式無利可圖。
各個APP開發(fā)企業(yè)也要強(qiáng)調(diào)自律,不賺黑心錢。用戶并非專業(yè)科技人士,往往并不清楚各種APP的使用說明,也很難發(fā)現(xiàn)其中隱藏的吸費(fèi)或竊取隱私的陷阱。
三是要培養(yǎng)公眾的危機(jī)意識,避免上當(dāng)。
在上述建議無法立刻起作用之前,安卓官方以及媒體應(yīng)該對用戶進(jìn)行教育,避免上當(dāng)事件發(fā)生。
對此,劉興亮認(rèn)為,用戶也要加強(qiáng)隱私保護(hù)意識。對于一個安卓用戶來說,最簡單最安全的辦法就是到谷歌官方的應(yīng)用程序商店下載軟件,官方的有審核,扣費(fèi)程序難以通過,是最安全的。除了谷歌官方應(yīng)用商店,其他的也必須要選擇正規(guī)的渠道下載應(yīng)用,如到運(yùn)營商、知名手機(jī)品牌以及第三方的應(yīng)用商店等。用戶切勿輕信“破解版”、“完美修正版”等經(jīng)過二次打包的手機(jī)軟件、手機(jī)游戲、歌曲、音樂、電子書等,謹(jǐn)防其中埋藏手機(jī)病毒。
如果非法“吸費(fèi)”和用戶隱私泄露的問題不能解決,安卓平臺顯然將遭遇危機(jī)。在胡延平看來,谷歌現(xiàn)已認(rèn)識到問題的嚴(yán)重性,諸多動作表明其正在收緊安卓平臺。如果谷歌像蘋果那樣形成一個封閉的生態(tài)系統(tǒng),建立自己的應(yīng)用商店,那么谷歌將親自上陣審核APP,到時第三方安全廠商和應(yīng)用商店恐難以再繼續(xù)“陪玩”下去。