仅仅只是一个游戏,为何“愤怒的小鸟”要求收发短消息,“水果忍者”需要用户的电话号码?仅仅只是一个服务型的应用软件,为何“航班管家”读取了你的通讯录,“公信卫士”会用短消息将手机号码发回客服?你有没有想过,这些智能手机上异常的软件行为可能使你的个人隐私遭到泄露。
日前,我国“千人计划”专家、复旦大学计算机学院院长王晓阳教授,系统安全研究专家杨珉博士发布了一项“使用安卓程序的智能手机用户隐私泄露情况”的报告,报告选取了7个国内安卓应用商城的330项热门手机应用程序进行调查,发现手机用户的总体信息泄露率将近6成。王晓阳还指出,使用其他平台的智能手机,也在不同程度上存在个人隐私泄露的隐忧。
被泄露的信息包括国际移动设备身份码、国际移动用户识别码、集成电路卡识别码、通讯录、手机号码、用户位置和用户短信
“授权请求”是泄露源头
使用智能手机时,很多人都习惯于到应用商城去下载各种好玩或实用的游戏或应用软件。但下载软件时那一堆拗口专业的“授权请求”,很多人不会留意或者干脆直接忽略。
比如,在安装“愤怒的小鸟”时,授权请求中就有一项:收发短消息。“水果忍者”要求得到用户的电话号码,“航班管家”需要读取你的通讯录,“公信卫士”则要求用短消息将手机号发回给客服。
这类超出正常需要的授权请求,其实都可能为用户的隐私泄露埋下伏笔。王晓阳表示,这些授权请求,使得个人的手机信息、身份信息、地理位置信息、邮件、诸多账号信息等被软件轻易复制和传送,但大多数用户对此一无所知,“比如你授权给一个软件自行收发短消息,那么你的手机就可能在不知不觉中发出一些高收费的短信,而且这些短信完全可以做到对用户隐蔽,你手机里根本查不到”。
一项由美国加州大学伯克利分校针对谷歌官方软件市场的调查结果显示,超过33%的软件要求的授权超过实际需要。国内的情况更不容乐观,王晓阳团队曾对国内100款热门软件进行分析,其中80余款过度要求授权。
手机上网流量暴增是信息泄露信号之一
实验报告还显示,用户个人信息泄露的三大目的地分为开发者(65%的信息泄露到此)、广告商(38%的信息泄露到此)和第三方(23%的信息泄露到此)。有些信息被泄露给多方。
实验中还发现,部分程序并非由原开发者提交给商城,而是由第三方的开发者对原始程序进行了再次封装,并嵌入了其它代码,比如“愤怒的小鸟”的短消息收发授权请求,就是经过了二次封装的结果。
实验结果揭示,隐私泄露行为影响的人群非常广泛。根据某应用商城公布的数据显示,截至5月,其全站共有用户1100万,安卓系统应用程序下载量达8.59亿次。“我们在检测该商城最热门的40个应用程序中发现,至少有25个程序存在窃取用户隐私信息的行为,以此推算,累计影响的用户数在92万人以上。”王晓阳指出,这40个程序多数是由知名企业开发,企业的自律与规范性已相对较好,“而国内安卓市场中更多的应用程序则由中小企业或个人开发者提供,受经济利益等因素的驱使,他们更热衷于恶意收集用户的隐私数据”。
王晓阳团队研究还发现,除了使用安卓系统的智能手机和移动平台,使用iOS的智能手机比如iPhone以及使用Symbian的智能手机如诺基亚,其他多数智能手机都存在不同程度的软件信息泄露隐忧,“有的iPhone使用者会突然发现手机上网流量暴增几百元,这就有可能是那些恶意软件在后台悄悄联网导致的”。
[专家建议]
普通用户避免安装不健康软件有条件者工作娱乐手机各备一个
王晓阳团队建议,在下载安装应用程序时,应提高警惕,尽量选择可靠的来源,比如选择知名度高、负责任的应用商城或者相应程序的官方网站等;在下载和安装程序时,可以参考用户评价和评分信息,不要轻易点击短信、email、社交网站中有风险的链接,尤其应该尽量避免安装一些不健康软件,因为大量恶意软件往往都通过类似的伪装吸引用户下载。
在安装程序时,用户应树立起风险意识,严格控制系统权限的授予,尽量避免将访问个人隐私数据的权限和访问网络的权限同时授予给可疑程序。对于如账号、口令、卡号、身份信息等,尽量避免明文存储于手机,或通过短消息方式等随意发送。王晓阳还建议,有条件的用户,可根据实际需求,将工作与个人通信用途的手机和日常上网娱乐的手机分开,对数据进行物理隔绝,从而最大程度的保护自身的隐私数据。
此外,相关部门应尽快确定移动终端隐私数据分级、应用程序收集和使用隐私数据的规范、应用程序开发者认定、安卓系统的安全机制和应用商城发布应用程序的审核等方面的国家安全技术标准,建立应用程序的安全性检测与测评机制,加强对应用商城运营商与程序开发商的监督管理。