一個備受爭議的晚會,央視“3.15晚會”,除了一些無厘頭的打假,還有沒有有價值的信息?其曝光了大部分移動應用(APP)存在私自獲取手機用戶個人信息的行為究竟怎么回事?在這些隱私信息中,位置信息成第一獲取目標,聯系人、通話記錄、短信記錄這些敏感隱私信息讀取普遍。除此之外呢?隱私用來干嘛?這一系列也都形成了一個未知的環。
在“3.15”之前,DCCI互聯網數據中心(以下簡稱“DCCI”)發布了《2013移動隱私安全評測報告》。報告顯示,高達66.9%的APP擁有獲取用戶隱私的權限,34.5%的APP涉嫌過度收集用戶隱私行為,即APP除了獲取本身功能需要的數據以外,還收集其本身不需要的其他數據。
實際上,據鈦媒體小編了解,APP不止收集用戶隱私,還亂扣手機話費、植入惡意廣告,游離于法律的灰色空間,業已形成一條黑暗的隱形暴利鏈條。
黑色產業鏈:惡意軟件吸費
在大量的APP軟件中,手機游戲和內置廣告插件等惡意軟件,存在吸費、吃流量、偷發短信現象最嚴重。
據一位知情人士向鈦媒體透露,像吸費這種現象在地級市以下的地方更嚴重,尤其是那種千元智能機或更便宜的山寨智能機被安裝了大量吸費的手機游戲,都是盜版和仿冒下載量較高的游戲,比如在山寨版的《憤怒的小鳥》、《神廟》等游戲中內置扣費插件,用戶下載后插件就會暗中扣費。
一般都是游戲前10關不要錢,到了10關以后就開始扣費了;或者幫用戶訂制增值業務短信。“不經過你的同意,它就會神不知鬼不覺的扣掉你的錢,唰唰唰幾十塊錢很快就沒了。”
還有就是內置廣告插件吸費。該知情人士認識的一個朋友,2011年在深圳給手機刷機,每天大概能出到15萬臺,每臺手機里刷20個應用里就有一半在推廣告。“那些APP開發者主動找到他,給他錢讓他幫忙在APP里內置廣告插件,這個手機一刷完全是數據廣告,等于說就變成了一個肉雞。”
當用戶在使用這些應用時,內置廣告就會通過聯網下載和刷新,悶聲不響“吃流量”,什么都沒干,流量就沒了。“這是整個產業鏈條比較黑暗的一條,但這也是很多做APP的被逼無奈,因為要靠這個賺錢的。”
除了上述扣手機費、吃流量的現象,還有偷發手機短信的。
很多惡意軟件,它會通過你的手機給你通訊錄里的聯系人發垃圾信息。它非常智能,會查看你手機套餐里發了多少條短信,還剩多少條沒用完。查看完以后,它只發你手機里剩下的這些短信,不會額外扣你的話費,這個你一般也不會察覺。
“它會檢測到你的手機是不是鎖屏。如果你的手機是鎖屏,說明你沒有在用手機,它會趁機把短信發出去,發完之后還會刪除,這個你完全看不出來,完全可以做到用戶不知情。”上述知情人士說。
在LBE安全大師COO高偌薇看來,更可怕的事情還在后頭呢,有些惡意軟件在用戶發現之后還能卸載掉,有些變種的惡意軟件,即便卸載也未必能完成清除,還會繼續在后臺“為非作歹”。
如復旦大學計算機系統與安全專家楊珉在接受《新民晚報》采訪時分析的那樣,許多用戶下載的熱門應用軟件,其實已經被動過手腳了,軟件里被重新打包了一些惡意代碼。
“這種代碼可以讓手機在用戶未授權的情況下,通過發短信或者鏈接指定的扣費網站,為機主訂購不同類型的手機業務。它最厲害的地方在于,可以屏蔽掉扣費業務發送給用戶的扣費確認短信。”
正常的業務模式中,手機短信正常扣費需要經過“詢問是否訂購業務、服務器反饋、最終確認扣費”這三個步驟,但在上述惡意APP上,用戶一個也步驟也收不到,即便遭受了經濟損失也還會完全蒙在鼓里。
灰色地帶:APP“越軌”抓取用戶信息
事實上,在惡意軟件吸費、吃流量和偷發短信的同時,還有許多用戶自認為“安全”的APP也在悄悄地抓取用戶個人信息。
《2013移動隱私安全評測報告》顯示,通過對中國各類安卓市場下載量前1400位的應用進行了相關調查,高達66.9%的APP擁有獲取用戶隱私的權限,34.5%的APP涉嫌過度收集用戶隱私行為,即APP除了獲取本身功能需要的數據以外,還收集超出本身功能之外的其他信息。
在這些隱私信息中,位置信息成第一獲取目標,聯系人、通話記錄、短信記錄這些敏感隱私信息讀取普遍。
在DCCI互聯網數據中心創始人胡延平看來,有些APP獲取用戶信息是為了應用本身功能所需,可以理解;但有些APP除了獲取本身功能需要的信息以外,還會獲取更多其它信息,這是難以理解的。“就好比一款拍照軟件,本來是用來拍照的,但它還要去讀取你的位置信息、通話記錄;一款鬧鐘軟件會去讀取你的短信記錄、聯系人。”
這在安全廠商看來,手機軟件到底有沒有“越軌”竊取用戶過多信息很難辨別清楚,這被安全廠商稱為“灰色地帶”。比如讀取位置信息和通信記錄的拍照軟件,很可能是要在拍照完之后分享給其他人;讀取短信記錄的鬧鐘,它可能未來要增加更多短信相關的功能。為了推動整個產業的發展,只要開發者給出合理的理由,就無法拒絕他調取用戶權限。
就算是用戶為防止個人信息泄露,要卸載這些軟件或者禁止這些軟件使用自己的這些隱私權限時,仍然沒有辦法,因為大部分手機只有經過ROOT之后才被允許。(ROOT就好像是手機系統中唯一的萬能用戶,擁有系統中所有的權限,如啟動或停止一個進程,刪除或增加用戶,增加或者禁用硬件等等。)這也正是安全廠商的為難之處,受ROOT權限限制只能提醒用戶哪些權限遭到濫用,而不能前去禁止。
即使在ROOT之后用戶可以限制軟件使用某些權限,但這又會帶來新的安全隱患,“惡意插件”攻擊的對象往往面向的是ROOT之后的安卓手機用戶群。只要聯網,APP在網絡數據交互的過程中就可以得到任何提交過來的用戶信息,包括用戶通訊錄、信息、郵件、賬號等所有隱私信息。
對此,安全廠商建議用戶不開啟ROOT權限。在高偌薇看來,如果手機被ROOT,或者沒有安裝安全殺毒軟件,而用戶想要禁止手機軟件抓取個人信息,幾乎沒有解決方案。
隱形利益鏈:移動廣告公司是黑手?
盡管開發者為調取用戶隱私權限想盡各種理由,但很難有說服力。在高偌薇看來,近40% 的APP涉及濫用權限的問題,不能單憑開發者的解釋就能為自己洗脫罪名。如何來鑒別這些應用訪問了一些過度的權限,這涉及到對整個大數據的分析。
據高偌薇所在的LBE安全大師公司分析,確實有相當一部分APP被冤枉了。據他們的備案顯示,濫用權限其實不是開發者自身直接造成的,而是他們濫用第三方廣告插件造成的。
在她看來,收集用戶隱私信息的主要黑手為移動廣告公司。為了賺取應用內置的廣告費用,APP開發商會與移動廣告平臺簽署協議,在應用中內置廣告代碼,真正作惡的正是這些代碼,有廣告商利用應用安裝時獲得的權限,大量讀取用戶信息,并上傳至自己的服務器。
“可能很多APP一開始并沒有涉及到地理定位這個權限,但可能在加了一批我們現在能檢測到的,最起碼國內四五十家的廣告SDK,這么多SDK重合到一起最終導致這個APP過多地訪問了用戶的定位權限、通信記錄權限或者說聯系人的權限。”她說,“所以在我們看來濫用權限是由這些SDK強加給APP莫須有的罪名。”
但事實上,APP和廣告商是不可分割的一體,雙方相互依存,不能說是誰背負了誰的罪名。
在安卓應用中,除了一些手機游戲公司賺到錢外,單純的功能型APP賺錢的很少,其生存模式就是靠各種形式的廣告——彈窗、垃圾短信、推薦安裝軟件找推廣方結算推廣費等;而廣告商依靠安卓應用抓取用戶信息,將用戶的聯系人、短信、通話記錄等進行綜合分析,作出判斷,從而進行精準的廣告投遞,并以此謀利。
谷歌安卓的開源和免費給一些投機分子提供了可乘之機。
智能手機中安卓為何成為吸費和泄露個人隱私的重災區?中國紅麥軟件總裁劉興亮此前發文稱主要有以下三點。
首先,都是“開放”惹的禍。蘋果是封閉的,所以蘋果出現“吸費門”和泄露個人隱私的概率就會小很多。谷歌推出安卓平臺之初,就賦予其完全開放的特性,這一方面降低了手機廠商的使用門檻,也便于更多的應用開發者加入這一陣營之中。然而,開放性與安全性之間本來就是矛盾的,安卓平臺并沒有Symbian平臺一樣的第三方簽名認證機制;應用商城過多,缺少對上架應用程序進行安全審查的機制與工具。因此,在應用中置入后門程序也變得更加容易。
其次,谷歌當初開發手機操作系統的時候,并沒有考慮到中國市場,對系統的短信和網絡控制能力很薄弱,一般的程序都能調用。谷歌實在想不到中國的SP增值業務會這么猖獗,并導致安卓在中國被惡意程序扣費和泄露個人隱私這么嚴重。
再次,安卓系統面世的時間較短、版本也十分混亂,這也使得其軟件底層的漏洞較多,為黑客植入病毒和惡意程序提供了空間,被不法分子盯上。目前,網絡上大量熱門的安卓第三方應用商店也多為個人打造,存在較多的安全隱患,并且缺乏有效的監管、審核機制。這也吸引了一些小軟件開發商的進入,他們會選擇在受歡迎的應用中加入惡意代碼。好在,谷歌目前已意識到這一點,在最新的版本中做了改進。
解決之道:如何杜絕吸費和隱私泄露
如何才能杜絕吸費和用戶隱私泄露事件再次發生呢?
一是要強化標準和監管。這方面,楊珉給出了三點建議:
首先,要有移動終端隱私數據分級、應用程序收集和使用隱私數據應有標準;二要有相應的技術檢測手段,智能APP程序發布、審核等方面應有國家安全技術標準和測評機制;三要有追懲機制,制定相應的法律法規與管理辦法,明確告知開發者和運營商,能做什么和不能做什么,比如要求應用程序顯示聲明對用戶隱私數據的收集行為,并要求收集者承擔對這些數據的保護和不擴散的責任。
去年年底,工信部已決定建立評估體系,對智能APP程序、內置軟件進行評估和抽查,將第三方平臺納入管理,逐步完善備案、審核、監督、抽查等管理環節,督促服務提供商和內容提供商加大自我清查,整治惡意APP暗扣費等現象。
二是要加強行業自律。
作為既得利益者,運營商必須把好關,這是堵住非法“吸費”和用戶隱私泄露最直接、最有效的途徑。運營商可以切斷利益鏈條中核心的利益一環,針對安卓平臺的特點,采取針對性的打擊措施,切斷吸費公司的收入來源,讓依靠垃圾廣告獲利的方式無利可圖。
各個APP開發企業也要強調自律,不賺黑心錢。用戶并非專業科技人士,往往并不清楚各種APP的使用說明,也很難發現其中隱藏的吸費或竊取隱私的陷阱。
三是要培養公眾的危機意識,避免上當。
在上述建議無法立刻起作用之前,安卓官方以及媒體應該對用戶進行教育,避免上當事件發生。
對此,劉興亮認為,用戶也要加強隱私保護意識。對于一個安卓用戶來說,最簡單最安全的辦法就是到谷歌官方的應用程序商店下載軟件,官方的有審核,扣費程序難以通過,是最安全的。除了谷歌官方應用商店,其他的也必須要選擇正規的渠道下載應用,如到運營商、知名手機品牌以及第三方的應用商店等。用戶切勿輕信“破解版”、“完美修正版”等經過二次打包的手機軟件、手機游戲、歌曲、音樂、電子書等,謹防其中埋藏手機病毒。
如果非法“吸費”和用戶隱私泄露的問題不能解決,安卓平臺顯然將遭遇危機。在胡延平看來,谷歌現已認識到問題的嚴重性,諸多動作表明其正在收緊安卓平臺。如果谷歌像蘋果那樣形成一個封閉的生態系統,建立自己的應用商店,那么谷歌將親自上陣審核APP,到時第三方安全廠商和應用商店恐難以再繼續“陪玩”下去。
