|
3.15晚会曝光安卓隐患 无良开发商成罪魁祸首
http://www.cww.net.cn 2013年3月25日 10:13
对安卓手机用户而言,你可能不会注意到安装视频客户端时,软件安装协议要求获取你的位置信息。在安装社交软件时,你可能会不假思索就同意它读取你的通信录、电话以及短信内容。但事实上,这些行为都可能带来安全风险,导致用户的隐私在互联网上“裸奔”。近日,3·15晚会曝光移动应用窃取隐私的消息,给每个用户敲响了警钟。
应用越权“访问”隐私 为更好地为用户提供服务,安卓应用程序调用手机本身的应用程序和功能是普遍现象。然而,一些开发者将其作为窃取用户隐私的借口。 “不同软件根据自身不同功能需要,都会获取一些‘信息’作为软件优化分析、用户分析的基础,如手机设备信息IMEI、国际移动用户识别码IMSI,也有一些软件功能会用到用户敏感隐私,包括手机号码、通信录、短信、位置等。”手机安全专家、奇虎360公司副总裁李涛在接受本报记者专访时表示,“规范的软件会说明需要哪些信息、用来做什么。但是一些恶意广告商、不规范的开发者会非法读取用户隐私。这些信息很可能成为信息买卖黑色产业链的信息来源。” 安卓应用是如何窃取用户隐私的?中国电子信息产业发展研究院信息安全研究所研究员冯伟认为:“安卓系统没有统一的系统升级机制,许多用户长期使用缺乏保护的有漏洞的系统。同时,安卓系统是特权分隔的系统,每个应用运行在独立的沙盒中,其权限需用户分别授予。用户在急于使用应用程序时通常不仔细阅读协议就同意授权。获得授权以后 ,应用程序就能为所欲为了。” “广告商将一些获取用户隐私的代码写入SDK(软件开发工具包),然后传播到市场,潜入各种软件中。用户下载安装软件后,隐私信息就通过联网方式回传到广告商的服务器内。”李涛介绍说,“还有一些开发者或软件厂商会直接将窃取用户隐私的代码写入软件,用户在使用过程中这些隐私信息将通过联网被回传到其服务器。” 这意味着,安卓手机用户一旦下载了应用程序,就等于将自己的隐私向开发者完全开放了!金山网络安全专家李铁军告诉记者:“一些游戏软件窃取的隐私很全面,而不仅是联系人和电话号码。这些软件像名片扫描工具一样,将用户信息扫描了一遍,数据库中所有信息都会被开发者获取,包括用户的邮箱信息、QQ和MSN等手机程序的信息,甚至用户喜欢哪种类别的应用程序等。” 冯伟认为,恶意软件窃取用户隐私的后果十分严重:“一是手机短信、存储卡内的身份证号码、银行账号等敏感信息,可能被直接用于侵犯用户隐私和财产;二是手机号码、通信录等信息,会导致手机用户频繁收到垃圾邮件、垃圾短信、各类广告通知、钓鱼欺诈攻击,有的还会连累亲朋好友被诈骗;三是手机用户的实时位置信息,可被用于跟踪用户行踪,将直接威胁用户人身安全。” 趋势科技近日发布的《中国地区2012年度安全威胁报告》显示,2012年中国区移动设备的病毒数同比大幅提升了34倍,从年初的1000个上升到了年末的35万个。而在2013年,这一数量将达到100万。 用户只能任宰割? 开发者窃取用户隐私犹如“探囊取物”,但用户还蒙在鼓里。这些窃取行为通常在后台自动运行,对于大部分没有技术背景的普通用户而言,很难了解到哪些应用程序在自己的手机上作怪。冯伟表示:“只有利用专业工具进行长时间的监测,才能判断移动应用是否非法窃取用户信息。” [1] [2]
来源:中国计算机报 作 者:高春燕编 辑:安华
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |