对安卓手机用户而言，你可能不会注意到安装视频客户端时，软件安装协议要求获取你的位置信息。在安装社交软件时，你可能会不假思索就同意它读取你的通信录、电话以及短信内容。但事实上，这些行为都可能带来安全风险，导致用户的隐私在互联网上“裸奔”。近日，3·15晚会曝光移动应用窃取隐私的消息，给每个用户敲响了警钟。

应用越权“访问”隐私

为更好地为用户提供服务，安卓应用程序调用手机本身的应用程序和功能是普遍现象。然而，一些开发者将其作为窃取用户隐私的借口。

“不同软件根据自身不同功能需要，都会获取一些‘信息’作为软件优化分析、用户分析的基础，如手机设备信息IMEI、国际移动用户识别码IMSI，也有一些软件功能会用到用户敏感隐私，包括手机号码、通信录、短信、位置等。”手机安全专家、奇虎360公司副总裁李涛在接受本报记者专访时表示，“规范的软件会说明需要哪些信息、用来做什么。但是一些恶意广告商、不规范的开发者会非法读取用户隐私。这些信息很可能成为信息买卖黑色产业链的信息来源。”

安卓应用是如何窃取用户隐私的?中国电子信息产业发展研究院信息安全研究所研究员冯伟认为：“安卓系统没有统一的系统升级机制，许多用户长期使用缺乏保护的有漏洞的系统。同时，安卓系统是特权分隔的系统，每个应用运行在独立的沙盒中，其权限需用户分别授予。用户在急于使用应用程序时通常不仔细阅读协议就同意授权。获得授权以后 ，应用程序就能为所欲为了。”

“广告商将一些获取用户隐私的代码写入SDK(软件开发工具包)，然后传播到市场，潜入各种软件中。用户下载安装软件后，隐私信息就通过联网方式回传到广告商的服务器内。”李涛介绍说，“还有一些开发者或软件厂商会直接将窃取用户隐私的代码写入软件，用户在使用过程中这些隐私信息将通过联网被回传到其服务器。”

这意味着，安卓手机用户一旦下载了应用程序，就等于将自己的隐私向开发者完全开放了!金山网络安全专家李铁军告诉记者：“一些游戏软件窃取的隐私很全面，而不仅是联系人和电话号码。这些软件像名片扫描工具一样，将用户信息扫描了一遍，数据库中所有信息都会被开发者获取，包括用户的邮箱信息、QQ和MSN等手机程序的信息，甚至用户喜欢哪种类别的应用程序等。”

冯伟认为，恶意软件窃取用户隐私的后果十分严重：“一是手机短信、存储卡内的身份证号码、银行账号等敏感信息，可能被直接用于侵犯用户隐私和财产;二是手机号码、通信录等信息，会导致手机用户频繁收到垃圾邮件、垃圾短信、各类广告通知、钓鱼欺诈攻击，有的还会连累亲朋好友被诈骗;三是手机用户的实时位置信息，可被用于跟踪用户行踪，将直接威胁用户人身安全。”

趋势科技近日发布的《中国地区2012年度安全威胁报告》显示，2012年中国区移动设备的病毒数同比大幅提升了34倍，从年初的1000个上升到了年末的35万个。而在2013年，这一数量将达到100万。

用户只能任宰割?

开发者窃取用户隐私犹如“探囊取物”，但用户还蒙在鼓里。这些窃取行为通常在后台自动运行，对于大部分没有技术背景的普通用户而言，很难了解到哪些应用程序在自己的手机上作怪。冯伟表示：“只有利用专业工具进行长时间的监测，才能判断移动应用是否非法窃取用户信息。”