首页 >> 通信新闻 >> 互联网 >> 正文
 
3.15晚会曝光安卓隐患 无良开发商成罪魁祸首
http://www.cww.net.cn   2013年3月25日 10:13    

对安卓手机用户而言,你可能不会注意到安装视频客户端时,软件安装协议要求获取你的位置信息。在安装社交软件时,你可能会不假思索就同意它读取你的通信录、电话以及短信内容。但事实上,这些行为都可能带来安全风险,导致用户的隐私在互联网上“裸奔”。近日,3·15晚会曝光移动应用窃取隐私的消息,给每个用户敲响了警钟。

 

应用越权“访问”隐私

为更好地为用户提供服务,安卓应用程序调用手机本身的应用程序和功能是普遍现象。然而,一些开发者将其作为窃取用户隐私的借口。

“不同软件根据自身不同功能需要,都会获取一些‘信息’作为软件优化分析、用户分析的基础,如手机设备信息IMEI、国际移动用户识别码IMSI,也有一些软件功能会用到用户敏感隐私,包括手机号码、通信录、短信、位置等。”手机安全专家、奇虎360公司副总裁李涛在接受本报记者专访时表示,“规范的软件会说明需要哪些信息、用来做什么。但是一些恶意广告商、不规范的开发者会非法读取用户隐私。这些信息很可能成为信息买卖黑色产业链的信息来源。”

安卓应用是如何窃取用户隐私的?中国电子信息产业发展研究院信息安全研究所研究员冯伟认为:“安卓系统没有统一的系统升级机制,许多用户长期使用缺乏保护的有漏洞的系统。同时,安卓系统是特权分隔的系统,每个应用运行在独立的沙盒中,其权限需用户分别授予。用户在急于使用应用程序时通常不仔细阅读协议就同意授权。获得授权以后 ,应用程序就能为所欲为了。”

“广告商将一些获取用户隐私的代码写入SDK(软件开发工具包),然后传播到市场,潜入各种软件中。用户下载安装软件后,隐私信息就通过联网方式回传到广告商的服务器内。”李涛介绍说,“还有一些开发者或软件厂商会直接将窃取用户隐私的代码写入软件,用户在使用过程中这些隐私信息将通过联网被回传到其服务器。”

这意味着,安卓手机用户一旦下载了应用程序,就等于将自己的隐私向开发者完全开放了!金山网络安全专家李铁军告诉记者:“一些游戏软件窃取的隐私很全面,而不仅是联系人和电话号码。这些软件像名片扫描工具一样,将用户信息扫描了一遍,数据库中所有信息都会被开发者获取,包括用户的邮箱信息、QQ和MSN等手机程序的信息,甚至用户喜欢哪种类别的应用程序等。”

冯伟认为,恶意软件窃取用户隐私的后果十分严重:“一是手机短信、存储卡内的身份证号码、银行账号等敏感信息,可能被直接用于侵犯用户隐私和财产;二是手机号码、通信录等信息,会导致手机用户频繁收到垃圾邮件、垃圾短信、各类广告通知、钓鱼欺诈攻击,有的还会连累亲朋好友被诈骗;三是手机用户的实时位置信息,可被用于跟踪用户行踪,将直接威胁用户人身安全。”

趋势科技近日发布的《中国地区2012年度安全威胁报告》显示,2012年中国区移动设备的病毒数同比大幅提升了34倍,从年初的1000个上升到了年末的35万个。而在2013年,这一数量将达到100万。

用户只能任宰割?

开发者窃取用户隐私犹如“探囊取物”,但用户还蒙在鼓里。这些窃取行为通常在后台自动运行,对于大部分没有技术背景的普通用户而言,很难了解到哪些应用程序在自己的手机上作怪。冯伟表示:“只有利用专业工具进行长时间的监测,才能判断移动应用是否非法窃取用户信息。”

[1]  [2]  
关注通信世界网微信“cww-weixin”,赢TD手机!
来源:中国计算机报   作 者:高春燕编 辑:安华
分享到:
       收藏   打印  论坛   推荐给朋友
关键字搜索:315晚会  手机安全  隐私  安卓  
猜你还喜欢的内容
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动