大量應用程序泄露隱私 8500萬安卓用戶隱私不保

    “微信”建議綁定QQ用戶、“憤怒的小鳥”要求授權發(fā)送短信、“航班管家”請求讀取個人通訊錄……這種種授權要求已成為智能手機下載應用軟件的常態(tài)。然而只要一旦同意授權，不經意間就泄露了個人隱私。

    近日，復旦大學公布一項調研成果顯示，目前市場上最熱門的330個安卓應用程序中，有58％存在泄露用戶隱私的情況。

    約8500萬名安卓用戶隱私被“劫持”

    日前復旦大學王曉陽教授團隊在國內具有代表性的七大安卓應用商城程序中選取了330個熱門應用程序進行模擬安全監(jiān)測，結果表明總體泄露率達58％。其中，第三方商城的用戶隱私信息泄露率在60％左右、運營商為65％、平臺為72％、終端廠商運營的商城平均為41％。這意味著近六成的安卓應用程序有問題，即約8500萬名安卓用戶隱私遭到泄露威脅。

    據悉，目前安卓手機在中國市場份額高達七成，但今年第一季度安卓手機安全報告稱，全球的安卓系統安全威脅中，中國大陸地區(qū)以26.7％的比例高居首位，其中以隱私信息竊取為目的的惡意軟件高達24.3％，排在首位。

    “授權請求”成泄露源頭

    “智能手機上網的安全性非常低，其存儲方式都是標準化的，任何軟件只要能訪問手機，就可以提取用戶信息，且這些信息能被軟件輕易復制和傳送?！蓖鯐躁柦淌诮忉尅Ｑ虺峭韴笥浾甙l(fā)現，智能手機擁有很多高附加值的信息和資源，不僅包含用戶的手機信息、身份信息、地理信息，還包含諸多郵件、文件及賬號密碼等信息，這些信息的不足之處就是可輕易地被軟件復制和傳送。

    瑞星安全專家唐威對上述說法表示贊同。“安卓是開源的，平臺公開，換言之軟件用戶有自由使用及接觸源代碼的權利。用戶可以自行對軟件進行修改、復制及再分發(fā)，直接進行信息交換?！彼蜓虺峭韴笥浾咄嘎叮瑖鴥劝沧渴袌鲇脩臬@取軟件的途徑不一，有各種提供免費、收費或破解的論壇、軟件等，難免魚龍混雜。安卓軟件開發(fā)的第三方本身也比較混亂，缺乏監(jiān)管。為使用便利，有些用戶還會自己進行系統的“ROOT”破解，獲取權限，可能就更容易泄密了。

    研究表明，在安卓用戶信息泄露的流向中，65％的程序選擇將信息泄露給開發(fā)者，38％的程序將信息賣給廣告商，剩下12％的程序將信息泄露給未確認的第三方。

    上半年廣東280多萬部手機遭受攻擊

    網秦CEO林宇在接受記者專訪時透露，由于智能手機的普及，手機網購風險十分巨大?！敖衲晟习肽?，中國大陸地區(qū)以25.7％的感染比例，再次成為全球手機病毒和惡意軟件最大重災區(qū)。在國內，因廣東省用戶最活躍，大約以22.5％的受災率居首，有282.2萬部手機遭受攻擊”。

    林宇總結說，手機惡意軟件逐漸轉向二、三線城市，開始向地域性延伸，針對性的在不同地區(qū)推送惡意軟件。易觀國際發(fā)布的報告顯示，在目前國內的網上支付用戶面臨的主要安全問題中，木馬釣魚導致損失的比例達到24％，僅次于賬戶或密碼被盜33.9％的比例，位列第二位。而支付寶最新數據顯示，僅今年上半年，其與合作伙伴聯手屏蔽了超過13.3萬個針對網購領域的釣魚網站。

    唐威則提醒安卓手機用戶，某些游戲，如果它的許可中要求用戶同意讀取個人的某些數據，這個游戲就有惡意獲取用戶信息的嫌疑，因為這和它本身軟件功能無關?！白詈貌灰?，放棄使用”。

    手機用戶自我保護提示

    通過正規(guī)渠道下載軟件：在下載安裝應用程序時，提高警惕，盡量選擇知名度高、口碑好的應用商城或者相應程序的官方網站，確保信息來源的可靠性。

    避免安裝不健康軟件：大量惡意軟件往往通過偽裝吸引用戶下載，因此，安裝時，用戶不要輕易點擊短信、E-mail或社交網絡中有風險的鏈接。

    嚴控系統權限的授予：手機用戶應樹立風險意識，盡量避免將訪問個人隱私數據的權限和訪問網絡的權限同時授予可疑程序。

    有條件者工作娛樂手機各備一個：用戶可對手機數據進行物理隔絕，將工作和個人通訊用途的手機和上網娛樂的手機分開，盡量避免將賬號密碼、卡號密碼、身份信息等明文存儲于手機。

    鏈接：保障手機安全法律仍空白

    艾媒咨詢集團CEO張毅在接受羊城晚報記者專訪時表示，任何互聯網服務都潛在信息泄露危險，除了國家明確立法和嚴格的保護措施以外，斬斷利益鏈，廠商的自律非常重要；對于用戶而言，要選擇最安全的渠道使用軟件并定期更換密碼，恐怕是最保險也是最妥善的保護。

    IT法律專家趙占領表示，政府有關部門應提供相應的安全性審查檢測工具和服務，規(guī)定應用商城承擔平臺管理和用戶數據安全保障的連帶責任，要對應用商城上架的所有應用程序進行安全核查及進行開發(fā)者驗證。今年初工信部直屬的中國軟件測評中心透露，《信息安全技術、公共及商用服務信息系統個人信息保護指南》(以下簡稱《指南》)已正式通過評審，正報批國家標準。但是，有業(yè)內人士擔心，《指南》不是強制性標準，甚至也不是推薦性標準，其執(zhí)行效力如何，仍待觀察。