復旦大學(xué)計算機科學(xué)學(xué)院專(zhuān)家昨天發(fā)布的研究顯示,目前國內安卓系統的應用程序泄露率過(guò)半。
這項由復旦大學(xué)計算機科學(xué)學(xué)院院長(cháng)王曉陽(yáng)教授和系統安全研究專(zhuān)家楊珉博士主持的研究還表明,惡意軟件主要通過(guò)過(guò)度授權的方式竊取用戶(hù)個(gè)人信息。
王曉陽(yáng)教授建議,個(gè)人用戶(hù)要注意信息安全,國家應盡早建立相應國家安全技術(shù)標準及法律法規。
八成軟件過(guò)度要求授權
據相關(guān)統計,以智能手機為代表的移動(dòng)智能終端目前已成為我國網(wǎng)民的第一大上網(wǎng)終端,隨之而來(lái)的個(gè)人信息安全問(wèn)題也日趨嚴峻。
王曉陽(yáng)教授介紹說(shuō),以智能手機為代表的移動(dòng)設備擁有很多高附加值的信息和資源。這些信息和資源不僅包含個(gè)人的手機信息、身份信息、地理位置信息,還包含諸多賬號信息以及郵件、文件等信息,這些信息可被軟件輕易復制和傳送。
王曉陽(yáng)教授團隊對100款軟件進(jìn)行了分析,其中有80余款過(guò)度要求授權。比如“憤怒的小鳥(niǎo)”要求短消息讀和發(fā)的權限;“水果忍者”需要用戶(hù)的電話(huà)號碼等。
而一些惡意軟件往往是利用用戶(hù)安裝時(shí)授予的相關(guān)權限,收集用戶(hù)隱私信息后,借助網(wǎng)絡(luò )接口、短信通道等各種方式將用戶(hù)隱私信息散發(fā)出去。
根據由北京網(wǎng)秦天下科技有限公司發(fā)布的報告顯示,在安卓平臺上已知的惡意軟件中,以隱私信息竊取為目的的惡意軟件高達24.3%,位居所有惡意行為種類(lèi)的首位。
應用商城應做安全核查
王曉陽(yáng)教授及其團隊為更好地揭示安卓程序泄露用戶(hù)隱私信息的總體狀況,對國內7家最具代表性的安卓應用商城的330款熱門(mén)應用程序進(jìn)行了調查和分析,涵蓋游戲、系統管理、行程管理等多個(gè)類(lèi)別。
研究表明,7個(gè)商城的總體泄露率達到了58%。泄露的目的地中,65%的程序會(huì )將信息泄露給開(kāi)發(fā)者, 38%的程序會(huì )將信息泄露給廣告商,還有12%的程序將信息泄露給未知第三方。
王曉陽(yáng)教授建議,在下載安裝應用程序時(shí),應選擇知名度高的應用商城或者相應程序的官方網(wǎng)站等。
王曉陽(yáng)教授還呼吁,應建立應用程序的安全性檢測與測評機制,加強對應用商城運營(yíng)商與程序開(kāi)發(fā)商(者)的監督管理,并在這些標準的基礎上,制定相應的法律法規與管理辦法。
政府有關(guān)部門(mén)也應提供相應的安全性審查檢測工具和服務(wù),要求應用商城承擔平臺管理和用戶(hù)數據安全保障的連帶責任,比如可要求應用商城對上架的所有應用程序進(jìn)行強制的安全核查及進(jìn)行開(kāi)發(fā)者驗證等。
