如何解決開(kāi)放性與安全性的矛盾,這或許是安卓產(chǎn)業(yè)鏈業(yè)者所需要思考的問(wèn)題。
據中國互聯(lián)網(wǎng)數據中心數據顯示,在國內各類(lèi)Android市場(chǎng)下載量前1400位的APP內,有66.9%的智能手機移動(dòng)應用在抓取用戶(hù)隱私數據,其中,34.5%的移動(dòng)應用有“隱私越軌”行為。
“隱私越軌”行為是指APP抓取用戶(hù)隱私信息并非APP服務(wù)功能所必需。
報告認為,61%的短信記錄讀取權限,73%的通話(huà)記錄讀取權限,是移動(dòng)應用功能中不必要的權限,即存在“隱私越軌”行為。
《第一財經(jīng)日報》記者采訪(fǎng)中發(fā)現,一些第三方應用通過(guò)出售信息、繞開(kāi)安全應用與硬件廠(chǎng)商聯(lián)合牟利的現象也大量存在。
“隱私越軌”愈演愈烈
騰訊移動(dòng)安全實(shí)驗室專(zhuān)家陸兆華對《第一財經(jīng)日報》表示,APP讀取用戶(hù)隱私正在被大眾逐步地認知,但這一現象也在進(jìn)一步抬頭,向竊取用戶(hù)核心隱私的趨勢正在加強。
截至2013年第一季度,據騰訊移動(dòng)安全實(shí)驗室軟件池數據分析顯示,含廣告插件的APP總數為2038139個(gè),在所有軟件樣本中占比43.5%;廣告插件類(lèi)APP已成為手機用戶(hù)隱私的巨大威脅。
上述機構還抽取了近470萬(wàn)個(gè)軟件包進(jìn)行代碼掃描,分析軟件中是否同時(shí)含有申請隱私權限以及讀取隱私信息的API結果相關(guān)代碼問(wèn)題。統計發(fā)現:有讀取用戶(hù)隱私權限的相關(guān)操作的軟件比例達到71%,即有超過(guò)333萬(wàn)個(gè)軟件包同時(shí)申請了隱私權限,且含有讀取用戶(hù)的隱私權限相關(guān)操作的代碼。
其中在這333萬(wàn)個(gè)軟件中,讀取設備識別信息與本機手機號的占比61.75%與28.33%;讀取地理位置信息的占比28.27%;讀取通訊錄的占比10.29%,讀取短信的占比4.22%;打開(kāi)手機攝像頭與錄音器的分別占據4.15%與3.75%的比例;讀取通話(huà)記錄的占比2.86%;讀取瀏覽器書(shū)簽的占比7.93%。
陸兆華表示,一款應用是否屬于過(guò)度讀取隱私權限,主要是看該款軟件讀取該項隱私權限是基于什么目的,即是否屬于功能必需的范疇之內,反之則屬于“隱私越軌”行為。
一般而言,安全軟件、系統管理軟件、通訊軟件、社交軟件等軟件針對用戶(hù)的通訊錄等隱私讀取是在合理的權限之內,而LBS、手機地圖軟件、導航軟件等針對用戶(hù)的地理位置讀取與定位也屬于合法的權限范疇等。但例如一款游戲軟件或壁紙軟件需要讀取用戶(hù)的通訊錄和短信信息則大可不必。
360方面人士也對記者表示,2013年上半年的熱門(mén)應用中,一款應用擁有1~5個(gè)隱私權限的應用比例達64.5%,擁有6~10個(gè)隱私權限的應用占28%,11個(gè)以上權限也要占4.9%,不申請任何隱私權限的僅為2.6%。
以熱門(mén)手機游戲“神廟逃亡”為例,騰訊手機管家針對在Google Play上下載的官方正版Temple Run(“神廟逃亡”)、含廣告插件版Temple Run(以下簡(jiǎn)稱(chēng)”神廟逃亡”)、被植入了病毒代碼的偽 “神廟逃亡”三個(gè)版本的軟件權限讀取情況進(jìn)行了對比研究,結果統計發(fā)現,官方正版的“神廟逃亡”沒(méi)有讀取隱私權限;而含廣告插件的“神廟逃亡”讀取了手機號、GPS、IMEI和IMSI、拍照、瀏覽器書(shū)簽、彈通知欄通知共6項權限;被打包了“病毒代碼”的偽“神廟逃亡”則讀取了11項權限,在廣告插件類(lèi)“神廟逃亡”讀取的6項權限的基礎上,還獲取了聯(lián)系人、通話(huà)記錄、發(fā)送短信、撥打電話(huà)這4項用戶(hù)核心隱私權限,用戶(hù)的關(guān)鍵隱私遭受?chē)乐赝{。
“隱私”背后的商業(yè)牟利
這些被泄露的用戶(hù)隱私,變現的渠道包括用戶(hù)隱私信息的出售,以及自身的廣告推廣。而獲得用戶(hù)隱私信息的買(mǎi)家,則可能用于垃圾短信、騷擾甚至詐騙電話(huà)等,或者為廣告公司牟利。
陸兆華稱(chēng),由于收集地理位置、設備識別信息、本地手機號可面向固定而穩定的手機用戶(hù)群精準匹配與投放相應的廣告,并進(jìn)行有效的用戶(hù)消費行為分析,符合部分急功近利的廣告商的利益訴求,APP開(kāi)發(fā)者也可以因此而獲取廣告分成,因而獲取這類(lèi)信息成為某些不正規廣告商與APP開(kāi)發(fā)者共同的核心利益。
而與此同時(shí),廣告插件類(lèi)APP讀取聯(lián)系人、通訊錄等核心隱私的現象也大規模存在。
聯(lián)想移動(dòng)終端事業(yè)部軟件產(chǎn)品經(jīng)理陳宇對《第一財經(jīng)日報》表示,對第三方應用開(kāi)發(fā)者來(lái)說(shuō),他們希望調用的用戶(hù)權限越多越好。
調用用戶(hù)權限越多,就越了解用戶(hù)信息,越接近ROM(存放手機固件代碼的存儲器,近似于操作系統)的價(jià)值,其商業(yè)價(jià)值就越大。
通過(guò)查看一款手機應用調用了哪些權限,如果這些權限不是拿去出售而是自用,也可以大致了解該應用未來(lái)可能涉及的一些商業(yè)模式。
本報記者發(fā)現,某知名手機輸入法應用讀取的用戶(hù)權限包括5種,分別是:獲取短信內容、獲取聯(lián)系人、獲取通話(huà)記錄、手機定位以及獲取手機識別碼。
據該軟件一名內部人士稱(chēng),“獲取手機識別碼”基本是每一個(gè)手機應用都會(huì )調用的權限,主要為了獲取該手機的型號來(lái)進(jìn)行應用適配,以及本地手機號碼作為登錄賬戶(hù);而“獲取短信內容”,是為了方便讓輸入法做到快捷輸入;“獲取聯(lián)系人”是為了導入用戶(hù)的好友聯(lián)系人來(lái)優(yōu)化詞庫,也是為了方便用戶(hù)在手機上的便捷輸入;而“手機定位”則是為了擴充輸入法應用基于用戶(hù)流量的商業(yè)模式,比如你用輸入法敲打“餐館”這個(gè)詞,輸入法可能會(huì )基于你所在的地理位置來(lái)推薦附近的餐廳。
但上述人士對一款輸入法應用為何要“獲取通話(huà)記錄”則未做更多解釋。據調查,調用“獲取通話(huà)記錄”權限的熱門(mén)應用還包括百度地圖、微信、手機QQ等。
金山安全反病毒工程師李鐵軍對《第一財經(jīng)日報》表示,一些應用調用“獲取通話(huà)記錄”權限主要是為了獲悉用戶(hù)的通話(huà)狀態(tài),在用戶(hù)來(lái)電話(huà)時(shí),軟件會(huì )采取相應的動(dòng)作。例如,音樂(lè )類(lèi)應用,當用戶(hù)接電話(huà)時(shí),需要暫停音樂(lè )播放。而一些語(yǔ)音類(lèi)應用也可能會(huì )調用該權限,但如果是其他種類(lèi)應用調用該權限的目的就不好說(shuō)了。
還有一些應用還調取了“發(fā)送短信”的權限。例如,天氣類(lèi)工具應用墨跡天氣,可能是出于功能上對天氣服務(wù)的短信推送需要。而其他的一些應用調取該權限,也可能是需要通過(guò)發(fā)送短信來(lái)認證注冊。但在申請得到了該權限后,第三方應用未來(lái)會(huì )否涉足非法行為,這就依賴(lài)于監管了。
為了獲得收益,一些應用商店在熱門(mén)軟件中植入惡意廣告和病毒木馬,并通過(guò)應用軟件升級來(lái)切換成自己開(kāi)發(fā)的“偽應用”的事情也屢有發(fā)生。此外,今年1月,通過(guò)MDK后門(mén)程序,控制者可以隨時(shí)竊取并上傳用戶(hù)短信內容、私人照片和通訊錄,并在后臺悄悄下載大量軟件,也會(huì )消耗大量手機流量。
陳宇表示,目前一些對外宣傳可以屏蔽第三方應用權限的安全軟件,也并非能做到真正地屏蔽。例如調用“獲取手機定位”權限的應用,如果安全軟件直接屏蔽掉該功能可能導致用戶(hù)無(wú)法啟動(dòng)該應用,而一些安全軟件的做法就是通過(guò)給該應用輸出一些虛擬的地理位置信息,來(lái)達到保護用戶(hù)隱私的目的。
為了能更多地獲取用戶(hù)信息,一些手機應用干脆繞開(kāi)安全軟件直接與手機硬件廠(chǎng)商合作。
有要求匿名的業(yè)內人士對記者表示,這是因為,在PC端,由于微軟開(kāi)放了Admin權限(用戶(hù)管理者權限),因此一些桌面客戶(hù)端可以將該權限拿走,而屏蔽競爭對手的客戶(hù)端,于是有了3Q大戰的爆發(fā);但在手機移動(dòng)端,只有手機硬件廠(chǎng)商才有基于A(yíng)ndroid系統的用戶(hù)管理者權限(ROOT),而其他的第三方應用包括第三方基于A(yíng)ndroid系統之上的ROM開(kāi)發(fā)商都沒(méi)有該權限,因此手機硬件廠(chǎng)商享有最高的用戶(hù)安全級別。
去年6月,工信部推出《關(guān)于加強移動(dòng)智能終端進(jìn)網(wǎng)管理的通知》(征求意見(jiàn)稿),提出要對提供APP的第三方平臺實(shí)行備案制,對APP應用實(shí)行實(shí)名制。但也有觀(guān)點(diǎn)認為,對數以百萬(wàn)的APP應用,備案制顯然難以操作,并給開(kāi)發(fā)者帶來(lái)額外成本。保護用戶(hù)隱私已經(jīng)成為移動(dòng)互聯(lián)網(wǎng)普及的待解難題。
