1月中旬,国家计算机病毒应急处理中心通过监测发现七款有害应用并予以通报。涉及问题多与窃取用户隐私、捆绑恶意插件有关。随着智能手机的普及,APP过度索取用户权限、危害个人隐私安全成为近期人们茶余饭后讨论的热点话题,针对此事,记者展开调查。
移动APP调用权限成风 手电筒都要求访问通讯录
中国目前的APP市场规模巨大,根据权威数据,中国市场运营的移动APP已多达1700万个。体量庞大的APP市场也带来了巨大隐患,恶意吸费、安装后无法卸载、窃取用户信息等安全问题层出不穷。
在此次国家计算机病毒应急处理中心通报的七款有害应用中,《大管家文件助手》(版本V1.3.0)等三款移动应用均存在危险行为代码,安装后会窃取用户隐私信息,造成用户隐私泄露资费消耗;《流量看门狗》(版本V5.1.8)等三款移动应用均存在捆绑了恶意广告插件,该插件在后台无提示私自下载推广软件,造成流量损失;《大声说笑话5》(版本V1.0)移动应用存在可通过联网指令下载、推送各种应用,甚至可能会消耗用户的手机电量、流量甚至手机用户的资费。
其实这些通报中的软件只是众多过渡索取用户信息APP中的冰山一角。记者随机下载了几款手电筒应用程序,令人费解的是,除去必须授予的照相机权限,其中绝大多数APP都要求访问用户的位置、存储等信息,其中两款竟然要求用户开放通讯录权限。其他诸如游戏APP要求调用用户位置信息,阅读APP要求调用用户通讯录等等,诸如此类,不胜枚举,令用户防不胜防。如果用户拒绝,轻则会影响该APP的正常使用,重则无法使用。更有甚者,一些应用程序未经用户许可就私自调用用户位置、手机通讯录、图片库等功能,成为危害用户隐私的定时炸弹。
越界获取权限除了造成手机卡顿之外,更严重的后果在于一旦隐私被窃,手机中的重要资料会被肆意查看,如果随意访问联系人、短信、记事本等应用,还会造成银行卡账号、密码等信息泄露,造成经济损失。中国权威的《2016年中国安卓手机隐私安全报告》显示,非游戏类APP获取隐私日渐增多,高达13%的非游戏类APP越界获取“位置信息”权限,9.1%的非游戏类APP越界获取“访问联系人”权限;高达26%的APP越界获取“位置信息”权限。
索取权限背后隐藏的商业逻辑
大数据环境下,商家掌握的数据越多,越可以在精准推销中掌握先机,获得的利益越多。窃取用户数据,背后隐藏的是程序开发者的商业逻辑,那就是对用户数据“别管有用没用,拿到手再说”的心态。虽然程序开发者也不知道哪些数据会成为精准营销的推手,但是,先获得海量的数据,再从中提取对自身营销有帮助的信息似乎最为稳妥,不只稳妥,对商家来说,此种近乎无赖的做法无疑是一条成本最低的方式,而与此对应,用户风险则成倍增加。
国内市场上,安卓系统成为调用用户权限的重灾区,自从诞生以来,安卓就以高度的自由性和可定制性著称,正是因为如此,其得以在短时间内快速成长,与iOS平分江山。不过就算此时安卓系统已经趋于成熟,安全问题也依旧是如影随形,这问题主要出在安卓系统的开源性上。安卓系统的开放性也带来了相当大的负面影响,国外的安卓应用,需要经过谷歌的层层把关,期间会被摘除一些不符合标准的程序,由于目前国内的安卓应用缺乏监管,这一问题变得十分突出。
这一现象凸显着监管的缺位。针对APP越权问题,2016年8月工信部出台《移动互联网应用程序信息服务管理规定》,该规定指出,互联网应用程序提供者应依法保护用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。尽管这一政策已经出台一年半有余,但是APP市场乱象如故。
如何保障我们的隐私不被泄露?
短期内根治目前移动APP市场的混乱局面显然不切实际,用户如何保障自己的隐私不被泄露,只能依靠用户提高自身安全意识。以下做法可以很大程度上避免流氓软件骚扰:
通过正规渠道下载软件,如果一款简单软件要求调用过多权限,则其中必定有猫腻,用户则应该及时提高警惕;
谨慎填写个人隐私信息,防止信息被无谓的采集;
管理手机软件中的隐私权限,了解软件权限行为,关闭不必要的授权;
防范公共Wi-Fi,转账与支付时改用数据流量;
通过“恢复出厂设置-格式化-反复拷入大文件并删除”三步骤,彻底清理旧手机信息;
不要为了好记将不同账户设置相同密码,否则一个被攻破全部都遭殃,也不要使用纯数字、生日等特别简单的密码。
然而,这一切只是用户自保的权宜之计,虽然管理庞大的移动APP市场不太现实,但业内人士表示,监管部门可以从监管应用商店入手,间接监管应用程序,通过加强应用商店的审核标准,不断改善移动APP索取用户权限的行为。
如果不能建立一整套用户隐私保护机制,大数据背景下,用户裸奔的时代可能正向我们走来。
文章来源:中国山东网