安卓APP的黑色产业链侵用户隐私.docVIP

安卓APP的黑色产业链侵用户隐私 　　在不久前的央视“3.15晚会”，曝光了大部分移动应用（APP）存在私自获取手机用户个人信息的行为究竟怎么回事？在这些隐私信息中，位置信息成第一获取目标，联系人、通话记录、短信记录这些敏感隐私信息读取普遍。除此之外呢？隐私用来干嘛？这一系列也都形成了一个未知的环。 　　在“3.15”之前，DCCI互联网数据中心（以下简称“DCCI”）发布了《2013移动隐私安全评测报告》。报告显示，高达66.9%的APP拥有获取用户隐私的权限，34.5%的APP涉嫌过度收集用户隐私行为，即APP除了获取本身功能需要的数据以外，还收集其本身并不需要的其他数据。 　　实际上，据了解，APP不止收集用户隐私，还乱扣手机话费、植入恶意广告，游离于法律的灰色空间，业已形成一条黑暗的隐形暴利链条。 　　山寨软件恶意吸费 　　在大量的APP软件中，手机游戏和内置广告插件等恶意软件，存在吸费、吃流量、偷发短信现象最严重。 　　据一位知情人士透露，像吸费这种现象在地级市以下的地方更严重，尤其是那种千元智能机或更便宜的山寨智能机被安装了大量吸费的手机游戏，都是盗版和仿冒下载量较高的游戏，比如在山寨版的《愤怒的小鸟》、《神庙》等游戏中内置扣费插件，用户下载后插件就会暗中扣费。 　　一般都是游戏前10关不要钱，到了10关以后就开始扣费了；或者帮用户订制增值业务短信。“不经过你的同意，它就会神不知鬼不觉的扣掉你的钱，唰唰唰几十块钱很快就没了。” 　　还有就是内置广告插件吸费。该知情人士认识的一个朋友，2011年在深圳给手机刷机，每天大概能出到15万台，每台手机里刷20个应用里就有一半在推广告。“那些APP开发者主动找到他，给他钱让他帮忙在APP里内置广告插件，这个手机一刷完全是数据广告，等于说就变成了一个肉鸡。” 　　当用户在使用这些应用时，内置广告就会通过联网下载和刷新，闷声不响“吃流量”，什么都没干，流量就没了。“这是整个产业链条比较黑暗的一条，但这也是很多做APP的被逼无奈，因为要靠这个赚钱的。” 　　除了上述扣手机费、吃流量的现象，还有偷发手机短信的。 　　很多恶意软件，它会通过你的手机给你通讯录里的联系人发垃圾信息。它非常智能，会查看你手机套餐里发了多少条短信，还剩多少条没用完。查看完以后，它只发你手机里剩下的这些短信，不会额外扣你的话费，这个你一般也不会察觉到。 　　“它会检测到你的手机是不是锁屏。如果你的手机是锁屏，说明你没有在用手机，它会趁机把短信发出去，发完之后还会删除，这个你完全看不出来，完全可以做到用户不知情。”上述知情人士说。 　　在LBE安全大师COO高偌薇看来，更可怕的事情还在后头呢，有些恶意软件在用户发现之后还能卸载掉，有些变种的恶意软件，即便卸载也未必能完成清除，还会继续在后台“为非作歹”。 　　如复旦大学计算机系统与安全专家杨珉在接受《新民晚报》采访时分析的那样，许多用户下载的热门应用软件，其实已经被动过手脚了，软件里被重新打包了一些恶意代码。 　　“这种代码可以让手机在用户未授权的情况下，通过发短信或者链接指定的扣费网站，为机主订购不同类型的手机业务。它最厉害的地方在于，可以屏蔽掉扣费业务发送给用户的扣费确认短信。” 　　正常的业务模式中，手机短信正常扣费需要经过“询问是否订购业务、服务器反馈、最终确认扣费”这三个步骤，但在上述恶意APP上，用户一个也步骤也收不到，即便遭受了经济损失也还会完全蒙在鼓里。 　　“越轨”抓取用户信息 　　事实上，在恶意软件吸费、吃流量和偷发短信的同时，还有许多用户自认为“安全”的APP也在悄悄地抓取用户个人信息。 　　《2013移动隐私安全评测报告》显示，通过对中国各类安卓市场下载量前1400位的应用进行了相关调查，高达66.9%的APP拥有获取用户隐私的权限，34.5%的APP涉嫌过度收集用户隐私行为，即APP除了获取本身功能需要的数据以外，还收集超出本身功能之外的其他信息。 　　在这些隐私信息中，位置信息成第一获取目标，联系人、通话记录、短信记录这些十分敏感的隐私信息读取也很普遍。 　　在DCCI互联网数据中心创始人胡延平看来，有些APP获取用户信息是为了应用本身功能所需，可以理解；但有些APP除了获取本身功能需要的信息以外，还会获取更多其它信息，这是难以理解的。“就好比一款拍照软件，本来是用来拍照的，但它还要去读取你的位置信息、通话记录；一款闹钟软件会去读取你的短信记录、联系人。” 　　这在安全厂商看来，手机软件到底有没有“越轨”窃取用户过多信息很难辨别清楚，这被安全厂商称为“灰色地带”。比如读取位置信息和通信记录的拍照软件，很可能是要在拍照完之后分享给其他人；读取短信记录的闹钟，它可能未来要增加更多短信相关的