玩“憤怒的小鳥”也可能泄露隱私

僅僅只是一個游戲，為何“憤怒的小鳥”要求收發短消息，“水果忍者”需要用戶的電話號碼？僅僅只是一個服務型的應用軟件，為何“航班管家”讀取了你的通訊錄，“公信衛士”會用短消息將手機號碼發回客服？你有沒有想過，這些智能手機上異常的軟件行為可能使你的個人隱私遭到泄露。

日前，我國“千人計劃”專家、復旦大學計算機學院院長王曉陽教授，系統安全研究專家楊珉博士發布了一項“使用安卓程序的智能手機用戶隱私泄露情況”的報告，報告選取了7個國內安卓應用商城的330項熱門手機應用程序進行調查，發現手機用戶的總體信息泄露率將近6成。王曉陽還指出，使用其他平臺的智能手機，也在不同程度上存在個人隱私泄露的隱憂。

被泄露的信息包括國際移動設備身份碼、國際移動用戶識別碼、集成電路卡識別碼、通訊錄、手機號碼、用戶位置和用戶短信

“授權請求”是泄露源頭

使用智能手機時，很多人都習慣于到應用商城去下載各種好玩或實用的游戲或應用軟件。但下載軟件時那一堆拗口專業的“授權請求”，很多人不會留意或者干脆直接忽略。

比如，在安裝“憤怒的小鳥”時，授權請求中就有一項：收發短消息。“水果忍者”要求得到用戶的電話號碼，“航班管家”需要讀取你的通訊錄，“公信衛士”則要求用短消息將手機號發回給客服。

這類超出正常需要的授權請求，其實都可能為用戶的隱私泄露埋下伏筆。王曉陽表示，這些授權請求，使得個人的手機信息、身份信息、地理位置信息、郵件、諸多賬號信息等被軟件輕易復制和傳送，但大多數用戶對此一無所知，“比如你授權給一個軟件自行收發短消息，那么你的手機就可能在不知不覺中發出一些高收費的短信，而且這些短信完全可以做到對用戶隱蔽，你手機里根本查不到”。

一項由美國加州大學伯克利分校針對谷歌官方軟件市場的調查結果顯示，超過33%的軟件要求的授權超過實際需要。國內的情況更不容樂觀，王曉陽團隊曾對國內100款熱門軟件進行分析，其中80余款過度要求授權。

手機上網流量暴增是信息泄露信號之一

實驗報告還顯示，用戶個人信息泄露的三大目的地分為開發者（65%的信息泄露到此）、廣告商（38%的信息泄露到此）和第三方（23%的信息泄露到此）。有些信息被泄露給多方。

實驗中還發現，部分程序并非由原開發者提交給商城，而是由第三方的開發者對原始程序進行了再次封裝，并嵌入了其它代碼，比如“憤怒的小鳥”的短消息收發授權請求，就是經過了二次封裝的結果。

實驗結果揭示，隱私泄露行為影響的人群非常廣泛。根據某應用商城公布的數據顯示，截至5月，其全站共有用戶1100萬，安卓系統應用程序下載量達8.59億次。“我們在檢測該商城最熱門的40個應用程序中發現，至少有25個程序存在竊取用戶隱私信息的行為，以此推算，累計影響的用戶數在92萬人以上。”王曉陽指出，這40個程序多數是由知名企業開發，企業的自律與規范性已相對較好，“而國內安卓市場中更多的應用程序則由中小企業或個人開發者提供，受經濟利益等因素的驅使，他們更熱衷于惡意收集用戶的隱私數據”。

王曉陽團隊研究還發現，除了使用安卓系統的智能手機和移動平臺，使用iOS的智能手機比如iPhone以及使用Symbian的智能手機如諾基亞，其他多數智能手機都存在不同程度的軟件信息泄露隱憂，“有的iPhone使用者會突然發現手機上網流量暴增幾百元，這就有可能是那些惡意軟件在后臺悄悄聯網導致的”。

[專家建議]

普通用戶避免安裝不健康軟件有條件者工作娛樂手機各備一個

王曉陽團隊建議，在下載安裝應用程序時，應提高警惕，盡量選擇可靠的來源，比如選擇知名度高、負責任的應用商城或者相應程序的官方網站等；在下載和安裝程序時，可以參考用戶評價和評分信息，不要輕易點擊短信、email、社交網站中有風險的鏈接，尤其應該盡量避免安裝一些不健康軟件，因為大量惡意軟件往往都通過類似的偽裝吸引用戶下載。

在安裝程序時，用戶應樹立起風險意識，嚴格控制系統權限的授予，盡量避免將訪問個人隱私數據的權限和訪問網絡的權限同時授予給可疑程序。對于如賬號、口令、卡號、身份信息等，盡量避免明文存儲于手機，或通過短消息方式等隨意發送。王曉陽還建議，有條件的用戶，可根據實際需求，將工作與個人通信用途的手機和日常上網娛樂的手機分開，對數據進行物理隔絕，從而最大程度的保護自身的隱私數據。

此外，相關部門應盡快確定移動終端隱私數據分級、應用程序收集和使用隱私數據的規范、應用程序開發者認定、安卓系統的安全機制和應用商城發布應用程序的審核等方面的國家安全技術標準，建立應用程序的安全性檢測與測評機制，加強對應用商城運營商與程序開發商的監督管理。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]