如何解決開放性與安全性的矛盾,這或許是安卓產業鏈業者所需要思考的問題。
據中國互聯網數據中心數據顯示,在國內各類Android市場下載量前1400位的APP內,有66.9%的智能手機移動應用在抓取用戶隱私數據,其中,34.5%的移動應用有“隱私越軌”行為。
“隱私越軌”行為是指APP抓取用戶隱私信息并非APP服務功能所必需。
報告認為,61%的短信記錄讀取權限,73%的通話記錄讀取權限,是移動應用功能中不必要的權限,即存在“隱私越軌”行為。
《第一財經日報》記者采訪中發現,一些第三方應用通過出售信息、繞開安全應用與硬件廠商聯合牟利的現象也大量存在。
“隱私越軌”愈演愈烈
騰訊移動安全實驗室專家陸兆華對《第一財經日報》表示,APP讀取用戶隱私正在被大眾逐步地認知,但這一現象也在進一步抬頭,向竊取用戶核心隱私的趨勢正在加強。
截至2013年第一季度,據騰訊移動安全實驗室軟件池數據分析顯示,含廣告插件的APP總數為2038139個,在所有軟件樣本中占比43.5%;廣告插件類APP已成為手機用戶隱私的巨大威脅。
上述機構還抽取了近470萬個軟件包進行代碼掃描,分析軟件中是否同時含有申請隱私權限以及讀取隱私信息的API結果相關代碼問題。統計發現:有讀取用戶隱私權限的相關操作的軟件比例達到71%,即有超過333萬個軟件包同時申請了隱私權限,且含有讀取用戶的隱私權限相關操作的代碼。
其中在這333萬個軟件中,讀取設備識別信息與本機手機號的占比61.75%與28.33%;讀取地理位置信息的占比28.27%;讀取通訊錄的占比10.29%,讀取短信的占比4.22%;打開手機攝像頭與錄音器的分別占據4.15%與3.75%的比例;讀取通話記錄的占比2.86%;讀取瀏覽器書簽的占比7.93%。
陸兆華表示,一款應用是否屬于過度讀取隱私權限,主要是看該款軟件讀取該項隱私權限是基于什么目的,即是否屬于功能必需的范疇之內,反之則屬于“隱私越軌”行為。
一般而言,安全軟件、系統管理軟件、通訊軟件、社交軟件等軟件針對用戶的通訊錄等隱私讀取是在合理的權限之內,而LBS、手機地圖軟件、導航軟件等針對用戶的地理位置讀取與定位也屬于合法的權限范疇等。但例如一款游戲軟件或壁紙軟件需要讀取用戶的通訊錄和短信信息則大可不必。
360方面人士也對記者表示,2013年上半年的熱門應用中,一款應用擁有1~5個隱私權限的應用比例達64.5%,擁有6~10個隱私權限的應用占28%,11個以上權限也要占4.9%,不申請任何隱私權限的僅為2.6%。
以熱門手機游戲“神廟逃亡”為例,騰訊手機管家針對在Google Play上下載的官方正版Temple Run(“神廟逃亡”)、含廣告插件版Temple Run(以下簡稱”神廟逃亡”)、被植入了病毒代碼的偽 “神廟逃亡”三個版本的軟件權限讀取情況進行了對比研究,結果統計發現,官方正版的“神廟逃亡”沒有讀取隱私權限;而含廣告插件的“神廟逃亡”讀取了手機號、GPS、IMEI和IMSI、拍照、瀏覽器書簽、彈通知欄通知共6項權限;被打包了“病毒代碼”的偽“神廟逃亡”則讀取了11項權限,在廣告插件類“神廟逃亡”讀取的6項權限的基礎上,還獲取了聯系人、通話記錄、發送短信、撥打電話這4項用戶核心隱私權限,用戶的關鍵隱私遭受嚴重威脅。
“隱私”背后的商業牟利
這些被泄露的用戶隱私,變現的渠道包括用戶隱私信息的出售,以及自身的廣告推廣。而獲得用戶隱私信息的買家,則可能用于垃圾短信、騷擾甚至詐騙電話等,或者為廣告公司牟利。
陸兆華稱,由于收集地理位置、設備識別信息、本地手機號可面向固定而穩定的手機用戶群精準匹配與投放相應的廣告,并進行有效的用戶消費行為分析,符合部分急功近利的廣告商的利益訴求,APP開發者也可以因此而獲取CYE廣告分成,因而獲取這類信息成為某些不正規廣告商與APP開發者共同的核心利益。
想認識全國各地的創業者、創業專家,快來加入“中國創業圈”
|
