超六成App存隱私泄露風險 移動應用發展需安全先行
隨著智能手機和平板電腦等移動智能終端迅速發展,各式各樣的APP(智能手機中的第三方應用程序)涌入手機客戶端。但吸費軟件、竊取隱私等惡意程序 也隨之盛行。金山網絡CEO傅盛在2012中國互聯網產業年會上介紹,60%以上的APP都是被篡改過的,或被打包或被塞進很多廣告,這些被打包的軟件會在后臺不停地訪問流量,竊取用戶的隱私;并且,“有7成以上的APP會竊取用戶的手機號和通訊錄”。因此,專家建議,無論是最初的開發者還是最終的使用者,都應該提高安全意識。
移動APP應用逐步火爆
在2012年,移動互聯網不 論是用戶增長數量還是增幅,都已經遠遠超過了傳統互聯網。根據國家工信部發布的數據,截至2012年11月底,中國移動電話用戶數達到11.04億戶,移 動互聯網用戶凈增1.11億戶,達到7.5億戶。而移動APP作為智能手機最基礎的功能應用,其價值無可替代。中國動點科技公司負責人盧剛表示,APP是 一個有著40億美元規模的市場。
智能手機和平板電腦受消費者的青睞,開發商應用商店和第三方應用下載平臺的應用下載量逐漸升溫。據不完全統計,目前全球移動應用商店數量超過160家,其中第三方應用商店達到120多家。而據艾媒咨詢發布的《2012中國手機應用商店用戶行為報告》顯示,2012中國手機應用商店用戶中,有79.4%的用戶曾經用手機訪問應用商店。根據蘋果發布的數據,其應用程序商店現向全球iPhone、iPad和IPOd Touch用戶提供應用程序77.5萬個,應用程序商店活躍用戶賬戶超過5億個,僅2012年12月的下載量就達到20億次。而相對開放的谷歌Android系統相關應用下載量更多。
中國智能手機市場現已躍居***,雖然前景還很樂觀,但在APP應用方面主要表現為:平均下載應用量偏低,付費下載應用較少,免費應用占比較大的三個態勢。應用的免費盛行讓開發者鋌而走險,用戶信息安全保障成為APP應用發展的***障礙。
盲目授權存信息泄露風險
在常規使用智能手機下載應用軟件中,盲目授權成為信息泄露的主要源頭。相比于可以通過殺毒系統查殺的隱私竊取類惡意軟件,而這些要求“過度授 權”的正規軟件,對用戶來說更是防不勝防。中國互聯網絡信息中心調查顯示,在手機上下載安裝應用軟件時,44.4%的人會仔細看授權說明,40.7%的人 不會仔細看,14.9%的人表示“不好說”。同時,40.5%的人會留意使用手機軟件的風險,35.6%的人不會留意。一般情況下,用戶在安裝應用時都會 直接忽略服務條款以及許可協議,一路點“確定”,驗證了“史上***的謊言,莫過于‘我已經閱讀并同意該使用條款’”這句話。但是就在點“確定”的同時,你 的個人信息就可能走上了被某些應用利用的道路,尤其是一些使用了LBS功能,基于地理位置信息的應用。
金山手機安全中心對國內安卓市場的一則研究數據表明,惡意廣告是成為安卓手機安全的首要威脅:94.71%的安卓手機用戶有廣告軟件,平均每部 手機上存在11.68款含廣告的軟件,63%的用戶手機里存在至少一款惡意廣告。網秦發布的《2012年上半年全球手機報告》顯示,在隱私竊取范圍方面, 報告稱地理位置依然是重點,以Android平臺為例,有超過43%的惡意軟件可通過GPS,或連接地圖API實現對目標手機的跟蹤定位。
復旦大學計算機學院院長王曉陽教授也表示,“智能手機上網的安全性非常低,其存儲方式都是標準化的,任何軟件只要能訪問手機,就可以提取用戶信息,且這些信息能被軟件輕易復制和傳送。”
正因為用戶的盲目授權,讓更多的不法分子有機可趁,而這些信息一旦被利用,就有可能造成用戶財產等的損失。去年,央視就曝光了很多移動廣告公司為了做到更精準的廣告投放,在軟件里就惡意插入獲取用戶位置信息的代碼。
移動應用安全需產業鏈各方共同維護
中國互聯網協會政策與資源工作委員會專家委員胡鋼表示,在移動應用產品領域,目前最嚴峻的問題就是用戶隱私問題,通過對用戶個人信息的私自搜集,后續可能引發的用戶人身及財產安全問題讓人十分擔憂。因此,無論是最初的開發者還是最終的使用者,都應該提高安全意識。
南開大學信息技術科學學院副教授史廣順認為,要逐步培養手機用戶的付費習慣,從手機硬件消費者成長為軟件消費者。“比如說,‘越獄’版的蘋果系 統,手機安全毫無保障,還是有很多人寧可花錢也要把正版系統刷成‘越獄’的,就不怕個人信息泄露嗎?與其花‘越獄’的錢,還不如付費下載正版軟件。”
從用戶角度來看,首先,手機用戶應樹立風險意識,盡量避免將訪問個人隱私數據的權限和訪問網絡的權限同時授予可疑程序;第二,需要通過正規渠 道、選擇知名度高、口碑好的應用商城去下載軟件,確保應用的可靠性;第三,不要隨意掃描二維碼下載軟件,二維碼掃描后結果中可能是惡意網址,也可能自動下 載惡意吸費類應用;第四,不要輕易打開陌生人發的網址鏈接;第五,不要隨意在應用軟件中注冊透露自己的真實信息,特別是賬號密碼、卡號密碼等。
從監管層面來看,目前手機安全領域幾乎是無法可依,還是比照個人計算機領域信息安全在管理。專家建議:首先,開發者要遵守國家相關規定,根據實 際掌握APP的權限,是否需要獲取用戶相關信息;其次,應用商店和各類軟件平臺應加強監管,加大審核力度;同時,完善相關法律、提高維權意識也應提上日 程;第三,完善行業認證規范標準,也是當前的可行之策,比如,所有涉及手機金融的軟件,都由統一機構認證。
