小心你手机里的“贼”(热点解读)
智春丽 余建斌 惠济州
核心提示
你可能不知道,一款图片美化软件,居然要求获取通话记录;一个历史小说阅读软件,也要读取用户位置。越来越普及的智能手机,名目繁多的应用软件,让我们在尽享乐趣的同时,可能不知不觉间就暴露了自己的地理位置、通讯录、短信甚至手机使用习惯。
小小的手机应用软件,背后隐藏了怎样的秘密?悄悄流出的个人信息,会被用在何处?我们的个人隐私,究竟该怎么保护?
用户隐私,授不授权都难保
如果不是偶然打开手机定位设置,网站编辑小谢绝对想不到,每天上班路上都要玩的“切西瓜”游戏,居然也可以时刻跟踪她的位置。
“地图、导航、团购,这些要求定位都还可以理解,可是切西瓜游戏、阅读软件、拍大头贴软件、美图秀秀,你要我的位置干吗?”小谢说,她不记得安装软件时有授权提醒。
不过,即使有授权提醒,很多用户也没当回事。在安装手机软件时经常会看到提示,软件会读取手机的通讯录、GPS等信息,如果不点确认,就无法安装软件。“为了一个权限总不能不装软件了吧。”天津大学软件学院大三学生陈如意说。但是很多推送广告投放之精准,让他怀疑与手机隐私泄露有关。
某手机安全公司发布的一份报告显示,移动端用户隐私泄露问题持续恶化,个人信息安全已成为当前手机用户面临的主要威胁之一。
相比于可以通过杀毒系统查杀的隐私窃取类恶意软件,越来越多要求“过度授权”的正规软件,对用户来说更是防不胜防。比如,人人网手机客户端要读取用户通话记录,飞信是可以看到往来短信内容的,微信“摇一摇”要暴露精确的位置信息。
开发者称这在业内是普遍现象,可出售获利
对于真正的用户授权,南开大学信息技术科学学院副教授史广顺介绍,应该是提供可选择的设置,比如一些新闻客户端为了方便用户提供很多额外功能,用户则可以自主选择打开还是关闭某项功能,从而同意或者拒绝提供通讯录等关键信息。“而现在的很多软件,看似正规,实则不良,仅仅通知用户要授权,否则就不能安装软件。”史广顺说。
网秦手机安全专家邹仕洪介绍,目前市面上一些手机应用,可以获取的用户隐私为通讯录、短信、照片、平时手机使用习惯、地理位置等。
为什么越来越多的软件要求获取用户个人信息?
“个人信息对于应用开发者来说也是一种用户资源。”手机应用软件开发者朱南(化名)说,某些应用获取个人信息是为了帮助开发者改善产品,为用户提供更好的服务,比如,微博、人人、微信获取位置,能精准地推送信息;还有一些则是用于商业用途,这些信息常常未经用户同意就透露出去。
“应用开发者获取的个人信息是可以卖钱的,需要用户资料的人都有可能买走用户的信息,这在业界是普遍现象,很多都是明码标价的。”朱南说。
大成律师事务所律师杜永浩认为,在约定之外利用获取的用户信息牟利,涉嫌侵犯用户隐私,可以依法追究其民事责任,严重的还可能构成犯罪。
潜在风险巨大,监管审核存空白
为什么这么多软件都要求“过度授权”,又有哪些潜在风险?
史广顺分析,目前国内付费应用软件市场状况不理想,对开发者来说,收费了没人用,免费又难以为继,某些免费软件因此铤而走险。
邹仕洪说,短信、通讯录、照片都是个人极其私密的信息,如果被暴露出去不仅使得本人受到影响,同时还会影响身边的家人和朋友。不法分子可以通过用户的手机使用和上网习惯来分析出用户喜好,对用户发送相关产品的垃圾短信和骚扰推销电话。
更可怕的是,“许多用户是使用一个账号密码来上网,如果泄露其中一个,可能会让不法分子借此对用户进一步进行盗取,例如登陆电子商城的账号密码,直接盗走用户账户内可用的现金。此外黑客可以用户的名义,向亲朋好友发送诈骗信息骗取钱财,例如冒充用户骗取手机充值卡或游戏点卡。”邹仕洪说。
既然有这么大的潜在风险,为何不能避免明显不合理的授权?邹仕洪说,目前某些不正规的第三方商店和开放平台在对非官方应用的管理、审核中仍存在较多弊端和漏洞。
此前据媒体报道,复旦[微博]大学计算机科学技术学院研究团队曾抽查安卓系统7个应用商城的300余款应用,发现其中58%存在泄露用户隐私的行为,其中25%的程序还将泄露信息进行了加密发送,使得在进行安全性审查时,确认其内容和传送目的地变得非常困难。
史广顺说,到底有多少软件在不正当获取用户个人信息,目前没有任何一个机构给出准确数字,这也反映出监管缺位和审核空白。即便像苹果iOS这样的封闭系统,由于审核规则不明确,人工审核效率不高,部分带有不合理授权要求的软件也会侥幸过关。
手机“越狱”安全无保障,专家建议用正版
为避免手机信息被过度获取,腾讯移动安全实验室手机安全专家陆兆华认为,提高隐私保护意识,养成良好的下载习惯是当务之急。他建议,尽可能到软件官网下载正式版软件。
邹仕洪提醒,一些手机安全软件可以为用户提供专业的个人隐私保护服务,防止用户在上网浏览和下载安装应用时误入陷阱,泄露个人隐私。
史广顺认为,也要逐步培养手机用户的付费习惯,从手机硬件消费者成长为软件消费者。“比如说,‘越狱’版的苹果系统,手机安全毫无保障,还是有很多人宁可花钱也要把正版系统刷成‘越狱’的,就不怕个人信息泄露吗?与其花‘越狱’的钱,还不如付费下载正版软件。”
专家建议,应用商店和各类软件平台应加强监管,加大审核力度;同时,完善相关法律、提高维权意识也应提上日程。
史广顺说,目前手机安全领域几乎是无法可依,还是比照个人计算机领域信息安全在管理。而实际上,手机已成为实体世界和数字世界连接的门户,对个人的影响实在太大了,手机安全需要大幅提高。另外,完善行业认证规范标准,也是当前的可行之策,比如,所有涉及手机金融的软件,都由统一机构认证。