多手机应用软件涉嫌过度获取用户信息牟利

人民视觉供图。

　　小心你手机里的“贼”(热点解读)

　　智春丽 余建斌 惠济州

　　核心提示

　　你可能不知道，一款图片美化软件，居然要求获取通话记录；一个历史小说阅读软件，也要读取用户位置。越来越普及的智能手机，名目繁多的应用软件，让我们在尽享乐趣的同时，可能不知不觉间就暴露了自己的地理位置、通讯录、短信甚至手机使用习惯。

　　小小的手机应用软件，背后隐藏了怎样的秘密？悄悄流出的个人信息，会被用在何处？我们的个人隐私，究竟该怎么保护？

　　用户隐私，授不授权都难保

　　如果不是偶然打开手机定位设置，网站编辑小谢绝对想不到，每天上班路上都要玩的“切西瓜”游戏，居然也可以时刻跟踪她的位置。

　　“地图、导航、团购，这些要求定位都还可以理解，可是切西瓜游戏、阅读软件、拍大头贴软件、美图秀秀，你要我的位置干吗？”小谢说，她不记得安装软件时有授权提醒。

　　不过，即使有授权提醒，很多用户也没当回事。在安装手机软件时经常会看到提示，软件会读取手机的通讯录、GPS等信息，如果不点确认，就无法安装软件。“为了一个权限总不能不装软件了吧。”天津大学软件学院大三学生陈如意说。但是很多推送广告投放之精准，让他怀疑与手机隐私泄露有关。

　　某手机安全公司发布的一份报告显示，移动端用户隐私泄露问题持续恶化，个人信息安全已成为当前手机用户面临的主要威胁之一。

　　相比于可以通过杀毒系统查杀的隐私窃取类恶意软件，越来越多要求“过度授权”的正规软件，对用户来说更是防不胜防。比如，人人网手机客户端要读取用户通话记录，飞信是可以看到往来短信内容的，微信“摇一摇”要暴露精确的位置信息。

　　开发者称这在业内是普遍现象，可出售获利

　　对于真正的用户授权，南开大学信息技术科学学院副教授史广顺介绍，应该是提供可选择的设置，比如一些新闻客户端为了方便用户提供很多额外功能，用户则可以自主选择打开还是关闭某项功能，从而同意或者拒绝提供通讯录等关键信息。“而现在的很多软件，看似正规，实则不良，仅仅通知用户要授权，否则就不能安装软件。”史广顺说。

　　网秦手机安全专家邹仕洪介绍，目前市面上一些手机应用，可以获取的用户隐私为通讯录、短信、照片、平时手机使用习惯、地理位置等。

　　为什么越来越多的软件要求获取用户个人信息？

　　“个人信息对于应用开发者来说也是一种用户资源。”手机应用软件开发者朱南(化名)说，某些应用获取个人信息是为了帮助开发者改善产品，为用户提供更好的服务，比如，微博、人人、微信获取位置，能精准地推送信息；还有一些则是用于商业用途，这些信息常常未经用户同意就透露出去。

　　“应用开发者获取的个人信息是可以卖钱的，需要用户资料的人都有可能买走用户的信息，这在业界是普遍现象，很多都是明码标价的。”朱南说。

　　大成律师事务所律师杜永浩认为，在约定之外利用获取的用户信息牟利，涉嫌侵犯用户隐私，可以依法追究其民事责任，严重的还可能构成犯罪。

　　潜在风险巨大，监管审核存空白

　　为什么这么多软件都要求“过度授权”，又有哪些潜在风险？

　　史广顺分析，目前国内付费应用软件市场状况不理想，对开发者来说，收费了没人用，免费又难以为继，某些免费软件因此铤而走险。

　　邹仕洪说，短信、通讯录、照片都是个人极其私密的信息，如果被暴露出去不仅使得本人受到影响，同时还会影响身边的家人和朋友。不法分子可以通过用户的手机使用和上网习惯来分析出用户喜好，对用户发送相关产品的垃圾短信和骚扰推销电话。

　　更可怕的是，“许多用户是使用一个账号密码来上网，如果泄露其中一个，可能会让不法分子借此对用户进一步进行盗取，例如登陆电子商城的账号密码，直接盗走用户账户内可用的现金。此外黑客可以用户的名义，向亲朋好友发送诈骗信息骗取钱财，例如冒充用户骗取手机充值卡或游戏点卡。”邹仕洪说。

　　既然有这么大的潜在风险，为何不能避免明显不合理的授权？邹仕洪说，目前某些不正规的第三方商店和开放平台在对非官方应用的管理、审核中仍存在较多弊端和漏洞。

　　此前据媒体报道，复旦[微博]大学计算机科学技术学院研究团队曾抽查安卓系统7个应用商城的300余款应用，发现其中58%存在泄露用户隐私的行为，其中25%的程序还将泄露信息进行了加密发送，使得在进行安全性审查时，确认其内容和传送目的地变得非常困难。

　　史广顺说，到底有多少软件在不正当获取用户个人信息，目前没有任何一个机构给出准确数字，这也反映出监管缺位和审核空白。即便像苹果iOS这样的封闭系统，由于审核规则不明确，人工审核效率不高，部分带有不合理授权要求的软件也会侥幸过关。

　　手机“越狱”安全无保障，专家建议用正版

　　为避免手机信息被过度获取，腾讯移动安全实验室手机安全专家陆兆华认为，提高隐私保护意识，养成良好的下载习惯是当务之急。他建议，尽可能到软件官网下载正式版软件。

　　邹仕洪提醒，一些手机安全软件可以为用户提供专业的个人隐私保护服务，防止用户在上网浏览和下载安装应用时误入陷阱，泄露个人隐私。

　　史广顺认为，也要逐步培养手机用户的付费习惯，从手机硬件消费者成长为软件消费者。“比如说，‘越狱’版的苹果系统，手机安全毫无保障，还是有很多人宁可花钱也要把正版系统刷成‘越狱’的，就不怕个人信息泄露吗？与其花‘越狱’的钱，还不如付费下载正版软件。” 

　　专家建议，应用商店和各类软件平台应加强监管，加大审核力度；同时，完善相关法律、提高维权意识也应提上日程。

　　史广顺说，目前手机安全领域几乎是无法可依，还是比照个人计算机领域信息安全在管理。而实际上，手机已成为实体世界和数字世界连接的门户，对个人的影响实在太大了，手机安全需要大幅提高。另外，完善行业认证规范标准，也是当前的可行之策，比如，所有涉及手机金融的软件，都由统一机构认证。