首页 > 资讯列表 > 科技资讯 >> 业界动态

安卓之痛:被滥用的手机权限

业界动态 2014-05-26 08:43:33 转载来源: 网络整理/侵权必删

AS网站目录(www.adminso.com):安卓之痛:被滥用的手机权限 根据相关统计,目前我国智能手机的用户已经超过了4个亿,可以说我们现在已经进入了一个移动互联的时代。手机上网在给我们带来了巨大便利的同时,也带来了一些新的隐患和问题,而且有很多隐患可能是我们作为用户平常并没有注意到的

AS网站目录(www.adminso.com):安卓之痛:被滥用的手机权限

根据相关统计,目前我国智能手机的用户已经超过了4个亿,可以说我们现在已经进入了一个移动互联的时代。手机上网在给我们带来了巨大便利的同时,也带来了一些新的隐患和问题,而且有很多隐患可能是我们作为用户平常并没有注意到的。比如说我们在使用手机下载软件的时候,有很多软件要求我们开放通讯录、短信、图片、地理信息等涉及到隐私信息的手机权限,否则就无法正常下载和使用这些软件。那么,这种近似强制性的要求开放隐私权限的目的到底是什么呢?来看今天的记者调查。

拨打电话权限、发送短信权限、获取手机号权限、访问联系人权限、读取地理位置信息权限,如今智能手机用户下载更新一款软件时,常常会遇到这样的要求,而这些权限正是广大手机用户需要保护的隐私内容。

手机用户王冰:

“一共有10个,10个选项。”

手机用户小王在下载一款团购网站时,发现这款软件要求开放10多个手机权限,其中包括拨打电话、读取通讯录等隐私权限,这让她感到十分感到担忧。

手机用户王冰:

“涉及到通讯录啊还有个人信息什么的。而且有的里面,像刚才说到有一款(软件)里面有一个敏感日志、数据之类的(权限),这些有可能就会涉及到我们的隐私。”

小王发现,一些仅仅起到阅读、购物等功能的软件,也像导航、通讯软件一样,要求用户开放编辑短信、精确地理位置等权限。这样的权限要求让小王感到难以理解。

手机用户王冰:

“如果这款软件不是特别必要的话,它要求过多的权限,可能我就不会选择这款软件,我就觉得可能会泄露我的隐私。”

记者了解到,目前我国Android系统的手机应用软件已经接近70万个,由于安卓系统极端开放的特性,大量的金融、购物、视频阅读、工具以及游戏软件,大都要求手机用户开放各类手机权限,其中涉及隐私的权限就达30多个,其中拨打电话、发送短信、获取手机号码、读取手机通讯录、读取短信记录、读取通话记录、读取地理位置信息、获取设备信息这8项,是涉及隐私信息的核心权限。

那么大量的手机软件应用时都会要求一些什么权限呢?什么样的手机软件会要求开放短信、通话等个人隐私信息呢?在一家手机安全机构技术人员的帮助下,记者进行了抽样试验。记者在手机上下载了这款阅读软件,发现读取手机状态和身份、直接拨打电话号码、读取编辑信息、读取发送短信信息、拍摄照片和视频、要求精确位置、读取通讯录等手机权限,都在这款软件获取的内容。

手机安全工程师孙煜:

申请了23权限。发短信呀,获取联系人位置信息算敏感的危险权限。

记者随后对工具类、金融购物类、阅读类、游戏类等手机软件进行了同类下载比较,发现包括短信、联系人信息和精确位置等隐私信息大都被软件获取。其中工具类和视频阅读类软件更多的是获取位置信息;游戏类软件更多获取发送短信权限;而金融类和购物类软件则大多获取联系人信息和精确位置信息。

而在不同类别的手机软件要求权限数量上,记者发现一般的软件要求权限都在10几项左右,最多的竟然获取了50多个权限。

手机安全工程师在对100多个手机软件要求的权限进行了统计,记者看到在这些安卓系统的敏感权限当中,读取电话状态占到第一位,达到95.51%,其余分别是地址定位54.04%,收发短信45.71%,拨打电话33.71%,读取联系人31.16%,录音28.09%。另外,与手机用户个人隐私密切相关的获取运行应用也占到了将近63%。

手机安全工程师告诉记者,在他们看来,被手机软件获取的各类手机权限,相当一部分并不是软件功能所必需的。相对于通讯软件获取联系人信息,导航地图软件要求精确地址信息,一些游戏类软件要求短信权限,阅读类软件要求地址信息和读取通讯录权限,很难让人理解。

手机安全工程师孙煜:

作为一款阅读软件来说,它读取用户的通讯录是没有办法解释的一个行为。

记者:缺这些权限的话,这个软件还可以运行对吗?

还可以运行。

经过初步调查记者了解到,大量的手机软件获取手机的各类权限并不是一个罕见的现象,有的软件获取的权限还高达50多个。而涉及手机用户隐私的权限被获取也十分普遍。

获取短信、通信录、地理位置等隐私权限是否是手机软件功能上的要求呢?在手机安全技术人员帮助下,记者进行了进一步调查。

记者发现,像微信等通信类软件也获取了手机用户的联系人、短信记录、地理位置等信息,但技术人员通过专业的工具进行逆向分析发现,这些权限确实在软件应用中发挥了作用,最终实现了通信录好友添加、摇一摇、附近的人等软件功能。手机安全技术人员在另外10几款手机软件中发现,这些软件都要求了读取编辑短信、读取联系人,甚至拦截拨打电话的权限,但其中5个软件根本没有使用这些权限。

手机安全工程师彭大伟:

有一些就是不必要的权限它也申请了,有些它申请了这项权限,其实从现在来看它没有代码去实现这样的功能。

调查显示,这几个软件在运行中根本没有使用读取联系人、收发短信等功能,但是依然也要求获取手机用户的这些隐私权限。

记者了解到,目前的手机操作系统中,安卓系统对手机权限几乎是没有限制的,这种开放性虽然吸引了大量的应用软件开发,但也造成了权限获取的无序现象。调查发现,很多软件商就是利用这个漏洞,不管有些权限根本用不到,也尽可能地大量获取包括隐私权限在内的各类权限,却丝毫不顾忌手机用户个人隐私面临的巨大威胁。

手机安全专家阚志刚:

我想大部分的这种软件有这么几项5、6项、7、8项就足够了,你要是超过20项或者30项那个(软件)呢,就是很明显的一种权限滥用的这么一个嫌疑了。

调查中记者发现,几乎全部手机软件在其下载安装页面上,只提供了“安装”和“取消”两个选项,而手机用户对软件所要求的各种权限不能选择。也就是说,手机用户只能选择默认安装,或者放弃使用。而有的软件安装页面虽然提供了选项,但是记者试验之后发现,只要取消其中一项权限,就会不断提示重新设置权限,否则这个软件就不能安装,直到全部同意其要求的全部权限为止。

手机安全工程师彭大伟:

就是你没有选择的权利,你只有选择是或者不是的权利,你没有去关闭一些权限(的权利)。

记者调查发现,不管用不用,获取过多的手机权限已经是普遍现象。那么开放给软件商的个人隐私仅仅是用于软件实现功能吗?记者进行了进一步调查。

这款名为“聊天360电话”的手机软件是一个能够节省通话费用的软件,记者下载了这个手机软件,发现其安装界面要求获取手机联系人,读取通话记录等权限。随后记者联系到了这个软件的工作人员。

聊天360电话软件工作人:

记者:就是说要求我开放手机通讯录,这是为什么啊?

就是说你用我们软件拨打电话呢,就比较方便的这个意思,是没有其他意思的

记者:那我那个通讯录信息你们会看到吗?

看不到的,你私人的一些什么隐私问题(信息)是不会透露的,你可以放心。

按照这位工作人员的说法,这款“聊天360电话”的手机软件要求获取联系人信息是为了将记者的手机通讯录同步到软件页面,以方便查询和拨打。如果真是这样,这款软件对读取联系人权限的要求确实是功能上的需要。但事实会像这位工作人员所说的,手机里的联系人信息不会被软件商看到吗?手机安全工程师登陆了该软件并进行了数据包抓取,结果发现,在登陆这款软件的同时,他手机里的所有联系人信息就传送到了该软件的网站后台。

手机安全工程师彭大伟:

可以看到这边,其实它上传了我个人的这个联系人的信息,就会直接把我(的隐私信息)上传到服务器上面去了。

记者看到,手机中的联系人姓名和电话号码,分毫不差地显示在这款软件传往后台的数据包当中,也就是说,这些联系人信息已经被软件后台获取。记者查阅了2011年发布的《移动互联网恶意代码描述规范》,其中关于隐私窃取的描述中规定,“在用户不知情或未授权的情况下,获取通讯录内容”的行为属于隐私窃取属性。

手机安全工程师彭大伟:

你在本地去操作是可以的,但是你不能把我(的隐私信息)上传到服务器上面去。把这个联系人(信息)获取之后,然后再偷偷地上传到远程的后台服务器,那这种行为就是肯定是非常恶意窃取用户隐私的这种行为。

通过进一步调查记者发现,要求获取通信录等隐私信息的手机软件,有的并不像软件商宣称的不会读取、传送这些隐私内容,而是在手机用户毫不知情的情况下,悄悄窃取了手机中的联系人信息。

调查中记者发现,除了联系人信息、通话记录等隐私内容被软件商窃取之外,手机当中的所有应用软件竟然也可以传到软件商的后台服务器。手机安全工程师打开了这款名为“爱聊”的手机通讯软件,这款软件也需要一些读取个人的信息,还要求获取手机正在运行的应用程序信息。登陆之后记者发现,手机中近百个应用程序毫无遗漏地也被传到该软件的服务器后台。

手机安全工程师彭大伟:

我装了什么东西都上传上去了。

记者:就是你这个手机上所有的应用全给你上传了是吗?

对对,我装的所有应用,都已经被上传到后台服务器了。

记者看到,手机中的新浪微博、支付钱包等手机应用软件,在传往软件后台的数据包中都能一一找到,所有的手机应用软件已经被打包传送出去,而记者却毫无察觉。手机安全工程师告诉记者,这意味着手机用户的爱好、习惯应经被恶意窃取者通过这些软件摸得一清二楚。特别是一些炒股、金融和支付等软件的账号和密码,如果被恶意监视,则会带来更大大的财产损失隐患。

记者发现,除了能够通过隐私权限违规传送通讯录、应用软件等内容,一些软件特别是游戏软件还能够通过收发短信权限实现恶意扣费。而这款软件被点击的同时,还悄悄地自动下载其他应用,推销其他软件,暗中损耗了手机用户的流量。

在调查过程中我们发现,有些软件要求开放一些隐私权限确实是软件本身功能上的需要,比如说导航软件要求用户开放准确的位置信息是合理的,但是有更多的软件要求用户开放与软件功能无关的隐私信息权限显然就是不合理的了,而用户一旦开放了这些权限,自己的隐私信息就可能被软件开发商和运营商掌握,留下很大的安全隐患,而如果不开放呢,对不起,就不能使用这些软件了。对于用户来说,这些软件提出了这种近乎无理的要求就这样成了一个难解的困局,那么到底有没有破解这个困局的出路和办法呢?继续来看记者的调查。

通过大量的调查记者发现,安卓系统手机权限的无限开放和管理缺失,使得众多的软件商任意获取手机用户隐私权限成为了一种普遍现象。业内人士告诉记者,随着移动网络竞争愈加激烈,精准营销成为趋势,一些软件开发者即使暂时用不上相关权限,也乐于获取能够体现手机用户身份、交际特点、活动轨迹等特点的各类隐私信息。

手机安全专家阚志刚:

这些信息呢虽然现在没有发挥作用,有可能以后呢会卖到很多很多的这个钱,所以说大家呢都是怀着一种储备信息的这么一个概念,来去做这个事情。这个开发者为什么用过多地用这些权限的一个最根本的原因,我想呢还是有这种商业利益来驱使的。

而不容忽视的是,手机权限滥用还带来了更为严重的资费损失和隐私外泄。专家分析认为,有的软件是通过自身获取的权限窃取隐私,暗中扣费。有的软件被恶意程序或病毒利用,被二次打包之后投放市场,同样暗中窃取隐私,甚至通过窃取账号和密码获利。不管通过什么途径,手机权限滥用带来的严重威胁已经潜伏每一个手机用户身边。

目前,我国智能手机用户已经超过4亿,安卓系统智能手机的用户也已超过2亿。在这样一个数字面前,手机权限的随意滥用以及带来的危害值得警惕。专家认为,手机权限的审核、分级势在必行。

手机安全专家阚志刚:

也就是有多大碗装多大(少)饭,你干什么活呢,你就是需要什么样的这个权限如果你是安全类的,那就能够给你对应着安全类有几个权限,视频类的有八个权限你就可以用这八个权限就可以,什么应用什么类别,每个类别对应的什么权限,对于每一个开发者来讲呢都是一目了然的,对于来百姓来讲呢也是一目了然的。

专家提示,浏览器历史记录和书签、手机联系人资料和日历活动、本机号码等个人隐私信息,一般会被系统优化、系统安全、地图、输入法、浏览器等系统管理应用获取权限,而小游戏之类的安卓应用需要获取该项权限,有短信扣费风险;信息权限一般是短信管理应用软件应用才需要获取该权限。游戏需要这个权限也可能有扣费隐患。位置权限一般使用在地图、生活服务等安卓软件应用中。

下载手机软件就必须按照要求开放隐私信息权限,否则就不能下载和使用,这样的要求可真是够霸道的。专家分析之后指出,之所以会出现这种现象,一个重要的原因,是现在移动互联网的世界,过分强调开放性而忽视了必要的规范性,如果能针对不同种类软件的功能,制定出相应的开放隐私权限的标准,其实就能改变这种霸道的不公平现象。从这个角度来看,加强规范性的要求和引导,对于移动互联网的健康成长无疑是非常必要的。

标签: 安卓 之痛 用的 手机 权限


声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!

站长搜索

http://www.adminso.com

Copyright @ 2007~2024 All Rights Reserved.

Powered By 站长搜索

打开手机扫描上面的二维码打开手机版


使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

站长搜索目录系统技术支持