“愤怒的小鸟”要求短消息读取和发送的权限,“水果忍者”会将你的电话号码泄露给广告商;“航班管家”需要读取你的通讯录……在智能手机和移动互联网普及的今天,当你安装这些热门应用软件时,你是否会留意安装前的授权确认?
“刚开始会(留意授权),但是后面就发现差不多,于是就不看了”、“我会看权限的,不过如果是我特别想用的应用的话还是会安装的”。这就是大多数受访智能手机用户的态度:会留意,但并不在意。
近日,国家“千人计划”专家、复旦大学计算机学院院长王晓阳教授和系统、安全研究专家杨珉博士,对国内7家最具代表性的安卓应用商城的330款热门应用程序进行了调查和分析,发现国内安卓应用商城的热门应用程序中,超过八成要求过度授权,近六成造成用户隐私泄露。
过度的授权正让智能手机变得“太聪明”,并因此给用户信息安全带来隐患。
为此,王晓阳呼吁,我国应尽快制定移动互联及隐私信息领域相关的法律法规与管理办法;普通用户应尽量选择知名度高、负责任的应用商城或者相应程序的官方网站等下载应用软件。
安卓用户隐私状况堪忧
目前安卓系统占据全球智能手机中近70%的市场份额,苹果iOS系统则不到20%,因此,王晓阳教授的课题组主要以安卓平台的应用程序作为调查对象。在国内的第三方应用商城,课题组随机对100款软件进行分析,发现80余款过度要求授权。
为什么授予应用程序过多的权限会引起隐私信息泄露?权限的组合之间又有什么玄机呢?
智能手机采用的是基于权限的安全管理机制,例如安卓系统就采用了约130个权限进行系统资源管控,其中就有打开手机麦克风或摄像头,收集短消息、邮件、账号信息、通讯录、通话记录以及地理位置等信息。
除了明显的超出应用程序功能所需的权限,王晓阳认为一些分开看是合理合法的权限,合在一起用就产生很大的问题:“比方说智能输入法,它要去读通讯录和短信;它也要去上网,更新它的词库。但是会不会它把通讯录读下来以后,通过网上把它送出去了?这些权限合在一起使用的话,就可能出现问题,而用户对此往往是很难区分的。”
为进一步了解目前国内安卓程序泄露用户隐私信息的现状,课题组选取了7个国内安卓应用商城作为样本空间进行实验研究。其中包括:3个国内主流的第三方安卓应用商城、两个终端厂商运营的应用商城、1个电信运营商运营的应用商城和1个即时消息平台运营的应用商城。根据这7个应用商城公布的下载排行榜,选取各应用商城多种类的热门程序,共计330个。
研究发现,3个主流的第三方商城的用户隐私信息泄露率都在60%左右;终端厂商运营的商城信息泄露数相对较少,因其大多数程序是厂商自己开发的;运营商的信息泄露率为65%;平台的信息泄露率为72%。7个商城的总体泄露率达到58%。
其中,信息泄露最普遍的是国际移动设备身份码(可以为开发者和广告商提供精确的用户身份信息);其次是国际移动用户识别码(可被用来辅助确定用户位置)和通讯录,其中通讯录的泄露显然有可能给用户造成更大的损失。
通过跟踪调查发现,65%的程序会将信息泄露给开发者,38%的信息被发送给广告商,还有12%的信息被发送给无法确认身份的第三方。这表明程序的开发者对用户隐私信息保护重视程度不够。
隐私信息形成商业利益链
王晓阳分析说,一是智能手机上高附加值的信息越来越多。智能手机运算能力高,可方便地安装各种应用程序。随着各类云计算平台的不断推出,企业的业务系统客户端(包括企业数据)、个人通信和娱乐软件逐渐集中到这类移动设备上,这会促使移动设备拥有很多高附加值的信息和资源。这些信息和资源不仅包含个人的手机信息、身份信息、地理位置信息,还有可能包含诸多账号信息以及邮件、文件等信息。