二是手机上储存的信息可被应用软件轻易复制和传送。据王晓阳介绍,智能手机对短消息、通话记录、通讯录等信息的储存沿袭了传统手机的存储方式,任何软件只要能访问手机,就可以提取用户信息,因此,这些信息能被软件轻易复制和传送。而在笔记本电脑中,即便恶意软件侵入,也未必能马上找到存储隐私信息的文件夹。
三是智能手机安全管理机制的天然缺陷。在软件安装时,用户必须满足所有的权限申请,同意一次就意味着运行过程中的永远授权,用户无法获知其获得的权限是否合理使用,对软件内敏感信息的传播更是毫不知情。
四是安卓系统完全开放导致应用软件供应方良莠不齐。王晓阳解释说,安卓系统是开源平台,对于软件开发商没有统一认证和规范管理、没有进入门槛也没有惩罚机制——在实验中,课题组就发现部分程序并非由原开发者提交给商城,而是由第三方的开发者对原始程序进行了再次封装,嵌入了其他代码,并因此造成软件使用者的隐私泄露。
而且安卓采用应用商城进行程序发布的模式,他们结合自身商业特性,构建了众多的应用商城,以聚集移动互联网用户——仅在国内就有上百家第三方应用商城,但是这些应用商城缺少有效的应用程序审查机制和检测工具,无法及时对已上架的大量应用进行审查和分析。而且国内关于保护用户隐私信息的法律法规还不完善,无法对应用商城的运营进行约束。
更重要的是,王晓阳认为,关于隐私信息的商业利益链已初步形成,移动广告商、恶意扣费、移动网银支付、用户信息交易等均是利益链上的环节。
国家和公众都应引起重视
据统计,在全球安卓系统的安全威胁中,中国大陆地区以26.7%的比例高居首位;据McAfee提供的安全风险报告,2012年第一季度恶意程序增长1200%。而美国等西方国家已经开始研究移动互联网的安全隐患和应对方法。
王晓阳认为,我国也应尽快重构移动互联环境下的国家信息安全总体战略,加强相应领域的科技布局,进行最前沿的科技攻关。
在法律规范方面,王晓阳认为,我国应尽快确定移动终端隐私数据分级、应用程序收集和使用隐私数据的规范、应用程序开发者认定、安卓系统的安全机制和应用商城发布应用程序的审核等方面的国家安全技术标准,建立应用程序的安全性检测与测评机制,加强对应用商城运营商与程序开发商(者)的监督管理。并在这些标准的基础上,制定相应的法律法规与管理办法,明确告知开发者和运营商孰可为,孰不可为。
此外,还应从国家信息安全的角度出发,加强移动互联网时代用户隐私安全保护方面的知识普及,尤其应强化移动终端使用者的分级管理和对高等级用户的数据保护。
王晓阳也建议智能手机用户加强自我防护:通过正规渠道下载软件;软件安装时严控系统权限授予;必要时,采用物理隔绝的方式,“实在没有办法的时候,又想玩愤怒小鸟,又要用网上银行,就用两个手机”。(新华网)