这些被泄露的用户隐私,变现的渠道包括用户隐私信息的出售,以及自身的广告推广。而获得用户隐私信息的买家,则可能用于垃圾短信、骚扰甚至诈骗电话等,或者为广告公司牟利。 由于收集地理位置、设备识别信息、本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告,并进行有效的用户消费行为分析,符合部分急功近利的广告商的利益诉求,app开发者也可以因此而获取广告分成,因而获取这类信息成为某些不正规广告商与app开发者共同的核心利益。
而与此同时,广告插件类app读取联系人、通讯录等核心隐私的现象也大规模存在。
对第三方应用开发者来说,他们希望调用的用户权限越多越好。
调用用户权限越多,就越了解用户信息,越接近rom(存放手机固件代码的存储器,近似于操作系统)的价值,其商业价值就越大。
通过查看一款手机应用调用了哪些权限,如果这些权限不是拿去出售而是自用,也可以大致了解该应用未来可能涉及的一些商业模式。
某知名手机输入法应用读取的用户权限包括5种,分别是:获取短信内容、获取联系人、获取通话记录、手机定位以及获取手机识别码。
软件人士称,“获取手机识别码”基本是每一个手机应用都会调用的权限,主要为了获取该手机的型号来进行应用适配,以及本地手机号码作为登录账户;而“获取短信内容”,是为了方便让输入法做到快捷输入;“获取联系人”是为了导入用户的好友联系人来优化词库,也是为了方便用户在手机上的便捷输入;而“手机定位”则是为了扩充输入法应用基于用户流量的商业模式,比如你用输入法敲打“餐馆”这个词,输入法可能会基于你所在的地理位置来推荐附近的餐厅。
对一款输入法应用为何要“获取通话记录”则未做更多解释,调用“获取通话记录”权限的热门应用还包括百度地图、微信、手机qq等。
金山安全反病毒工程师表示,一些应用调用“获取通话记录”权限主要是为了获悉用户的通话状态,在用户来电话时,软件会采取相应的动作。例如,音乐类应用,当用户接电话时,需要暂停音乐播放。而一些语音类应用也可能会调用该权限,但如果是其他种类应用调用该权限的目的就不好说了。
还有一些应用还调取了“发送短信”的权限。例如,天气类工具应用墨迹天气,可能是出于功能上对天气服务的短信推送需要。而其他的一些应用调取该权限,也可能是需要通过发送短信来认证注册。但在申请得到了该权限后,第三方应用未来会否涉足非法行为,这就依赖于监管了。
为了获得收益,一些应用商店在热门软件中植入恶意广告和病毒木马,并通过应用软件升级来切换成自己开发的“伪应用”的事情也屡有发生。此外,今年1月,通过mdk后门程序,控制者可以随时窃取并上传用户短信内容、私人照片和通讯录,并在后台悄悄下载大量软件,也会消耗大量手机流量。
目前一些对外宣传可以屏蔽第三方应用权限的安全软件,也并非能做到真正地屏蔽。例如调用“获取手机定位”权限的应用,如果安全软件直接屏蔽掉该功能可能导致用户无法启动该应用,而一些安全软件的做法就是通过给该应用输出一些虚拟的地理位置信息,来达到保护用户隐私的目的。
为了能更多地获取用户信息,一些手机应用干脆绕开安全软件直接与手机硬件厂商合作。
在pc端,由于微软开放了admin权限(用户管理者权限),因此一些桌面客户端可以将该权限拿走,而屏蔽竞争对手的客户端,于是有了3q大战的爆发;但在手机移动端,只有手机硬件厂商才有基于android系统的用户管理者权限(root),而其他的第三方应用包括第三方基于android系统之上的rom开发商都没有该权限,因此手机硬件厂商享有最高的用户安全级别。
去年6月,工信部推出《关于加强移动智能终端进网管理的通知》(征求意见稿),提出要对提供app的第三方平台实行备案制,对app应用实行实名制。但也有观点认为,对数以百万的app应用,备案制显然难以操作,并给开发者带来额外成本。保护用户隐私已经成为移动互联网普及的待解难题。
如何解决开放性与安全性的矛盾,这或许是安卓产业链业者所需要思考的问题。
据中国互联网数据中心数据显示,在国内各类android市场下载量前1400位的app内,有66.9%的智能手机移动应用在抓取用户隐私数据,其中,34.5%的移动应用有“隐私越轨”行为。
“隐私越轨”行为是指app抓取用户隐私信息并非app服务功能所必需。
报告认为,61%的短信记录读取权限,73%的通话记录读取权限,是移动应用功能中不必要的权限,即存在“隐私越轨”行为。http://fysj01.51dzw.com
