僅僅只是一個(gè)游戲，為何“憤怒的小鳥”要求收發(fā)短消息，“水果忍者”需要用戶的電話號(hào)碼？?jī)H僅只是一個(gè)服務(wù)型的應(yīng)用軟件，為何“航班管家”讀取了你的通訊錄，“公信衛(wèi)士”會(huì)用短消息將手機(jī)號(hào)碼發(fā)回客服？你有沒有想過，這些智能手機(jī)上異常的軟件行為可能使你的個(gè)人隱私遭到泄露。

日前，我國(guó)“千人計(jì)劃”專家、復(fù)旦大學(xué)計(jì)算機(jī)學(xué)院院長(zhǎng)王曉陽(yáng)教授，系統(tǒng)安全研究專家楊珉博士發(fā)布了一項(xiàng)“使用安卓程序的智能手機(jī)用戶隱私泄露情況”的報(bào)告，報(bào)告選取了7個(gè)國(guó)內(nèi)安卓應(yīng)用商城的330項(xiàng)熱門手機(jī)應(yīng)用程序進(jìn)行調(diào)查，發(fā)現(xiàn)手機(jī)用戶的總體信息泄露率將近6成。王曉陽(yáng)還指出，使用其他平臺(tái)的智能手機(jī)，也在不同程度上存在個(gè)人隱私泄露的隱憂。

被泄露的信息包括國(guó)際移動(dòng)設(shè)備身份碼、國(guó)際移動(dòng)用戶識(shí)別碼、集成電路卡識(shí)別碼、通訊錄、手機(jī)號(hào)碼、用戶位置和用戶短信

“授權(quán)請(qǐng)求”是泄露源頭

使用智能手機(jī)時(shí)，很多人都習(xí)慣于到應(yīng)用商城去下載各種好玩或?qū)嵱玫挠螒蚧驊?yīng)用軟件。但下載軟件時(shí)那一堆拗口專業(yè)的“授權(quán)請(qǐng)求”，很多人不會(huì)留意或者干脆直接忽略。

比如，在安裝“憤怒的小鳥”時(shí)，授權(quán)請(qǐng)求中就有一項(xiàng)：收發(fā)短消息。“水果忍者”要求得到用戶的電話號(hào)碼，“航班管家”需要讀取你的通訊錄，“公信衛(wèi)士”則要求用短消息將手機(jī)號(hào)發(fā)回給客服。

這類超出正常需要的授權(quán)請(qǐng)求，其實(shí)都可能為用戶的隱私泄露埋下伏筆。王曉陽(yáng)表示，這些授權(quán)請(qǐng)求，使得個(gè)人的手機(jī)信息、身份信息、地理位置信息、郵件、諸多賬號(hào)信息等被軟件輕易復(fù)制和傳送，但大多數(shù)用戶對(duì)此一無所知，“比如你授權(quán)給一個(gè)軟件自行收發(fā)短消息，那么你的手機(jī)就可能在不知不覺中發(fā)出一些高收費(fèi)的短信，而且這些短信完全可以做到對(duì)用戶隱蔽，你手機(jī)里根本查不到”。

一項(xiàng)由美國(guó)加州大學(xué)伯克利分校針對(duì)谷歌官方軟件市場(chǎng)的調(diào)查結(jié)果顯示，超過33%的軟件要求的授權(quán)超過實(shí)際需要。國(guó)內(nèi)的情況更不容樂觀，王曉陽(yáng)團(tuán)隊(duì)曾對(duì)國(guó)內(nèi)100款熱門軟件進(jìn)行分析，其中80余款過度要求授權(quán)。

手機(jī)上網(wǎng)流量暴增是信息泄露信號(hào)之一

實(shí)驗(yàn)報(bào)告還顯示，用戶個(gè)人信息泄露的三大目的地分為開發(fā)者（65%的信息泄露到此）、廣告商（38%的信息泄露到此）和第三方（23%的信息泄露到此）。有些信息被泄露給多方。

實(shí)驗(yàn)中還發(fā)現(xiàn)，部分程序并非由原開發(fā)者提交給商城，而是由第三方的開發(fā)者對(duì)原始程序進(jìn)行了再次封裝，并嵌入了其它代碼，比如“憤怒的小鳥”的短消息收發(fā)授權(quán)請(qǐng)求，就是經(jīng)過了二次封裝的結(jié)果。

實(shí)驗(yàn)結(jié)果揭示，隱私泄露行為影響的人群非常廣泛。根據(jù)某應(yīng)用商城公布的數(shù)據(jù)顯示，截至5月，其全站共有用戶1100萬(wàn)，安卓系統(tǒng)應(yīng)用程序下載量達(dá)8.59億次。“我們?cè)跈z測(cè)該商城最熱門的40個(gè)應(yīng)用程序中發(fā)現(xiàn)，至少有25個(gè)程序存在竊取用戶隱私信息的行為，以此推算，累計(jì)影響的用戶數(shù)在92萬(wàn)人以上。”王曉陽(yáng)指出，這40個(gè)程序多數(shù)是由知名企業(yè)開發(fā)，企業(yè)的自律與規(guī)范性已相對(duì)較好，“而國(guó)內(nèi)安卓市場(chǎng)中更多的應(yīng)用程序則由中小企業(yè)或個(gè)人開發(fā)者提供，受經(jīng)濟(jì)利益等因素的驅(qū)使，他們更熱衷于惡意收集用戶的隱私數(shù)據(jù)”。

王曉陽(yáng)團(tuán)隊(duì)研究還發(fā)現(xiàn)，除了使用安卓系統(tǒng)的智能手機(jī)和移動(dòng)平臺(tái)，使用iOS的智能手機(jī)比如iPhone以及使用Symbian的智能手機(jī)如諾基亞，其他多數(shù)智能手機(jī)都存在不同程度的軟件信息泄露隱憂，“有的iPhone使用者會(huì)突然發(fā)現(xiàn)手機(jī)上網(wǎng)流量暴增幾百元，這就有可能是那些惡意軟件在后臺(tái)悄悄聯(lián)網(wǎng)導(dǎo)致的”。

[專家建議]

普通用戶避免安裝不健康軟件有條件者工作娛樂手機(jī)各備一個(gè)

王曉陽(yáng)團(tuán)隊(duì)建議，在下載安裝應(yīng)用程序時(shí)，應(yīng)提高警惕，盡量選擇可靠的來源，比如選擇知名度高、負(fù)責(zé)任的應(yīng)用商城或者相應(yīng)程序的官方網(wǎng)站等；在下載和安裝程序時(shí)，可以參考用戶評(píng)價(jià)和評(píng)分信息，不要輕易點(diǎn)擊短信、email、社交網(wǎng)站中有風(fēng)險(xiǎn)的鏈接，尤其應(yīng)該盡量避免安裝一些不健康軟件，因?yàn)榇罅繍阂廛浖纪ㄟ^類似的偽裝吸引用戶下載。

在安裝程序時(shí)，用戶應(yīng)樹立起風(fēng)險(xiǎn)意識(shí)，嚴(yán)格控制系統(tǒng)權(quán)限的授予，盡量避免將訪問個(gè)人隱私數(shù)據(jù)的權(quán)限和訪問網(wǎng)絡(luò)的權(quán)限同時(shí)授予給可疑程序。對(duì)于如賬號(hào)、口令、卡號(hào)、身份信息等，盡量避免明文存儲(chǔ)于手機(jī)，或通過短消息方式等隨意發(fā)送。王曉陽(yáng)還建議，有條件的用戶，可根據(jù)實(shí)際需求，將工作與個(gè)人通信用途的手機(jī)和日常上網(wǎng)娛樂的手機(jī)分開，對(duì)數(shù)據(jù)進(jìn)行物理隔絕，從而最大程度的保護(hù)自身的隱私數(shù)據(jù)。

此外，相關(guān)部門應(yīng)盡快確定移動(dòng)終端隱私數(shù)據(jù)分級(jí)、應(yīng)用程序收集和使用隱私數(shù)據(jù)的規(guī)范、應(yīng)用程序開發(fā)者認(rèn)定、安卓系統(tǒng)的安全機(jī)制和應(yīng)用商城發(fā)布應(yīng)用程序的審核等方面的國(guó)家安全技術(shù)標(biāo)準(zhǔn)，建立應(yīng)用程序的安全性檢測(cè)與測(cè)評(píng)機(jī)制，加強(qiáng)對(duì)應(yīng)用商城運(yùn)營(yíng)商與程序開發(fā)商的監(jiān)督管理。