在近幾年，功能日益強(qiáng)大的智能手機(jī)和其他移動設(shè)備開始進(jìn)入企業(yè)環(huán)境，安全專家經(jīng)常擔(dān)心移動惡意軟件也會隨之增加，正如十多年前在電腦領(lǐng)域所看到的那樣。但根據(jù)最新的報(bào)告顯示，這種擔(dān)憂在很大程度上不切實(shí)際，因?yàn)橐苿討?yīng)用的數(shù)據(jù)收集對企業(yè)和用戶構(gòu)成更大的威脅。

應(yīng)用分析供應(yīng)商Appthority在本月發(fā)布的關(guān)于移動應(yīng)用信譽(yù)的報(bào)告中，詳細(xì)介紹了Android和iOS移動平臺中目前前100名免費(fèi)應(yīng)用和前100名付費(fèi)應(yīng)用的數(shù)據(jù)收集情況。Appthority公司通過在測試環(huán)境中對所有400個(gè)應(yīng)用運(yùn)行靜態(tài)、動態(tài)和行為應(yīng)用分析來收集了報(bào)告中的這些數(shù)據(jù)。

在Google Play應(yīng)用商店的前100位免費(fèi)Android應(yīng)用中，80%會收集唯一設(shè)備標(biāo)識符(UDID)或者IMEI，而82%的應(yīng)用會進(jìn)行某種形式的定位跟蹤，另外30%訪問用戶的地址簿。雖然蘋果經(jīng)常吹捧iOS是比Android更安全的注重隱私的平臺，但Appthority的統(tǒng)計(jì)數(shù)據(jù)并沒有顯示出這一點(diǎn)。在App Store的前100位免費(fèi)應(yīng)用中，超過一半的應(yīng)用涉及相同的UDID和位置跟蹤，26%還訪問用戶的地址簿。

該公司發(fā)現(xiàn)，即使是付費(fèi)應(yīng)用，數(shù)據(jù)收集也很普遍。例如，在前100位付費(fèi)Android應(yīng)用中，65%使用UDID信息，49%收集位置數(shù)據(jù)，還有14%訪問地址簿。而在iOS方面，28%使用UDIF，24%收集位置數(shù)據(jù)，8%訪問地址簿。

相比較而言，在分析的400款應(yīng)用中，Appthority并沒有找到一個(gè)移動惡意軟件的實(shí)例。該公司指出，只有4%的應(yīng)用包含惡意軟件，因?yàn)樵u估會對進(jìn)入iOS App Store的所有應(yīng)用執(zhí)行嚴(yán)格的手動安全審查過程，而谷歌也使用各種技術(shù)來掃描Google Play應(yīng)用中的惡意軟件。

“大家都知道移動惡意軟件，”Appthority總裁Domingo Guerra在接受采訪時(shí)表示，“但不是每個(gè)人都知道這些其他問題。”

數(shù)據(jù)收集的風(fēng)險(xiǎn)

Guerra表示，移動應(yīng)用的數(shù)據(jù)收集會給企業(yè)和用戶帶來很多風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)可能最初不是很明顯。例如，如果用戶同步其企業(yè)Outlook賬戶到個(gè)人智能手機(jī)，該設(shè)備可能可以訪問企業(yè)地址簿，其中包含很多重要客戶的聯(lián)系方式。如果收集這種地址簿信息的應(yīng)用受到攻擊，攻擊者就可以利用這些信息來發(fā)送垃圾郵件到這些聯(lián)系人，收集敏感企業(yè)來點(diǎn)的撥入詳細(xì)信息，讀取日歷中的附件等。

除政府之外，大多數(shù)企業(yè)并沒有非常擔(dān)心位置追蹤數(shù)據(jù)，但如果攻擊者可以獲取關(guān)鍵管理人員的位置，他們可能會利用這些信息，根據(jù)到有關(guān)企業(yè)的訪問來預(yù)測合并或收購消息。Guerra還提到了一個(gè)著名事件，美國士兵在Twitter上分享了自己到達(dá)伊拉克基地的照片，該照片通過地理標(biāo)記包含地理位置的詳細(xì)信息，這導(dǎo)致叛亂分子對美軍基地發(fā)動炮彈攻擊，摧毀了基地的直升機(jī)。

雖然移動應(yīng)用的這些行為值得我們關(guān)注，但Guerra表示，另外一個(gè)同樣大的風(fēng)險(xiǎn)來自于這些所收集的數(shù)據(jù)的最終目的地：廣告網(wǎng)絡(luò)。該報(bào)告發(fā)現(xiàn)，在免費(fèi)的應(yīng)用中，73%的Android應(yīng)用和32%的iOS應(yīng)用允許廣告網(wǎng)絡(luò)收集數(shù)據(jù)。即使是在付費(fèi)應(yīng)用中，仍然有38%的Android應(yīng)用和16%的iOS應(yīng)用傳送數(shù)據(jù)到廣告網(wǎng)絡(luò)，在這種情況下，用戶甚至可能不會意識到這種數(shù)據(jù)收集做法，這種做法屬于開發(fā)者的網(wǎng)站上張貼的隱私政策之外。

移動廣告網(wǎng)絡(luò)的盛行帶來很多風(fēng)險(xiǎn)，攻擊者自己可以偽裝成廣告網(wǎng)絡(luò)，直接搜集用戶數(shù)據(jù)，破壞廣告網(wǎng)絡(luò)的軟件開發(fā)工具包和滲透應(yīng)用，或者干脆瞄準(zhǔn)世界各地十幾個(gè)廣告網(wǎng)絡(luò)存儲的巨大的數(shù)據(jù)收集庫。

“因此，從開發(fā)人員的角度來看，我們承載的數(shù)據(jù)越多，我們約有可能成為攻擊目標(biāo)，這正是廣告網(wǎng)絡(luò)的情況，”Guerra表示，“現(xiàn)在，大多數(shù)應(yīng)用都有多個(gè)廣告網(wǎng)絡(luò)，這讓情況變得更加嚴(yán)重，即使是開發(fā)人員本人可能都不知道所有這些數(shù)據(jù)去向哪里。從攻擊者的角度來看，他們甚至不需要尋找最流行的廣告網(wǎng)絡(luò)，而是找到最薄弱的廣告網(wǎng)絡(luò)，就可以獲取大量數(shù)據(jù)。”