本文轉載自ZOL
隨著移動互聯網技術的飛速發展,移動智能系統的逐步成熟,搭載著智能系統的手機、平板大量湧現。於是智能系統的重要組成部分--App應用火了。蘋 果App Store和Android Market的應用目前分別都已超過了47萬、40萬數量級,而其中Android Market的App,達到了以每月2-3萬款的速度增加。
無論您使用的是手機還是平板電腦,或者其他設備,面對如此海量的App,在安裝和使用這些形形色色的App時是否想到過這樣的事情--一些表面上光明正大的App背後卻偷偷地在竊取著您的個人隱私!
每年3·15國際消費者權益日到了,下面我們就來探個究竟,看看到底App有沒有竊取用戶的隱私?如果有,那又是如何來竊取這些隱私的,如何去制止這些威脅行為?
Android App應用分類比例(圖片來源於網絡)
本文將以Android系統的App應用為例,帶著上文的幾個問題一起來深挖一下,分析一些App偷窺用戶隱私的行為到底有什麼樣的內幕。
現象暴露:App對權限過分要求
App運作過程中的不良動作
App從安裝到運行直至最後卸載的全過程,會經過一系列的動作,有些動作往往都是用戶所未能察覺的。那麼,哪些動作可能對用戶本身存在威脅性?
在考究這個問題時,我們需要先來解釋一下,有竊取行為的App都具備什麼樣的動作表現。
先來瞭解竊取隱私的定義。竊取隱私是指用戶在不知情或未授權的情況下,獲取涉及用戶個人信息的,據有隱私竊取屬性,可能的行為包括:獲取短信、彩 信、郵件、通訊錄、通話記錄、通話內容、地理位置、本機手機號碼、本機已安全軟件信息、運行進程、各類賬號信息、各類密碼、用戶文件內容、記錄分析用戶行 為、獲取用戶網絡交易信息、收藏夾信息、用戶聯網信息、用戶下載信息,利用移動終端麥克風、攝像頭等設備獲取音頻、視頻信息等。
安裝過程中要求的權限
App安裝時對權限需求
惡意App根據指令上傳用戶信息
代碼記錄器中紀錄了不良動作的過程
在對App飛流下載和偽裝來電軟件進行安裝的時候,我們發現在安裝開始的第一步,App本身就向用戶索要權限,這些權限包括用戶的位置、網絡通信、跟人日誌數據、硬件以及手機通話記錄等等。這些特徵都與上面我們對竊取隱私的定義點吻合。
備註:App在安裝過程中,通常都需要獲取用戶的某些權限。不過換句話說,並不能說明App所要的任何權限都是不合理的,都會給用戶帶來安全威脅。那麼究竟哪些權限需求是合理的,哪些不合理?我們在接下來的內容中繼續探索。
如何判斷App行為是否帶威脅性
我們在前面也看到了,飛流下載和偽裝來電在用戶安裝的時候,程序本身會向用戶索要相關權限。那麼用戶如何去判斷程序索要的這些權限,是否可能會對用戶的隱私安全帶來威脅性。
App索要權限,其實也並不足以能證實App本身就會採取相應的動作。下面我們總結了一下其中最關鍵的六種狀態,分析索要權限的目的,逐個來做判斷。
1、允許獲取用戶的位置(GPS)。App需要的獲取用戶GPS權限,也即是需要使用到用戶的位置信息。對於這個需求,我們也不能妄下定論,指明凡是索要用戶GPS信息都是不合理的。其實App權限的索要跟該App應用本身的功能特徵密切相關。
實驗顯示App記錄GPS信息並上傳
譬如一款以位置交友為主要目的的App應用,那麼它需要獲得用戶的GPS權限,那也是合情合理的;但是反過來,如果是一款手電筒、或者打火機簡單應用的App,沒有必要去取得用戶的GPS位置權限,如果需要的權限,那只能說明它們具備這方面的隱私威脅嫌疑。
2、獲取完成的互聯網訪問權限。很多App在軟件本身被開發設計的時候,已經考慮到App自身更新的需求,這樣開發者會將軟件自動提示升級的功能加入到軟件內。因此,很多App都在安裝的時候需要獲得用戶手機的互聯網訪問權限。
那是不是說所有App都需要這樣的權限呢?那不見得!比如很多App應用商店中,有一些單部書籍程序提供給用戶下載使用,那麼分析一下,對於這種單 部書籍,通常情況下看完就完,程序本身或者書籍本身都不需要去聯網更新。如果這種App程序安裝時索要用戶的互聯網訪問權限,那就很有盜取隱私的嫌疑了。
3、允許讀取手機聯繫人信息。同樣道理,如果App本身的功能與用戶手機聯繫人,存在著「八竿子打不著」的關係,那麼App這種行為是值得懷疑的。
4、允許讀取用戶手機短信息。
5、查看用戶手機的通話記錄權限。其實,第三、四、五方面是用戶隱私信息的直接體現,理論上除了管理用戶通訊資料相關的App以外,原則上其他任何 第三方的App程序都沒有這個資格去想用戶索取這方面的權限。用戶在安裝手機軟件時,如果看到有需求這些字眼的權限要求,就要特別留意了。
6、獲得硬件控件權限。解釋一下,舉個例子,假如,有這麼一種高科技的App被裝入到了您的手機中,而在您沒有發覺的情況下,正常地去使用手機。如果哪天在網絡上或者是其他用戶那裡聽到自己的通話記錄、看到了自己的行蹤,那麼罪魁禍首可能就是硬件控件權限的丟失。
當然,您也不用太擔心,下面筆者就來查一查,某些已經「違規」的App,到底有沒有真的對外服務器傳輸信息,竊取用戶的隱私信息?
診斷App是否真的在竊取!
專業工具分析得到的結果
在用專業工具(IDA和Java Decomplier)分析後,如果App真的存在竊取用戶隱私的行為,那麼真面目就浮出水面!
結論:當惡意App程序運行後,會讀取了用戶的手機號、服務商、國家代碼、IMEI碼等信息,並進行字符串格式化重組,再上傳到遠方的服務器。
不易被察覺的竊取隱私行為
首先,惡意App要申請相關權限,如收聽電話權限、錄音權限、接受短信的權限等,獲取權限後才能夠獲取相關信息。竊取隱私的模式有兩種:一是本地控制,二是云端控制,後者更不容易被發覺。
本地控制,即由本地來控制什麼時候上傳隱私信息,規則是固定的,主要有幾種:定時或定週期執行操作、監聽執行、重啟開機執行、點擊應用本身觸發;云 端控制,即云端會發送指令,在什麼情況下上傳什麼內容,規則是由服務器定的。相對於本地控制,云端控制更為「高明」,可以隨意修改規則,不易被覺察。
哪些App存在威脅行為?
經過多方諮詢各大安全廠商,結合他們對某些App長期反覆的驗證測試,我們將這些分散的App都收集起來,所得到最後的核查結果。以下程序具備了竊取隱私行為和特徵。
專門工具輕鬆揭穿一些App的行徑
在前文中,我們提到通過使用一些專業的檢測工具,如IDA或Java Decomplier反編譯類型的工具,即可以通過對App程序本身組成的情況,動作捕捉等等,就能判斷出某個被懷疑的App是否真的在進行竊取隱私的行為。
目前從安全部門得到的統計數據,結合通過專門的測試檢查。現在有如下12款App(暫時最新,軟件的性質會隨開發者的程序調整而改變)極有可能存在窺探用戶的個人隱私方面信息。
| 具備竊取隱私特徵的相關App | |
| 1 | 偽裝來電 |
| 2 | 飛流下載 |
| 3 | 小破孩動態壁紙 |
| 4 | 手電筒 |
| 5 | 打火機 |
| 6 | 小水滴(遊戲) |
| 7 | X臥底 |
| 8 | 秀秀 |
| 9 | 媽媽百寶箱 |
| 10 | 模擬器遊戲大全 |
| 11 | 竊聽貓 |
| 12 | 電子鞭炮 |
惡意App應用軟件溯源
具有竊取隱私威脅的App來源渠道有多種,而且跟用戶使用手機下載App的習慣有緊密的聯繫,下面我們將最常發生的,App有害應用來源渠道,總結成為以下四種方式,一一為大家列出。
一、來自於電子市場。當前,電子市場與安全廠商合作,加強了App檢測,但不排除有漏網之魚。Google電子市場曾幾次報告發現惡意軟件,在這些被發現的惡意軟件中,不乏那些病毒、木馬以及隱私竊取軟件的身影;
二、來自論壇。大家知道,互聯網論壇各式各樣,涉及的行業、類別,細化到具體的話題都有,潛伏或者泡在論壇上什麼樣的人都有。一些別有用心的人會將竊取程序植入到普通軟件中,發表在論壇中供大家去下載分享。通過這樣第三方論壇下載的App,出現問題的用戶並不少見;
三、黑心零售商的人為。使用安卓手機的用戶可能都應該有所瞭解,現在網上有很多論壇 裡,提供各種各樣的刷機ROM。而在這些ROM中,很多都是以個人為單位,自己改裝、定製而成的。這樣一些ROM改寫者將木馬、病毒App預先植入ROM 中,用戶只要刷了這些ROM,那麼手機非常可能存在各種威脅和信息洩露了;
四、手機被其他人控制。最後一種可能性,手機被其他人裝入了第三方的控制程序或者控制工具,如惡意安裝了監聽軟件等方式。那麼手機在這種被監聽的狀態下,隱私保護問題就岌岌可危了。
解決方案:如何保護用戶隱私
在前面的內容中,我們通過使用專門的測試工具,可以揭穿某些App的威脅行徑。但對於普遍手機用戶來說,這些方法對比較具有深度和難度,那有沒有更好的方法呢?我們下面來總結一下。
App應用:用戶使用習慣篇
前文已經四種最可能發生隱私被竊取的不良使用習慣,都列舉了出來,下面我們便結合這些問題,總結出行之有效的解決方案,來幫助您遠離、避免隱私被盜取的可能性。
一、從正規渠道下載App,安裝時注意查看權限。在相關權限與軟件本身無關情況下,如非必須就儘量不要安裝。這裡強調了一個點:「相關權限與軟件本身無關」,這樣就避免了威脅的軟件介入。跟軟件本身功能無關的權限,如App向用戶索要,其實就是一種可疑的行為。
二、留意手機定位圖標,GPS標籤是否處於通訊狀態。手機GPS功能,是管理並且控制用戶手機進行地位位置定位 的重要方式,如果用戶打開GPS信息,右上方會有GPS衛星標誌閃動。另外有一種情況下,如果手機GPS在用戶沒有打開的情況下莫名閃動,這時您就應該留 意一下了,或者切換到進程中去看看,到底有哪些軟件正在運作,並使用了手機GPS功能。但是目前已經出現了另外一種方式,就是APK已經不用通過GPS獲 取用戶地理位置了,而只需通過基站獲取信息。
三、留意流量符號,GPRS是否無故接通並運作。如果用戶在沒有聯網的情況下,手機流量在莫名其妙的上傳或下載,「E」標誌閃動(此情況出現在2G網絡下)。用戶還可下載正規的流量監控軟件,如果某些App流量耗費多而本身又無聯網需求,用戶應該注意。
推薦使用安全工具篇
QQ手機管家對App的權限管理功能
金山手機衛士惡意軟件掃瞄功能
安全管家查看已裝軟件詳情
以上,我們提供三款手機安全軟件,分別是QQ手機管家、金山手機衛士以及安全管家。
首先需要指出的是,QQ手機管家是一款完全免費的手機安全與管理軟件。覆蓋了四大智能手機平台,提供系統、通訊、隱私、軟件、上網五大安全體系;防病毒、防騷擾、防洩密、防盜號、防扣費五大防護功能。
上圖中,我們明顯看到,既然App所需要使用到用戶的權限非常的關鍵,因此通過QQ手機管家直接將可疑App中的權限關閉,這樣是對App最為直接 地斷絕與外界服務器進行信息互換的可能性。相對來說,用戶對QQ手機管家使用操作起來相對要輕鬆得多(對比專業的IDE等反編譯軟件)。
而金山手機衛士是金山網絡有限公司開發的一款免費手機安全軟件,目前覆蓋symbian和android兩大主流移動平台。以手機安全為核心,提供有流量監控、惡意扣費攔截、防垃圾短信、防騷擾電話、風險軟件掃瞄及私密空間等實用安全功能。
通過金山手機衛士眾多功能中的其中一項惡意軟件掃瞄,通過這種軟件的掃瞄,將用戶已經在手機系統安裝了的App程序進行分析,如果他們的行為運行可疑,或者是存在威脅性的,金山手機衛士就會提示用戶去卸載掉,用戶在使用起來也非常的方便。
安全管家是一款永久免費的手機安全管理軟件,集手機殺毒、流量監控、程序管理、防盜備份、隱私保護、系統優化、通訊管理、扣費掃瞄等安全防護功能於一體,為用戶提供防騷擾、防扣費、防病毒、防隱私洩漏等全方位保護。
總評:隱私保護與道德底線
本文所分析的是App,這是一些可能用戶們平時也不太注意的環節,例如,年輕人使用Android手機(其他Android設備)較為普遍性,年長 者當然也有不少使用安卓手機的用戶。在這裡,我們找到一組數據來比較一下年輕人與年長者、男性與女性,在對App洩露個人隱私這個問題上,表現出來的注重 程度調查報告。
男女性對隱私保護的注重程度調查
年齡段分類上對隱私保護的注重程度調查
備註:藍色:不關心;黃色:中立;橙色:關心
這組目前最新的國外調查結果顯示,女性移動設備用戶相比男性用戶更關注App軟件對個人隱私問題的保護,男性用戶的關注比例為52%,女性用戶的關注比例為59%。而從年齡段來看45歲以上的用戶對移動App的關注度超過了60%!
歸納總結:分析表明對手機隱私關注的程度沒有男女性別之分,這種隱私對於每一個人來說都是非常重要的。而細微的差別僅在於,年長者要比年輕人更加關 心這個問題,而又恰恰是年長者在App對隱私竊取方面的行為,相對較缺少瞭解。因此,必要的時候借助於對應的安全軟件,加上一些在使用智能手機時的一些操 作習慣,如同本文第四頁中提到的相關方案(點擊查閱)。
維護用戶手機軟件使用的安全,對用戶隱私的密切保護,是各大App廠商、開發者所最為底層的道德線,更是廣大手機用戶使用App最基本的要求。所以,只要雙方攜起手來,共同努力,那麼作為消費者的普通用戶基本權益就會得到最大的保障!
沒有留言:
發佈留言