羊城晚报讯 记者林曦、褚韵,实习生王婷报道:“微信”建议绑定QQ用户、“愤怒的小鸟(微博)”要求授权发送短信、“航班管家”请求读取个人通讯录……这种种授权要求已成为智能手机下载应用软件的常态。然而只要一旦同意授权,不经意间就泄露了个人隐私。
近日,复旦(微博)大学公布一项调研成果显示,目前市场上最热门的330个安卓应用程序中,有58%存在泄露用户隐私的情况。
约8500万名安卓用户隐私被“劫持”
日前复旦大学王晓阳教授团队在国内具有代表性的七大安卓应用商城程序中选取了330个热门应用程序进行模拟安全监测,结果表明总体泄露率达58%。其中,第三方商城的用户隐私信息泄露率在60%左右、运营商为65%、平台为72%、终端厂商运营的商城平均为41%。这意味着近六成的安卓应用程序有问题,即约8500万名安卓用户隐私遭到泄露威胁。
据悉,目前安卓手机在中国市场份额高达七成。但今年第一季度安卓手机安全报告称,全球的安卓系统安全威胁中,中国大陆地区以26.7%的比例高居首位。其中以隐私信息窃取为目的的恶意软件高达24.3%,排在首位。
“授权请求”成泄露源头
“智能手机上网的安全性非常低,其存储方式都是标准化的,任何软件只要能访问手机,就可以提取用户信息,且这些信息能被软件轻易复制和传送。”王晓阳教授解释。羊城晚报记者发现,智能手机拥有很多高附加值的信息和资源,不仅包含用户的手机信息、身份信息、地理信息,还包含诸多邮件、文件及账号密码等信息,这些信息的不足之处就是可轻易地被软件复制和传送。
瑞星安全专家唐威对上述说法表示赞同。“安卓是开源的,平台公开,换言之软件用户有自由使用及接触源代码的权利。用户可以自行对软件进行修改、复制及再分发,直接进行信息交换。”他向羊城晚报记者透露,国内安卓市场用户获取软件的途径不一,有各种提供免费、收费或破解的论坛、软件等,难免鱼龙混杂。安卓软件开发的第三方本身也比较混乱,缺乏监管。为使用便利,有些用户还会自己进行系统的“ROOT”破解,获取权限,可能就更容易泄密了。
研究表明,在安卓用户信息泄露的流向中,65%的程序选择将信息泄露给开发者,38%的程序将信息卖给广告商,剩下12%的程序将信息泄露给未确认的第三方。
上半年广东280多万部手机遭受攻击
网秦CEO林宇在接受羊城晚报记者专访时透露,由于智能手机的普及,手机网购风险十分巨大。“今年上半年,中国大陆地区以25.7%的感染比例,再次成为全球手机病毒和恶意软件最大重灾区。在国内,因广东省用户最活跃,大约以22.5%的受灾率居首,有282.2万部手机遭受攻击”。
林宇总结说,手机恶意软件逐渐转向二、三线城市,开始向地域性延伸,针对性的在不同地区推送恶意软件。据易观国际(微博)发布的报告显示,在目前国内的网上支付用户面临的主要安全问题中,木马钓鱼导致损失的比例达到24%,仅次于账户或密码被盗33.9%的比例,位列第二位。而支付宝最新数据显示,仅今年上半年,其与合作伙伴联手屏蔽了超过13.3万个针对网购领域的钓鱼网站。
唐威则提醒安卓手机用户,某些游戏,如果它的许可中要求用户同意读取个人的某些数据,这个游戏就有恶意获取用户信息的嫌疑,因为这和它本身软件功能无关。“最好不要同意,放弃使用”。
手机用户自我保护提示
通过正规渠道下载软件:在下载安装应用程序时,提高警惕,尽量选择知名度高、口碑好的应用商城或者相应程序的官方网站,确保信息来源的可靠性。
避免安装不健康软件:大量恶意软件往往通过伪装吸引用户下载,因此,安装时,用户不要轻易点击短信、E-mail或社交网络中有风险的链接。
严控系统权限的授予:手机用户应树立风险意识,尽量避免将访问个人隐私数据的权限和访问网络的权限同时授予可疑程序。
有条件者工作娱乐手机各备一个:用户可对手机数据进行物理隔绝,将工作和个人通讯用途的手机和上网娱乐的手机分开,尽量避免将账号密码、卡号密码、身份信息等明文存储于手机。
链接
保障手机安全法律仍空白
艾媒咨询集团CEO 张毅在接受羊城晚报记者专访时表示,任何互联网服务都潜在信息泄露危险,除了国家明确立法和严格的保护措施以外,斩断利益链,厂商的自律非常重要;对于用户而言,要选择最安全的渠道使用软件并定期更换密码,恐怕是最保险也是最妥善的保护。
IT法律专家赵占领表示,政府有关部门应提供相应的安全性审查检测工具和服务,规定应用商城承担平台管理和用户数据安全保障的连带责任,要对应用商城上架的所有应用程序进行安全核查及进行开发者验证。今年初工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)已正式通过评审,正报批国家标准。但是,有业内人士担心,《指南》不是强制性标准,甚至也不是推荐性标准,其执行效力如何,仍待观察。
|
|