安装手机应用时,可能你并不会想到,它可能会调用你的通讯录、地理位置信息,甚至将你的用户名和密码以明文形式传送,而其不但存在于你自己下载的APP中,还存在与某些品牌手机的预装软件里 –今晚,央视315在行动晚会曝光了多款安卓APP调取用户隐私信息,明文上传和分享这些信息。
最新数据显示,Android应用数量已成功超越苹果,并将率先突破100万大关。而在海量的应用之中,却潜伏着太多“不速之客”。由于利益驱使以及相关法律的缺失,在未经用户许可或蒙蔽用户强行调用权限,“越权”收集、窃取用户隐私。对于APP读取用户隐私权限的规范已刻不容缓。
APP“越权”现象泛滥
位置、联系人、手机号码、手机串号……在用户下载安装或直接使用某些手机应用时,这些关键隐私很可能因非法读取而泄漏。据央视315晚会报道,APP调用过多权限已成为一项重大隐患。如“一款名为红警世界联盟的安卓版软件,收集用户手机号码,手机串号,用户谷歌账号,以及用户手机上的通讯录和地址。”
来自360互联网安全中心数据显示,目前有近4成的手机游戏存在调用过多权限的情况,导致通讯录、短信等用户敏感的数据被随意读取。此类“越权”APP的大量存在直接威胁到手机用户的隐私安全。
据360手机卫士截获的一款名为名为《简单计算器》的APP,经验证其被开发者恶意篡改,加入了恶意扣费代码。当用户上将其安装到手机上后就会被恶意扣费,同时它还窃取机主的联系人、短信息内容等隐私信息,然后将这些隐私信息回传给开发者。
而爱聊、重庆小面、手电筒、实用闹钟、超炫动态壁纸以及如高德地图的某些较早版本中,暗中也潜藏着不可告人的秘密,如读取用户的通讯录、定位、分享账号等隐私信息,应用内容与获取权限内容毫不相关,但因已“越权”具备读取关键隐私信息的能力,用户安装后都将面临隐私泄漏风险。
权限规范已刻不容缓
手机个人信息的泄漏,这是一个技术的问题。同样,这更是一个缺少法规约束的问题。它还是一个摆在监管者面前,一个需要解决的问题 –面对APP“越权”存在调取用户隐私信息的行为,315晚会呼吁加强监管、通过法规来约束。
但据记者了解,目前我国尚无一部个人信息安全法律,而现有涉及个人信息的法律条文,散落于近40部法律、10条法律解释、近30部法规、近200部部门规章之中。工信部认为,要解决我国个人信息安全问题,必须加快制定专门的个人信息保护法。
通过法规,应从顶层对个人信息保护有关内容作出规定,从源头上规范个人信息处理活动,同时严厉打击个人信息犯罪活动。从底层,加强对手机APP读取权限范围的规范,进行必要的安全验证,阻止其安装前、后调用与其主体功能无关的系统权限,通过健全规范确保用户在使用APP过程中的隐私安全。
专家:个人防范更重要
而在通过规范“权限”来解决问题的同时,对于个人用户,积极的防范措施也必不可少,因为正如315晚会中“暗访”重庆矩形空间工作人员时其所坦然的一样,“技术与流氓软件有一点像,能够获取手机里的一些信息,从个人角度讲因为你不希望,百分之八九十的人也不知道手机上会有这么一个东西出现,但是实际上很多多有”。
为此,面对手机中可能正存在的各种随时收集、上传用户隐私的APP应用,用户应尽快提升对手机安全的防护意识,并采取一系列个人防范措施,如手机用户应通过优质的资源下载平台下载APP;可安装360手机卫士等手机安全应用,通过安全应用查杀手机木马、管理APP权限,阻止APP收集隐私和通过各种途径将其上传。
“用户哪里知道,一些安卓版手机软件,给我们带来方便的同时,也在肆无忌惮地窃取着我们的隐私”315晚会中,主持人的道白也道出了用户的愤慨,业内人士指出,对于手机安全、需要通过法律及个人双管齐下,尽快做好个人信息保护的立法工作,制定针对移动互联网相关的法规法则,同时手机用户也应树立手机安全防护意识,从两方面共同推进国内手机信息安全的发展。