安卓300款应用六成泄露用户隐私 安全领域频沦陷

　　复旦大学计算机科学技术学院日前发布的报告表明，由于各个应用商城运营方缺乏有力的程序安全审查机制与检测手段，以获取用户隐私信息为目的的程序大量涌现，有可能导致大量用户隐私泄露。该研究团队抽查安卓系统七个应用商城300余款应用，58%存在泄露用户隐私的行为，其中25%的程序 还 将 泄 露 的 信 息 进 行 了 加 密 发送，使得在进行安全性审查时，确认其内容和传送目的地变得非常困难。一些泄露用户隐私的应用甚至连“腾讯手机管家”、“360手机卫士”等杀毒软件都无法查出。

　　专 家 表 示 ， 安 卓 系 统 版 本 过多、应用开发门槛低、应用市场混乱、刷机市场暗藏风险、恶意软件形成联盟，在这些因素的影响下，移动安全已面临巨大威胁。

　　安全领域频频沦陷

　　作为开源、免费策略的成果，安卓系统在近几年以惊人的速度占领市场，成为智能手机市场老大。然而在安卓系统普及的同时，一系列的困扰也随之而来：通知栏广告轰炸、恶意软件、后台扣费甚至信息泄露层出不穷。安卓系统在安全领域频频沦陷，使安卓辉煌的成绩单蒙上了一层阴影。

　　在天津某事业单位工作的阿鹏在一年前购买了一部安卓手机，购买之后他从来没有刷过机，也几乎没有下载过什么软件。前些天他突发奇想下了一堆软件尝鲜，结果当场“中招”———第二天他的包月流量就宣布告罄。而在他身边，安卓用 户 出 现 各 种 各 样 问 题 的 并 不 鲜见。

　　艾 媒 咨 询 发 布 的 数 据 显 示 ，2012第二季度，谷歌公司的安卓系 统 在 我 国 操 作 系 统 中 占 比 达 到6 3 .1 %， 诺 基 亚 塞 班 系 统 占 比19 .9%，苹果公司的iO S操作系统 占 比1 1 .7 %。 有 预 测 认 为 ，2012年将有1 .4亿台移动互联网终端投放中国市场，其中搭载安卓系统的超过总数2/3。

　　网秦手机安全专家邹仕洪告诉记者，由于安卓系统采取了开源+免费的策略，使得手机厂商使用安卓系统门槛很低，导致安卓系统在中低端手机市场出货量极大，市场占有率快速提高。同时在市场竞争中，塞班衰落，WP 8尚未发力，IO S不开放，手机厂商没有太多选择，安卓系统得以独步天下。

　　南开大学信息安全系主任贾红福认为，安卓系统的开放性是一把双刃剑，一方面可以为用户提供更灵 活 的 界 面 和 操 作 ， 提 升 用 户 体验，快速占领市场，另一方面也带来了恶意软件失控、信息安全难以保证的问题。

　　在安卓恶意软件方面，网秦公司提供的数据显示，仅仅在今年6月，就查杀到安卓平台手机恶意软件5582款，数量为当月查杀塞班恶意软件数的十倍，其中有15款恶意软件感染超过10万部手机。360公司的数据显示，已经有超过五万款安卓应用捆绑了通知栏广告插件。

　　业 内 人 士 认 为 ， 恶 意 软 件 推广 领 域 已 经 形 成 联 盟 。 由 于 很 多恶 意 软 件 本 身 就 有 强 制 推 广 的 能力 ， 联 盟 会 接 受 其 他 恶 意 软 件 开发 者 的 委 托 ， 对 新 的 恶 意 软 件 进行 流 氓 推 广 。 恶 意 软 件 与 垃 圾 短信 相 互 结 合 ， 并 与 非 法S P相 勾结，可以在后台完成订购SP服务吸 费 的 全 过 程 ， 产 业 链 条 非 常 巨大。

　　信息泄露风险最大

　　专家表示，安卓系统最大的风险不在于扣费或者恶意广告，而是在于信息安全难以保证，这种信息安全隐患是厂商、应用商城、手机应用多个层面的。

　　据贾红福介绍，安卓系统是谷歌公司开发的一种开源操作系统，安卓系统内核层面的安全是由谷歌来维护的。谷歌拥有世界上技术最强大的工程师团队，应该说在内核层面上安全是有保障的；从手机厂商层面来讲，众多手机厂商均可基于安卓内核“二次加工”，更改界面，植入应用，操作系统的外延掌握在各家厂商手里。由于缺乏统一的规范和安全标准，在完全依靠厂商自律的情况下，在技术层面上讲是有一定风险的。

　　贾红福解释说，由于植入应用一般都在底层，用户很难删除。如果厂商有意窃取用户信息，可以说完 全 没 有 技 术 障 碍 。 这 是 一 个 黑箱，我们不知道厂商有没有窃取我们的信息，也不知道收集了多少信息，只能说不排除这个可能。

　　南开大学信息技术科学学院副教授史广顺认 为 ， 目 前 安 卓 平 台最 大 的 问 题 出 在 应 用 层 面 。 调 查数 据 显 示 ， 约 有 五 成 的 手 机 用 户通过P C端助手安装手机应用。安装 手 机 应 用 时 ， 都 要 用 户 开 “ 调试 模 式 ” 。 如 果 不 开 “ 调 试 模式 ” ， 用 户 无 法 让 手 机 与P C连接 ， 如 果 开 了 “ 调 试 模 式 ” ， 手机 里 的 日 志 信 息 、 用 户 账 号 、 访问 历 史 和 书 签 、 日 历 和 行 程 、 通话记录、各类传感器数据、本地文件等所有信息都向应用商城敞开，存在很大的风险。

　　现在市面上有上百家安卓软件应用商店，著名的就有三十四家，难保这些应用商城都能做好自律。不仅如此，应用商城对应用安全的掌控目前也处于混乱状态。由于追求规模，注重下载量，导致一些应用商城对应用的审查并不严格，许多恶意软件都是通过应用商城扩散的。

　　网 秦 工 作 人 员 王 瑛 告 诉 记者 ， 在 恶 意 软 件 的 作 用 下 ， 窃 取位 置 信 息 甚 至 通 话 内 容 并 非 难事。网秦所截获的“X卧底”是典 型 的 手 机 窃 听 软 件 ， 这 类 窃 听软 件 利 用 了 手 机 的 三 方 通 话 功能 ， 在 诱 骗 用 户 安 装 后 ， 每 次 启动 时 可 由 黑 客 在 通 话 时 插 入 一 则波 段 ， 实 际 置 于 同 一 通 话 环 境 之中 ， 其 中 可 以 随 意 听 取 通 话 信息 。 网 秦 在 上 半 年 截 获 的 隐 私 窃取类恶意软件中，有超过43%的恶意软件可通过G P S等方式实现对目标手机的跟踪定位。

　　高度重视安卓系统隐患

　　史广顺认为，由于移动互联网功能的增强，智能手机上的个人信息往往比电脑上还要多，可是人们对手机信息安全的重视程度却远远不如电脑。

　　窃取信息如此便利，意味着手机上的政治、经济、科技、军事机密都可以毫无障碍地窃取，不仅仅是在侵犯公民的隐私权，更有可能威胁国家的信息安全。

　　中央财经大学民生经济研究中心主任李永壮认为，在安卓系统占据了过半智能机市场的情况下，不可以对其安全隐患视而不见。应该将移动互联安全问题上升到国家信息安全的高度，切实保护好民众的信息和财产安全。

　　据悉，工信部已于2012年6月初发布《关于加强移动智能终端进网管理的通知》(征求意见稿)，该通知主要针对终端设备的制造商进行约束，但未对应用程序的开发者、安卓系统应用商城平台的运营商进行相应监管。

　　贾红福表示，在移动互联安全方面，技术审查存在真空，技术标准也没有出台，更缺乏相应的法规来保障用户的信息安全。用户手机中的个人信息，对于手机厂商、应用商店和应用开发者都有巨大的商业 价 值 ， 而 目 前 对 信 息 安 全 的 把控，完全靠各个环节的自律。指望所有环节都高度自律在现实中是不可能实现的，必须制定相应的法规和制度。

　　史广顺建议，针对手机厂商，应在系统架构、内置应用、信息收集等方面制定统一的技术标准；针对应用商城混乱发展的局面，应加强规范，制定应用审查技术标准，防止恶意应用进驻应用商城传播，并对违规应用商城进行打击；对于恶 意 应 用 开 发 者 和 个 人 信 息 窃 取者，应制定相应惩处法规，加大打击力度。同时，对于对国家安全较为 重 要 的 信 息 ， 更 应 加 大 保 护 力度。（记者　邓中豪）