打开APP
小贴士
2步打开 媒体云APP
  • 点击右上角“…” 按钮
  • 使用浏览器/Safari打开
搜索

恶意软件后台获取通话信息、修改联系人  APP时代如何保护隐私?

2019-02-14 18:49

许多人的手机上都有手机应用,也就是APP,但是在享用这些应用软件便利的同时,一些隐私也可能暴露。今年1月起,中央网信办等四部委决定在全国范围内组织开展APP违法违规收集使用个人信息专项治理。在治理整顿中,相关部门发现,相当多的APP都存在过渡收集个人信息的情况。

广告推送“精准”暗藏商业逻辑

陈先生是一位跑步爱好者,平时会用一些跑步的手机软件,也会上网搜索一些体育用品。陈先生发现,最近每次打开购物APP,和跑步相关的商品都源源不断地推送过来,让他不厌其烦。

消费者 陈先生:现在一打开APP,就能看到一些跑步相关的东西,运动手表有时会给你推过来。

和陈先生有着相同困惑的还有许多网友:某网友在浏览社交应用的时候,发现向他精准推送了针对脱发人士的植发服务;还有网友说,前段时间出差,竟被精准推送了当地的楼盘广告。

消费者 陈先生:有一次在某APP上搜了一个比较偏门的东西,准备考虑考虑,也没买。第二天我在另外一个APP上的时候,这个东西也在首页上面。

工信部中国信息通信研究院泰尔终端实验室信息安全部主任 潘娟:因为大家提供的这些信息,各个公司应该说目前可能也有一些合作,他们之间会共享一些信息,这样的话A公司所收集到的这样的信息,可能B公司也拿到了,所以它进行一个推广。

专家认为,大部分手机应用在下载安装时都会被要求开通多项权限,包括通讯录、摄像头、短信、录音、位置等多项权限,而正是这些授权,使得用户的信息被记录了下来。一些企业过度采集用户个人信息,目的就是根据用户的消费行为分析,精准匹配投放商业广告。

无关权限申请多 不授权就不给用

据了解,大量手机应用APP在安装使用时都需要申请通讯录、摄像头、短信、录音、位置等多项与其核心功能无关的权限,若用户拒绝某些权限的申请,应用则无法正常使用。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:可以看它的权限,它几乎申请了所有的权限,比如说位置、信息、日历、电话、相机、短信,身体传感器跟通讯录,它作为一个简单的替换字体这么一个应用软件,它申请了更多的跟它无关的这种权限。

应用软件申请和它的功能不相符的权限并不是个例,而“不授权就不给用”的现象也是屡见不鲜。工作人员为我们测试了一款英语学习应用。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:我们点开应用软件,发现它弹出了权限申请,然后点击拒绝,这个应用就闪退了。然后我们再一次点进去的时候,它弹出来了一个通知,告诉你说我需要照片电话录音这项,这三项权限你需要去设置你才可以使用,如果点击取消他就又会退出去。

泰尔实验室对国内应用市场前1000个应用取样分析,结果显示,大量应用在安装使用时申请了通讯录、摄像头等多项核心敏感权限。研究人员发现,部分APP有向第三方软件开发公司传输用户数据的情况。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:这个链接就是一个手机应用向一个第三方的SDK发送一个数据的链接,它的一些设备地址以及这个手机序列号,还有我所使用的wifi的一些相关的信息,但是我们可以看到这块的一些数据是通过加密的,这边抓到的一些就是乱码。

据介绍,SDK是内置在APP里,由不同公司开发的软件工具包。手机应用通过这个工具包向第三方的软件开发公司发送用户信息,有可能是统计应用的一些使用情况,以便于更好的优化。但是第三方数据公司是否合法地使用这些信息,就难以监测了。

工信部中国信息通信研究院泰尔终端实验室信息安全部主任 潘娟:SDK它同时会收集用户的很多的信息,它在A软件上集成了它收集的信息,那么在B软件上也同样安装的这样一个SDK,那么所有的后台信息它都是共享的,这个时候可能B软件也会了解到这样一个信息。

专家介绍,SDK如何监管也是下一步管理部门研究的新课题。

恶意收集信息 监管部门划红线

研究人员介绍,市场上也有一部分APP是恶意收集用户信息的。研究人员通过一个安全软件展示了恶意应用在用户未知的情况下读取用户的通讯录、短信等个人信息的行为。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:这是一个贷款类的应用,我们现在看到安全软件已经提示我们,软件正在获取我们的位置,然后接着就是在获取我们的IMEI号码,就是设备的一个硬件号码。再接着发它在读取我们的软件信息,手机上安装的软件信息。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:然后我们进入登录界面,选择登录。登录之后发现安全软件提示我们应用正在读取我们的联系人信息,接着再读我们的短消息信息,再接着再读我们的通话记录。如果没有安全软件,那么应用所做的一切的行为都是在后台完成的,用户根本没有办法得知。

专家介绍,没有告知用户就进行信息的收集,这应该属于恶意收集用户信息。另外,部分APP申请权限的时候还存在隐瞒自己真实目的的情况。

工信部中国信息通信研究院泰尔终端实验室信息安全部主任 潘娟:贷款类的APP也有这种情况,它可能收集通讯录的目的,刚开始告知用户说是我为了去进行征信,实际的话它读取了通讯录,可能会用于后续的追债的过程,这个其实已经是一个违法的行为了。

专家介绍,很多APP会申请新建修改删除联系人的权限,而恶意软件会利用这一权限实施犯罪。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 董霁:我们的实验室也制作了一个小工具,去模拟一些恶意应用的行为。比如说应用软件可以去后台读取通话记录和联系人。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 董霁:此时如果是一个恶意的应用软件开发者,他看到这个数据的话,其实可以进行后台的对这个数据的修改。我可以后台去修改他的联系人信息,把信息改成我这个开发者或者这些恶意的后台供应商的一个联系人信息,把原来手机号码改成了另外一个号码。我们用修改后的号码对手机进行电话的拨打,此时我们看到假的主任已经在给我们打电话了。

专家介绍,监管部门出手治理整顿,意味着划下了一条红线。有关部门将督促指导相关企业堵塞漏洞,提高对网络犯罪的防范能力。

来源:央视新闻客户端

编辑:缪小兵

42

许多人的手机上都有手机应用,也就是APP,但是在享用这些应用软件便利的同时,一些隐私也可能暴露。今年1月起,中央网信办等四部委决定在全国范围内组织开展APP违法违规收集使用个人信息专项治理。在治理整顿中,相关部门发现,相当多的APP都存在过渡收集个人信息的情况。

广告推送“精准”暗藏商业逻辑

陈先生是一位跑步爱好者,平时会用一些跑步的手机软件,也会上网搜索一些体育用品。陈先生发现,最近每次打开购物APP,和跑步相关的商品都源源不断地推送过来,让他不厌其烦。

消费者 陈先生:现在一打开APP,就能看到一些跑步相关的东西,运动手表有时会给你推过来。

和陈先生有着相同困惑的还有许多网友:某网友在浏览社交应用的时候,发现向他精准推送了针对脱发人士的植发服务;还有网友说,前段时间出差,竟被精准推送了当地的楼盘广告。

消费者 陈先生:有一次在某APP上搜了一个比较偏门的东西,准备考虑考虑,也没买。第二天我在另外一个APP上的时候,这个东西也在首页上面。

工信部中国信息通信研究院泰尔终端实验室信息安全部主任 潘娟:因为大家提供的这些信息,各个公司应该说目前可能也有一些合作,他们之间会共享一些信息,这样的话A公司所收集到的这样的信息,可能B公司也拿到了,所以它进行一个推广。

专家认为,大部分手机应用在下载安装时都会被要求开通多项权限,包括通讯录、摄像头、短信、录音、位置等多项权限,而正是这些授权,使得用户的信息被记录了下来。一些企业过度采集用户个人信息,目的就是根据用户的消费行为分析,精准匹配投放商业广告。

无关权限申请多 不授权就不给用

据了解,大量手机应用APP在安装使用时都需要申请通讯录、摄像头、短信、录音、位置等多项与其核心功能无关的权限,若用户拒绝某些权限的申请,应用则无法正常使用。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:可以看它的权限,它几乎申请了所有的权限,比如说位置、信息、日历、电话、相机、短信,身体传感器跟通讯录,它作为一个简单的替换字体这么一个应用软件,它申请了更多的跟它无关的这种权限。

应用软件申请和它的功能不相符的权限并不是个例,而“不授权就不给用”的现象也是屡见不鲜。工作人员为我们测试了一款英语学习应用。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:我们点开应用软件,发现它弹出了权限申请,然后点击拒绝,这个应用就闪退了。然后我们再一次点进去的时候,它弹出来了一个通知,告诉你说我需要照片电话录音这项,这三项权限你需要去设置你才可以使用,如果点击取消他就又会退出去。

泰尔实验室对国内应用市场前1000个应用取样分析,结果显示,大量应用在安装使用时申请了通讯录、摄像头等多项核心敏感权限。研究人员发现,部分APP有向第三方软件开发公司传输用户数据的情况。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:这个链接就是一个手机应用向一个第三方的SDK发送一个数据的链接,它的一些设备地址以及这个手机序列号,还有我所使用的wifi的一些相关的信息,但是我们可以看到这块的一些数据是通过加密的,这边抓到的一些就是乱码。

据介绍,SDK是内置在APP里,由不同公司开发的软件工具包。手机应用通过这个工具包向第三方的软件开发公司发送用户信息,有可能是统计应用的一些使用情况,以便于更好的优化。但是第三方数据公司是否合法地使用这些信息,就难以监测了。

工信部中国信息通信研究院泰尔终端实验室信息安全部主任 潘娟:SDK它同时会收集用户的很多的信息,它在A软件上集成了它收集的信息,那么在B软件上也同样安装的这样一个SDK,那么所有的后台信息它都是共享的,这个时候可能B软件也会了解到这样一个信息。

专家介绍,SDK如何监管也是下一步管理部门研究的新课题。

恶意收集信息 监管部门划红线

研究人员介绍,市场上也有一部分APP是恶意收集用户信息的。研究人员通过一个安全软件展示了恶意应用在用户未知的情况下读取用户的通讯录、短信等个人信息的行为。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:这是一个贷款类的应用,我们现在看到安全软件已经提示我们,软件正在获取我们的位置,然后接着就是在获取我们的IMEI号码,就是设备的一个硬件号码。再接着发它在读取我们的软件信息,手机上安装的软件信息。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 王宇晓:然后我们进入登录界面,选择登录。登录之后发现安全软件提示我们应用正在读取我们的联系人信息,接着再读我们的短消息信息,再接着再读我们的通话记录。如果没有安全软件,那么应用所做的一切的行为都是在后台完成的,用户根本没有办法得知。

专家介绍,没有告知用户就进行信息的收集,这应该属于恶意收集用户信息。另外,部分APP申请权限的时候还存在隐瞒自己真实目的的情况。

工信部中国信息通信研究院泰尔终端实验室信息安全部主任 潘娟:贷款类的APP也有这种情况,它可能收集通讯录的目的,刚开始告知用户说是我为了去进行征信,实际的话它读取了通讯录,可能会用于后续的追债的过程,这个其实已经是一个违法的行为了。

专家介绍,很多APP会申请新建修改删除联系人的权限,而恶意软件会利用这一权限实施犯罪。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 董霁:我们的实验室也制作了一个小工具,去模拟一些恶意应用的行为。比如说应用软件可以去后台读取通话记录和联系人。

工信部中国信息通信研究院泰尔终端实验室信息安全部应用软件安全科研主管 董霁:此时如果是一个恶意的应用软件开发者,他看到这个数据的话,其实可以进行后台的对这个数据的修改。我可以后台去修改他的联系人信息,把信息改成我这个开发者或者这些恶意的后台供应商的一个联系人信息,把原来手机号码改成了另外一个号码。我们用修改后的号码对手机进行电话的拨打,此时我们看到假的主任已经在给我们打电话了。

专家介绍,监管部门出手治理整顿,意味着划下了一条红线。有关部门将督促指导相关企业堵塞漏洞,提高对网络犯罪的防范能力。

来源:央视新闻客户端

编辑:缪小兵

点赞 42
相关阅读
template 'mobile_v5/common/wake'

相关阅读

0 条评论
来说两句吧。。。
最热评论
最新评论
我来说两句
来说两句吧...
已有0人参与,点击查看更多精彩评论
加载中。。。。
表情
取消
发布