安卓300款应用六成泄露用户隐私 版本多门槛低

　　复旦大学计算机科学技术学院日前发布的报告表明，由于各个应用商城运营方缺乏有力的程序安全审查机制与检测手段，以获取用户隐私信息为目的的程序大量涌现，有可能导致大量用户隐私泄露。该研究团队抽查安卓系统七个应用商城300余款应用，58%存在泄露用户隐私的行为，其中25%的程序还将泄露的信息进行了加密发送，使得在进行安全性审查时，确认其内容和传送目的地变得非常困难。一些泄露用户隐私的应用甚至连杀毒软件都无法查出。

　　专家表示，安卓系统版本过多、应用开发门槛低、应用市场混乱、刷机市场暗藏风险、恶意软件形成联盟，在这些因素的影响下，移动安全已面临巨大威胁。

　　安全领域频频沦陷

　　作为开源、免费策略的成果，安卓系统在近几年以惊人的速度占领市场，成为智能手机市场老大。然而在安卓系统普及的同时，一系列的困扰也随之而来：通知栏广告轰炸、恶意软件、后台扣费甚至信息泄露层出不穷。安卓系统在安全领域频频沦陷，使安卓辉煌的成绩单蒙上了一层阴影。

　　在天津某事业单位工作的阿鹏在一年前购买了一部安卓手机，购买之后他从来没有刷过机，也几乎没有下载过什么软件。前些天他突发奇想下了一堆软件尝鲜，结果当场“中招”第二天他的包月流量就宣布告罄。而在他身边，安卓用户出现各种各样问题的并不鲜见。

　　艾媒咨询发布的数据显示 ，2012第二季度，谷歌公司的安卓系统在我国操作系统中占比达到6 3 .1 %， 诺基亚塞班系统占比19 .9%，苹果公司的iO S操作系统占比1 1 .7 %。 有预测认为 ，2012年将有1 .4亿台移动互联网终端投放中国市场，其中搭载安卓系统的超过总数2/3。

　　网秦手机安全专家邹仕洪告诉记者，由于安卓系统采取了开源+免费的策略，使得手机厂商使用安卓系统门槛很低，导致安卓系统在中低端手机市场出货量极大，市场占有率快速提高。同时在市场竞争中，塞班衰落，WP 8尚未发力，IO S不开放，手机厂商没有太多选择，安卓系统得以独步天下。

　　南开大学信息安全系主任贾红福认为，安卓系统的开放性是一把双刃剑，一方面可以为用户提供更灵活的界面和操作，提升用户体验，快速占领市场，另一方面也带来了恶意软件失控、信息安全难以保证的问题。

　　在安卓恶意软件方面，网秦公司提供的数据显示，仅仅在今年6月，就查杀到安卓平台手机恶意软件5582款，数量为当月查杀塞班恶意软件数的十倍，其中有15款恶意软件感染超过10万部手机。360公司的数据显示，已经有超过五万款安卓应用捆绑了通知栏广告插件。

　　业内人士认为 ， 恶意软件推广领域已经形成联盟 。 由于很多恶意软件本身就有强制推广的能力，联盟会接受其他恶意软件开发者的委托，对新的恶意软件进行流氓推广。恶意软件与垃圾短信相互结合 ，并与非 法S P相勾结，可以在后台完成订购SP服务吸费的全过程 ， 产业链条非常 巨大。

　　信息泄露风险最大

　　专家表示，安卓系统最大的风险不在于扣费或者恶意广告，而是在于信息安全难以保证，这种信息安全隐患是厂商、应用商城、手机应用多个层面的。

　　据贾红福介绍，安卓系统是谷歌公司开发的一种开源操作系统，安卓系统内核层面的安全是由谷歌来维护的。谷歌拥有世界上技术最强大的工程师团队，应该说在内核层面上安全是有保障的；从手机厂商层面来讲，众多手机厂商均可基于安卓内核“二次加工”，更改界面，植入应用，操作系统的外延掌握在各家厂商手里。由于缺乏统一的规范和安全标准，在完全依靠厂商自律的情况下，在技术层面上讲是有一定风险的。

　　贾红福解释说，由于植入应用一般都在底层，用户很难删除。如果厂商有意窃取用户信息，可以说完全没有技术障碍 。 这是一个黑箱，我们不知道厂商有没有窃取我们的信息，也不知道收集了多少信息，只能说不排除这个可能

　　南开大学信息技术科学学院副教授史广顺认 为 ， 目前安卓平台最大的问题出在应用层面 。 调查数据显示 ， 约有五成的手机用户通过P C端助手安装手机应用。安装 手机应用时 ， 都要用户开“调试模 式 ” 。 如果不开“调试模式”，用户无法让手机 与P C连接 ， 如果开了“调试模式 ” ，手机里的日志信息 、用户账 号 、访问历 史和书 签 、日历和行程 、通话记录、各类传感器数据、本地文件等所有信息都向应用商城敞开，存在很大的风险。

　　现在市面上有上百家安卓软件应用商店，著名的就有三十四家，难保这些应用商城都能做好自律。不仅如此，应用商城对应用安全的掌控目前也处于混乱状态。由于追求规模，注重下载量，导致一些应用商城对应用的审查并不严格，许多恶意软件都是通过应用商城扩散的。

　　网秦工作人员王瑛告诉记者 ， 在恶意软件的作用下 ， 窃取位置信息甚至通话内容并非难事。网秦所截获的“X卧底”是典型的手机窃听软件 ， 这类窃听软件利用了手机的三 方 通 话 功能 ， 在诱骗用户安装 后 ， 每次启动时可由黑客在通话时插入一 则波 段，实际置于同一通话环境之中，其中可以随意听取通话信息 。 网秦在上半年截获的隐私窃取类恶意软件中，有超过43%的恶意软件可通过G P S等方式实现对目标手机的跟踪定位。

　　高度重视安卓系统隐患

　　史广顺认为，由于移动互联网功能的增强，智能手机上的个人信息往往比电脑上还要多，可是人们对手机信息安全的重视程度却远远不如电脑。

　　窃取信息如此便利，意味着手机上的政治、经济、科技、军事机密都可以毫无障碍地窃取，不仅仅是在侵犯公民的隐私权，更有可能威胁国家的信息安全。

　　中央财经大学民生经济研究中心主任李永壮认为，在安卓系统占据了过半智能机市场的情况下，不可以对其安全隐患视而不见。应该将移动互联安全问题上升到国家信息安全的高度，切实保护好民众的信息和财产安全。

　　据悉，工信部已于2012年6月初发布《关于加强移动智能终端进网管理的通知》(征求意见稿)，该通知主要针对终端设备的制造商进行约束，但未对应用程序的开发者、安卓系统应用商城平台的运营商进行相应监管。

　　贾红福表示，在移动互联安全方面，技术审查存在真空，技术标准也没有出台，更缺乏相应的法规来保障用户的信息安全。用户手机中的个人信息，对于手机厂商、应用商店和应用开发者都有巨大的商业价值 ， 而目前对信息安全的把控，完全靠各个环节的自律。指望所有环节都高度自律在现实中是不可能实现的，必须制定相应的法规和制度。

　　史广顺建议，针对手机厂商，应在系统架构、内置应用、信息收集等方面制定统一的技术标准；针对应用商城混乱发展的局面，应加强规范，制定应用审查技术标准，防止恶意应用进驻应用商城传播，并对违规应用商城进行打击；对于恶意应用开发者和个人信息 窃 取者，应制定相应惩处法规，加大打击力度。同时，对于对国家安全较为重要的信 息，更应加大保护力度。(邓中豪)

　　作者：邓中豪