不少人都會在手機(jī)上安裝“手電筒”APP，以備不時之需。殊不知，這種不起眼的軟件也可能“偷”走你的隱私。美國一家知名的電子安全公司“偵探墻”這幾天警告說，“手電筒”這種不起眼的APP，居然也會把手機(jī)位置、使用者具體信息、聯(lián)系人甚至短信內(nèi)容等偷偷發(fā)送給市場研究公司或廣告公司。與此同時，360互聯(lián)網(wǎng)安全中心日前對最流行的10款正規(guī)廠商廣告插件進(jìn)行了一次全面的安全性分析，結(jié)果發(fā)現(xiàn)十款A(yù)PP廣告插件均涉及收集用戶隱私信息、濫用隱私權(quán)限的情況，還存在消耗手機(jī)流量、躲避安全軟件檢測等行為。

　　技術(shù)專家提醒，在下載免費(fèi)軟件時一定要留點(diǎn)心眼，因?yàn)槊赓M(fèi)軟件的盈利模式之一就是向第三方出售客戶的數(shù)據(jù)。

　　“手電筒”居然要求用戶開放7項(xiàng)權(quán)限

　　在很多人的印象里，“手電筒”只是將手機(jī)背后的閃光燈長時間亮起以提供照明的軟件，可以說是“小兒科中的小兒科”，幾乎沒有什么技術(shù)含量。而且這種應(yīng)用與地圖、交友什么的不一樣，完全是一種單方行為，所以程序一定很簡單。

　　昨日，記者在手機(jī)上自帶的“安卓市場”里，下載了幾款“手電筒”APP。然而，在安裝這些不同出品方出品的“手電筒”軟件后，記者發(fā)現(xiàn)，這種僅需使用手機(jī)閃光燈的軟件，在安裝時居然也提示手機(jī)用戶開放7個權(quán)限，其中包括讀取通訊錄、通話狀態(tài)和身份，以及拍照和視頻功能。更離譜的是，安裝這些手機(jī)軟件時，用戶根本沒有權(quán)利選擇開放哪些功能。在軟件下載完成后，安裝界面沒有提供勾選開放或關(guān)閉某些權(quán)限的功能，只能默認(rèn)全都開放，或者干脆取消安裝。在這種情況下，絕大多數(shù)人都會選擇接受。

　　隨后，記者又使用安卓手機(jī)下載了多款不同類型的軟件。在安裝“58同城”時，提示需要開放個人信息、地理位置、網(wǎng)絡(luò)通訊、賬戶信息等15項(xiàng)權(quán)限。這15項(xiàng)權(quán)限中，地理位置用于同城定位、網(wǎng)絡(luò)通訊用于網(wǎng)絡(luò)連接及訪問，這些權(quán)限的開放，確實(shí)是功能所需。但其中一項(xiàng)個人信息的權(quán)限開放，卻標(biāo)明要查閱敏感日志數(shù)據(jù)。而記者隨后下載的一個“隨身筆記”軟件，居然也同樣提示需要開放個人信息、地理位置、網(wǎng)絡(luò)通訊、賬戶信息等15項(xiàng)權(quán)限。

　　記者遭遇的這一情況，也被剛剛發(fā)布的行業(yè)報(bào)告證實(shí)。昨日，360互聯(lián)網(wǎng)安全中心向記者提供了《2014年APP廣告插件安全研究報(bào)告》。它針對當(dāng)前安卓平臺1000款熱門應(yīng)用中最流行的10款正規(guī)廠商廣告插件進(jìn)行了一次全面的安全性分析。研究數(shù)據(jù)顯示，10款A(yù)PP廣告插件均涉及收集用戶隱私信息、濫用隱私權(quán)限的情況，此外還存在消耗手機(jī)流量、躲避安全軟件檢測等多種不良行為。令人擔(dān)憂的是，目前市場上主流正規(guī)廣告插件均存在一定安全隱患，最嚴(yán)重的甚至?xí)?dǎo)致手機(jī)中毒。

　　記者了解到，上述報(bào)告所測試的10款廣告插件共使用了26項(xiàng)權(quán)限，最多的一款使用了13項(xiàng)權(quán)限，平均每款插件使用了9.6項(xiàng)權(quán)限。100%的插件使用了讀取電話狀態(tài)的權(quán)限，70%的插件使用了獲取用戶地理位置的權(quán)限，20%的插件使用了撥打電話的權(quán)限，10%的插件使用了發(fā)送短信的權(quán)限。所以，在某種程度上說，目前市場上的所有主流廣告插件都存在隱私權(quán)限濫用的問題。此外，在上述10款廣告插件中，有8款會收集用戶的地理位置信息，7款會收集WiFi列表信息，4款會收集安裝應(yīng)用列表信息，3款會收集電話號碼信息。所有廣告插件均會全部收集用戶的五類個人隱私信息：敏感隱私信息、手機(jī)唯一標(biāo)識、聯(lián)網(wǎng)相關(guān)信息、手機(jī)硬件配置信息和軟件環(huán)境信息。

　　這也就意味著手機(jī)用戶的地理位置、手機(jī)號碼、應(yīng)用列表、手機(jī)聯(lián)網(wǎng)方式以及硬件軟件信息都會被插件廠商獲取。這些信息可以讓插件廠商向特定的應(yīng)用推廣廣告，但同時，手機(jī)用戶的手機(jī)使用習(xí)慣、什么時間去過什么地方等隱私信息也會泄露，不法分子完全可以將手機(jī)轉(zhuǎn)換為追蹤設(shè)備，可謂觸目驚心。

　　權(quán)限一開放用戶隱私就被出售

　　既然手機(jī)APP可以向他人傳送信息，那么權(quán)限被開放后，我們的隱私被傳送到哪兒了呢?“要看到隱私去哪兒了，必須通過后臺代碼來分析!”360手機(jī)安全專家潘巨敏告訴記者，為了清楚地看到隱私的去向，他做過一次實(shí)驗(yàn)，就是將手機(jī)連接上電腦，同時開始下載軟件。他找了一款軟件安裝完成后，發(fā)現(xiàn)其后臺立即顯示出一連串代碼數(shù)據(jù)，其中包括通訊錄中的手機(jī)號碼等數(shù)據(jù)。“安裝運(yùn)行完成后，這款軟件就開始偷偷在后臺上傳跟功能絲毫不相關(guān)的手機(jī)號等信息，這些信息最終的去處是遠(yuǎn)端的黑客服務(wù)器。”也就是說，遠(yuǎn)端的黑客服務(wù)器在得到這些數(shù)據(jù)后，可以在用戶毫不知情的情況下，下載更多惡意軟件，“遠(yuǎn)端的服務(wù)器上可以任意查看你的信息內(nèi)容，包括銀行賬戶、密碼等。”

　　“一般泄露出來的個人信息會被用來分析，當(dāng)然不排除通過地下產(chǎn)業(yè)進(jìn)行流轉(zhuǎn)，用于推廣或發(fā)送廣告信息等。”360手機(jī)安全專家朱翼鵬告訴記者，一旦涉及用戶隱私的權(quán)限對某個應(yīng)用放開，就等于把隱私毫無保留地貢獻(xiàn)給應(yīng)用開發(fā)商。一些流氓軟件可能直接賣掉用戶手機(jī)里的資料，或者榨取更隱私的信息，比如銀行賬戶等。而目前手機(jī)應(yīng)用過度申請甚至是濫用權(quán)限的情況非常嚴(yán)重，開發(fā)者為了更多地接受廣告，往往將插件廠商建議的權(quán)限全部聲明在應(yīng)用中。而過度聲明則會導(dǎo)致在某個應(yīng)用出現(xiàn)安全漏洞時，廣告插件獲取的隱私權(quán)限都可以被攻擊，導(dǎo)致手機(jī)用戶的隱私被非法獲取。

　　因此，裝軟件時，手機(jī)用戶一定要注意觀察軟件權(quán)限，手機(jī)惡意廣告插件多通過篡改正常軟件來作惡，如一個連連看游戲，出現(xiàn)了發(fā)短信、訪問相冊等與應(yīng)用不相關(guān)的敏感權(quán)限，就帶有惡意性質(zhì)了;手機(jī)安全軟件可以對權(quán)限進(jìn)行關(guān)閉，用戶可以定期使用安全軟件對手機(jī)進(jìn)行檢測，及時對應(yīng)用程序申請的不必要權(quán)限進(jìn)行管理限制。

　　62%的流量費(fèi)用或被廣告插件所耗

　　手機(jī)APP不僅賣我們的信息，還強(qiáng)推廣告、干擾用戶和消耗流量。上述報(bào)告指出，某些廣告插件除了會在應(yīng)用中顯示各種類型的廣告外，還會通過私自添加瀏覽器標(biāo)簽、私自添加短信記錄、私自創(chuàng)建快捷方式等方法來強(qiáng)制向用戶推送廣告。手機(jī)廣告插件主要通過全系統(tǒng)插屏廣告和頻繁推送通知欄廣告干擾用戶。

　　廣告插件消耗用戶流量分為兩個方面：一是用戶在下載帶有廣告插件的應(yīng)用時，需要為廣告插件消耗的流量買單;二是運(yùn)行帶有廣告插件的應(yīng)用時所下載的廣告數(shù)據(jù)會消耗手機(jī)流量。

　　以一款手電筒應(yīng)用為例，這款手電筒的安裝文件大小約為2.9M，而將該應(yīng)用中的所有廣告插件都去除后重新生成的文件僅為1.1M，二者相差了1.8M，有廣告插件的手電筒程序是沒有廣告插件的手電筒程序的2.6倍。換個角度來看，就是當(dāng)我們?nèi)?yīng)用商店下載這款手電筒程序時，實(shí)際上約62%的流量都浪費(fèi)在了廣告插件上。