盗取信息,要小心了

 科技资讯     |      2020-04-22 19:50

随着移动互联网的快速发展以及移动智能设备的不断普及,各类漏洞风险与日俱增,随之而来的用户隐私泄露事件也不断爆发,消费者越来越重视移动应用方面的安全风险,相信移动应用安全问题将会是今年“3.15”的关注点之一。

智能家居APP要上传用户的WiFi密码,阅读APP要读取用户通讯录,游戏APP要获取用户的位置……智能手机时代,丰富的手机应用为使用者的日常生活带来极大便利,但一些过度索取权限的APP,也给用户的信息安全造成不小的隐患。

10bet体育 1

手机应用软件又被称为APP,如今我们的生活已经离不开它了,购物吃饭打车,甚至是交水电费,打开APP,一键搞定。不过轻松归轻松,还得当心其中风险。如果某天你发现手机开始不停下载其他应用、频繁卡顿或者刚充值就莫名其妙欠费了,那么你的手机很可能是安装了恶意APP。

为此,盟主统计了2018年度工信部检测发现问题的软件应用名单,发现191款应用存在违规使用用户个人信息、强制捆绑推广其它软件、恶意吸费等行为。

治理手机应用“越位”、保护个人信息安全,不能只靠用户的“火眼金睛”,更需为APP的权限划定界限。

随着移动互联网应用的普及,个人信息泄露事件时有发生,越来越多的用户开始抱怨所用APP过多收集个人信息。今年全国两会召开前,便有多位政协委员表示,将重点关注个人信息保护。12345市民服务热线在3月5日至12日接到的市民问询中,涉及“个人信息”、“个人隐私”、“APP强制捆绑”等关键词的有126条,网络安全问题日益受到人们的重视。

今年11月,工信部公布2017年3季度检测发现问题的应用软件,口袋大乱斗、秒抢红包助手、部落冲突、360浏览器等15款APP上了黑名单。主要问题是:恶意"吸费"、强行捆绑推广其他应用软件、未经用户同意,收集、使用用户个人信息。至此,工信部在近三年来曝光的问题应用软件总数已达466个。其中,一款叫"风云直播"的APP,从2015年2季度开始,连续4个季度在不同应用商店检测都存在问题,共5次被点名曝光,涉及5个不同版本,是工信部公布的APP黑名单中上榜次数最多的一款。此外还有3款名为"GO桌面"、"百度手机助手"、"胎教音乐盒子"的APP,3次上榜。这些APP的主要问题也是集中在"偷钱"、"盗取信息"等行为。

问题应用类型及来源分析

恶意APP数量在增长

10bet体育,同时,记者发现,近日“APP个人信息举报”微信公众号正式上线,用户可通过该公众号举报违规收集使用个人信息的APP。而据了解,目前全国人大常委会已将制定个人信息保护法列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台。

江苏省消保委法援部工作人员傅铮接受记者采访时表示:“恶意吸费侵犯导致消费者的财产安全在不知不觉中受到威胁,同时,这些APP在消费者下载时会捆绑其他app,侵犯了消费者选择权或者知情权。目前还有一些APP本身不符合上架规定,存在一些问题。”

报告显示,曝光的问题应用主要有游戏、工具、小说阅读和影音娱乐四个类型,其中游戏和工具类应用占比较大,分别为49%和33%。问题应用主要来源于50家商店,其中完美下载、木蚂蚁应用市场2家应用商店检测的问题应用数量居前,应加强应用上架审核管控。

二季度,工信部组织对55家手机应用商店的应用软件进行技术检测,发现违规软件42款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他应用软件等问题,已责令下架。

使用APP却接到推销电话

部分APP整改消极 "变身"后仍可下载

10bet体育 2

调取手机的某些权限,是手机APP正常运行的必经步骤。记者调查发现,在安卓手机中,有以下几个权限最常被调取。其一是“读取已安装应用列表”,借此可以了解和分析用户的使用习惯;其二是“读取本机识别码”,主要用来确定用户的身份;其三是“读取位置信息”,通过获取位置,搜集用户的活动范围,例如导航类软件就必须调取这一权限。

“我实在想不通,一款普通的手电筒软件,为什么需要获得定位的权限呢?”近日,家住黄岗路附近的王华丽下载了一款手电筒软件。在下载页面,这款软件被标注为“官方、安全、MTC认证”,并已被下载过近10万次。但安装时,王华丽发现软件要求获得定位权限。王华丽说:“现在个人信息泄露得这么厉害,和这些需要获得与其功能无关权限的APP有不小关系。”

数据显示,在工信部公布的所有违规APP中,存在"恶意吸费"问题的APP占比达8%,一共35款,基本都是游戏软件,比如2015年下半年被曝光的"开心连连看"。此外,在2017年1、2季度被曝光的"千寻免流"和"开心连连看"还存在"恶意操控用户手机"的问题。据悉,一旦检测发现问题,相关APP会被责令下架。然而,恶意APP仍屡禁不绝,一些APP稍作"变身"后,又再度出现。比如这款"胎教音乐盒子"APP,1年前就因为存在"强行捆绑推广其它应用软件"问题而被要求下架,但记者发现,目前该问题版本在苹果应用商店内仍可以找到并下载。

问题应用违规行为分析

然而,并非所有的APP都能做到“安分守己”。一段时间以来,手机APP过度调用权限、获取用户信息等行为时常见诸报端。尤其是大量山寨和盗版APP,通过调用大量权限的方式,侵害用户的个人隐私和财产安全。

家住联四路附近的刘先生告诉记者,前不久他使用了一款借贷软件,因为“手头比较紧”,没有及时归还。在这种情况下,身边的两个朋友都接到该借贷软件公司的电话,询问情况。“我也不知道他们怎么知道我朋友电话的,可能是APP获得了我的通讯录权限,这也太无奈了。”

江苏省消保委分析,当前APP市场形势复杂,部分应用商店的审核管理不够严格,加之相关条例仍有空白,很容易让APP供应商"钻孔子",面对整改要求,一些供应商甚至态度消极。

报告显示,问题应用主要有强行捆绑推广其他应用、恶意吸费、恶意消耗用户账户积分、未经用户同意,收集和使用用户个人信息、以及在用户不知情的情况下自动外发短信五种违规行为。其中强制捆绑推广其他应用软件最为常见,占比94%。具体分布如下:

据统计,2016年,12321网络不良与垃圾信息举报受理中心共接到不良手机应用有效举报1085455件次,同比上升49.1%,山寨应用窃取用户信息等问题最为突出。同年,国家计算机网络应急技术处理协调中心通过自主捕获和厂商交换获得移动互联网恶意程序205万余个,较2015年增长39%。

同样怀疑个人信息被泄露的还有陈浩。“最近我一直和女友商讨结婚的事,便在某购物平台上搜索了不少请帖、糖盒等内容。而另一个小视频平台也给我推送这些东西,可我确定之前并未在这个APP上搜索过有关结婚的词汇。”

专家表示,为了避免下载到恶意APP,用户在下载手机应用软件时,应首选大型安全的电子市场或者直接到APP官方网站下载;不要轻易点击社交软件里分享出来的破解版、汉化版软件;同时,应尽量养成给APP"最小授权"的习惯,不要随意让APP获取不必要的权限。如当一款地图应用要求开放短信权限,或一款新闻应用要求开启地理位置和读取通讯录时,就需要提高警惕。 10bet体育 3

针对以上五种应用违规类型,盟主特地邀请安卓绿色联盟安全标准专家进行分析。他认为,以上五种类型的违规,主要是因为应用获取了过高的系统权限导致的。

业内人士表示,类似的恶意手机应用程序,虽然在正规的网站和应用商店中受到一定的控制,但通过非正规应用商店途径传播的情况还在增长。

记者就此在街边进行了随机采访。在20位受访者中,遇到过个人信息泄露情况的人数为14人,没有遇到过个人信息泄露情况的人数为6人。在遇到个人信息泄露后,受访者表示主要是受到推销短信或电话的骚扰,其次为接到诈骗电话,再次为收到垃圾邮件。而对于是否曾感觉在下载一些APP时,对方获得的权限与其功能无关时,20位受访者都给出了同样的答案:“是”。

那么应用如何在不知情的情况下,获取高一些敏感系统权限呢?专家解释说,对于TargetSDKVersion小于23的应用,应用在安装时会一次性申请所需要的全部权限,一般用户可能在不经意间就将一些敏感的权限(比如弹窗,短信发送,通讯录读取等权限)授权给了应用,从而导致了以上问题的发生。

积累用户数据才是目的

据了解,对手机APP来说,最热衷的就是获取位置和联系人信息。在采访中,读取位置信息权限和访问联系人权限,是安装和使用手机APP时遇到最多的情况。在安装和使用手机APP时,很少有人阅读应用权限和用户协议或隐私政策,偶尔阅读和从不阅读者居多。在受访的20人中,“总是阅读”为2人,“经常阅读”为4人,“有时阅读”为2人,“偶尔阅读”6人,“从不阅读”6人。

消费者如何避免违规应用风险

DCCI互联网数据中心在《2016年中国安卓手机隐私安全报告》显示,非游戏类APP获取隐私权限普遍增多,越界行为增长明显。例如,高达13%的非游戏类APP越界获取“位置信息”权限,9.1%的非游戏类APP越界获取“访问联系人”权限;高达26%的APP越界获取“位置信息”权限。

多款APP被曝强制捆绑

专家表示:首先应选择主流的应用商店进行下载,并在下载时确认是否通过应用商店的安全测试;其次,在安装的过程中,注意应用申请的权限中是否含有弹窗、短信、通话以及通讯录读取等敏感权限,拒绝这些权限的授权申请;第三,定期更新手机安全软件,并对手机安装的应用进行风险排查。通过以上这些方式可以有效规避应用带来的安全风险。

除了过度获取权限外,还有的APP以更隐蔽的方式获取用户信息。近日,有文章称,京东旗下一款名为“京东微联”的智能家居应用软件,在没有明确告知用户的前提下,擅自将用户的WiFi密码上传至服务器。对此,京东技术团队回应称,虽然黑客对HTTPS传输通道的劫持是比较困难的,但京东微联未来会对敏感信息进行二次加密。

近年来,不少知名APP都被曝出有“泄露个人隐私”之嫌,仅在2018年9月,就有滴滴、华住集团、顺丰等多个行业巨头被曝数据泄露事件。

以下为详细违规应用名单:

因为这一行为涉嫌侵犯用户的个人信息,存在一定的安全隐患,在网络上引起了不小的争议。在事件之外,人们也在讨论,为何有如此多APP热衷“越位”,获得用户信息?

去年,30多名小红书用户在网上爆料,表示接到自称小红书客服的电话诈骗,被骗金额从几千元到几万元不等。同年8月27日,小红书因“违反侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利”被上海市嘉定区市场监督管理局处罚5万元。

10bet体育 4

有业内人士指出,手机APP往往可以免费下载,但互联网企业要通过应用营销变现,就需要尽可能多地收集用户数据。数据越多,越有精准营销的优势。虽然未必所有的数据都有用,但在大数据时代,足量的数据就意味着更多的商机。

处罚决定书指出,小红书APP软件隐私设置成默认允许其他人加为好友并浏览到好友的包括部分个人隐私的相关信息,致使消费者关注的笔记以及兴趣爱好被陌生人了解。属于未充分履行采取技术手段或必要措施义务,未完全尽到防止消费者个人信息泄露责任。

*以上数据来源于工信部网站

加强监管才能治本

而除了个人信息泄露,还有不少市民表示遇到了“APP强制捆绑”的问题。2月27日,工信部公布了2018年第四季度检测发现问题的应用软件名单。43款违规App,有40款存在“强制捆绑推广其他无关应用软件”的行为。

315消费者权益日即将来临,小伙伴们,您认为应用的哪些行为侵犯了您的个人权益了呢?欢迎留言告诉我们~

数据显示,截至去年,中国的手机APP数量已超过1700万个。从聊天、吃饭到购物、出行,手机应用与日常生活的结合日益紧密。一旦过度索取权限的行为泛滥,将大大增加用户信息泄露的风险。

对于“强制捆绑推广其他无关应用软件”,业内人士蒋涛告诉记者,“强制捆绑”是指在用户不知情的情况下,捆绑推广与应用软件无关的APP。部分用户在下载APP的过程中并没有察觉被“强制捆绑”,一般情况下也不会投诉或举报,除非是应用软件弹窗提示并强制安装。

事实上,对于这一行为,相关部门早有规定。《移动互联网应用程序信息服务管理规定》指出,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能。今年6月1日起施行的《网络安全法》也规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息。

在蒋涛看来,“强制捆绑”其实就是一种广告,推广收入是APP捆绑安装其他APP的主要原因。“大多数移动端的APP是免费的,其帮助流量小的APP推广,增加下载量和用户量,这也是一种变现方式。下载这类APP毫无安全性可言,很多流量大的APP为了获得推广收入,可能不会检测推广APP的安全性,所以也存在个人信息泄露的危险性。”

尽管有明确规定,但仍有互联网企业顶风作案,其中甚至不乏互联网巨头。业内人士指出,大企业尚且如此,小企业就更“上行下效”了。此外,目前对于不守法者的惩罚缺乏明确规定,缺少知名判例或罚则,由此也让互联网企业有了侥幸心理。

相关法律正研究起草

对于应用授权等手机安全问题,可以依靠用户自身防范加以避免,但目前的现状不容乐观。数据显示,用户对各类手机安全风险的认知仍需加强,有超过1/4的用户在遭遇手机信息安全事件后不会采取任何措施进行处理。

据悉,截至2018年底,中国4G用户规模已达到11.7亿。很多用户会通过安卓手机自带软件应用市场或者第三方软件市场下载手机APP。但是,手机应用软件存在的种种问题让消费者备受困扰。

对此,业内人士指出,加强监管和执法力度,才是解决此类问题的治本之策。监管部门可以从应用商店入手,通过管理平台间接管理APP,加强应用商店的审核标准,不断改善APP过度索取用户信息的局面。

其实,对于APP泄露个人信息的问题,多年来一直被关注。在今年全国两会上,有多位政协委员表示,将继续重点关注个人信息保护问题。据了解,全国政协委员、重庆静昇律师事务所主任彭静曾表示,未来应对APP进行分级分类监管,完善审批程序,以及压实应用商店的管理责任,加强对APP提供者的安全评估等。而据统计,在去年全国两会上,便有至少25位代表委员关注个人信息保护,并向大会提交了相关议案或建议。

(责任编辑:王擎宇)

今年的全国两会上,对于立法呼声依然很高的个人信息保护法,现任十三届全国人大外事委员会主任委员张业遂给出了回应:“事实上,我国已经有多部法律、法规、规章涉及个人信息保护。比如刑法、民法总则、消费者权益保护法、网络安全法、电子商务法等,都作出了相关的规定。但是从总体上看呈现分散立法状态,所以需要根据形势的发展,制定有针对性的专门法律来加以规范,形成合力。”张业遂表示,全国人大常委会已将制定个人信息保护法列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台。

对此,记者发现,近日“APP个人信息举报”微信公众号正式上线,用户可通过该公众号举报违规收集使用个人信息的APP。APP超范围收集个人信息、强制捆绑其他功能、过度索要系统权限、隐私政策不合理等,都在“APP个人信息举报”公众号的受理范围。

记者了解到,用户可选择的APP问题类别有:APP无隐私政策、超范围收集与业务无关个人信息、强制或频繁索要与业务功能无关的权限、捆绑业务功能要求用户一揽子同意、骚扰通讯录好友、无法注销账号、存在不合理条款、无法删除或更正个人信息、无申诉渠道或渠道无效等。

此外,根据《关于开展APP违法违规收集使用个人信息专项治理的公告》,对于强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,有关主管部门将按照《网络安全法》《消费者权益保护法》等依法予以处罚。有违法违规行为的APP运营者,会被责令限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

上一篇:三星破釜沉舟,这才是安卓机皇 下一篇:没有了