隐秘的信息收集链:谁在操控你的手机?(2)
隐秘的信息收集
像往常一样,小李在自己的安卓手机上打开几个经常浏览的应用商店,开始挑选时下最热门的手机游戏。在浏览了几家应用商店均未发现自己中意的APP游戏后,他选择将自己此前下的“QQ单机斗地主”重新下载。
小李将“单机斗地主”的关键词输入到应用商店的搜索条中,跳出来许多斗地主的应用软件,一款名为“单机斗地主”的APP应用排在下载量首位,在浏览了图标和自己此前下的游戏没太大差别之后,小李选择了下载,并且在下载安装时也忽略了权限提示。
但是当小李打开这款应用时才发现,这款游戏图标和名称都和自己此前玩的那款游戏极为相似,唯一一点不同就是会强制跳出广告,时不时还有诱导安装其他APP应用的图标弹出。如果手误点进去的话,就必须要看十几秒的广告,或是直接跳转到其他APP应用的下载页面。
小李所不知道的是,在打开这些看似不花钱的广告时,自己的一些隐私信息也许正在被传到云端。
周小姐在一次户外活动上,看到有人在手机上使用一款手电筒的APP应用,使用过后发现十分方便,回家之后在应用商店中找到多款手电筒的APP应用,并下载了一个制作较为美观的。
下载完成的安装过程中,周小姐和小李一样,对于提示的权限一扫而过,快速安装了这款APP应用。正因为周小姐的忽视,一款需要取得用户的GPS位置权限的手电筒应用被安装到了她的手机中。
一般情况下一款以位置交友为主要目的APP应用,它需要获得用户的GPS权限,那也是合情合理的。而一款手电筒或者类似的单机类的APP应用,通常没有必要去取得用户的GPS位置权限。
也许有人会说,很多APP在软件本身被开发设计的时候,已经考虑到APP自身更新的需求,这样开发者会将软件自动提示升级的功能加入到软件内。因此,很多APP都在安装的时候需要获得用户手机的互联网访问权限。
但是这种APP应用有着威胁隐私的嫌疑,这也极大增加了个人手机的风险程度。
上述APP应用主要还是来自于一些电子市场应用商店、各种手机论坛或者是有心人在别人手机中特意种下。
事实上,一些软件会以各种名目要求用户上传个人信息或者开放隐私权限,山寨软件尤甚。在获取用户成本逐渐上涨过程中,小型APP开发团队在制作各种软件时,尽可能用各种方式强行或是暗中获取用户信息。
规模较大的应用厂商收集用户个人信息的行为也在进行。毕竟收集用户信息有利于其产品的推广。但是上述的行为仅仅局限在正规厂家的部分产品中,同时在收集的过程中,正规厂商总会或多或少对信息的用途进行提示,并且对于其安全性给予一定的保证。
但无论是谁,获取信息的目的都指向了利益。
大数据的借口
“一个很简单的案例,在应用商店下载一款很普通的五子棋游戏,这样一个小游戏就可能会提示需要定位权限(是为了方便游戏联网)、需要访问手机麦克风(开启游戏内的语音功能)、同步通讯录(联网和朋友一起玩,顺便推送给用户的朋友圈),如果用户注册账号那手机号肯定必不可少。”互联网安全人士张勇向记者介绍,“一个很简单的小游戏,可能不到1分钟的时间就已经收集到了上述多种信息。有提示算是有良心的,相当部分APP应用在用户下载好之后就已经默默开启了权限,上传用户的信息。”
不过也并不是所有的信息目前都能够转化成商业利益。这些从收集用户处调用的权限信息,一些开发商会进行自用,而这个目的实际上也是为了转化成未来可能出现的商业模式。
收集用户信息是一方面,另一方面APP的应用大多都是免费,如何解决开发和推广成本让开发商绞尽脑汁。
在此背景下,随着智能终端的迅速普及,以移动互联网为载体的移动广告迎来了迅猛发展。根据艾媒咨询《2013-2014年移动广告平台行业观察报告》数据显示,2013年移动广告平台市场整体规模为25.9亿元,同比增长144.3%,2014年将达到50.1亿元,到2018年的市场规模有望达到227.1亿元。移动广告市场的快速增长导致国内涌现出上百家移动广告平台,他们主要依靠在移动应用中集成广告插件,收取广告主的展示费来盈利。这些广告平台大小不一,良莠不齐,他们提供的广告插件没有统一的行业标准,给移动安全带来了一定的风险和隐患。
“许多用户很大几率都会不小心点进APP应用中的插件广告,而有的是强制性广告,较多广告商都是靠着点击和浏览量来收费的。一般情况下都没有什么问题,但是遇到钓鱼的广告,用户手机上的信息很可能在极短的时间内就会泄露。”张勇坦言。
360互联网安全中心将手机用户信息分为以下五类:敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息和软件环境信息。为了能有针对性地投放广告,广告插件一般都会收集很多用户信息,其中包含不少隐私信息,从而导致用户隐私泄露。
获取这些信息可以让插件厂商向特定的应用推广广告,比如向游戏应用推广其他游戏,向翻译软件推广英语教学机构等等。