移动APP隐私乱象：隐私越轨背后的商业牟利

如何解决开放性与安全性的矛盾，这或许是安卓产业链业者所需要思考的问题。

据中国互联网数据中心数据显示，在国内各类Android市场下载量前1400位的APP内，有66.9%的智能手机移动应用在抓取用户隐私数据，其中，34.5%的移动应用有“隐私越轨”行为。

“隐私越轨”行为是指APP抓取用户隐私信息并非APP服务功能所必需。

报告认为，61%的短信记录读取权限，73%的通话记录读取权限，是移动应用功能中不必要的权限，即存在“隐私越轨”行为。

《第一财经日报》记者采访中发现，一些第三方应用通过出售信息、绕开安全应用与硬件厂商联合牟利的现象也大量存在。

“隐私越轨”愈演愈烈

移动安全实验室专家陆兆华对《第一财经日报》表示，APP读取用户隐私正在被大众逐步地认知，但这一现象也在进一步抬头，向窃取用户核心隐私的趋势正在加强。

截至2013年第一季度，据腾讯移动安全实验室软件池数据分析显示，含广告插件的APP总数为2038139个，在所有软件样本中占比43.5%；广告插件类APP已成为手机用户隐私的巨大威胁。

上述机构还抽取了近470万个软件包进行代码扫描，分析软件中是否同时含有申请隐私权限以及读取隐私信息的API结果相关代码问题。统计发现：有读取用户隐私权限的相关操作的软件比例达到71%，即有超过333万个软件包同时申请了隐私权限，且含有读取用户的隐私权限相关操作的代码。

其中在这333万个软件中，读取设备识别信息与本机手机号的占比61.75%与28.33%；读取地理位置信息的占比28.27%；读取通讯录的占比10.29%，读取短信的占比4.22%；打开手机摄像头与录音器的分别占据4.15%与3.75%的比例；读取通话记录的占比2.86%；读取浏览器书签的占比7.93%。

陆兆华表示，一款应用是否属于过度读取隐私权限，主要是看该款软件读取该项隐私权限是基于什么目的，即是否属于功能必需的范畴之内，反之则属于“隐私越轨”行为。

一般而言，安全软件、系统管理软件、通讯软件、社交软件等软件针对用户的通讯录等隐私读取是在合理的权限之内，而LBS、手机地图软件、导航软件等针对用户的地理位置读取与定位也属于合法的权限范畴等。但例如一款游戏软件或壁纸软件需要读取用户的通讯录和短信信息则大可不必。

360方面人士也对记者表示，2013年上半年的热门应用中，一款应用拥有1~5个隐私权限的应用比例达64.5%，拥有6~10个隐私权限的应用占28%，11个以上权限也要占4.9%，不申请任何隐私权限的仅为2.6%。

以热门手机游戏“神庙逃亡”为例，腾讯手机管家针对在Google上下载的官方正版TempleRun(“神庙逃亡”)、含广告插件版TempleRun(以下简称”神庙逃亡”)、被植入了病毒代码的伪 “神庙逃亡”三个版本的软件权限读取情况进行了对比研究，结果统计发现，官方正版的“神庙逃亡”没有读取隐私权限；而含广告插件的“神庙逃亡”读取了手机号、GPS、IMEI和IMSI、拍照、浏览器书签、弹通知栏通知共6项权限；被打包了“病毒代码”的伪“神庙逃亡”则读取了11项权限，在广告插件类“神庙逃亡”读取的6项权限的基础上，还获取了联系人、通话记录、发送短信、拨打电话这4项用户核心隐私权限，用户的关键隐私遭受严重威胁。(责任编辑：admin)