姜姝

近日，360互聯(lián)網(wǎng)安全中心發(fā)布《2014年APP廣告插件安全研究報(bào)告》，針對(duì)當(dāng)前安卓平臺(tái)1000款熱門(mén)應(yīng)用中最流行的10款正規(guī)廠商廣告插件進(jìn)行了一次全面安全性分析。

研究數(shù)據(jù)顯示，十款A(yù)PP廣告插件均涉及收集用戶隱私信息、濫用隱私權(quán)限的情況，此外，還存在消耗手機(jī)流量、躲避安全軟件檢測(cè)等多種不良行為。根據(jù)數(shù)據(jù)顯示，2014年中國(guó)移動(dòng)廣告平臺(tái)市場(chǎng)整體規(guī)模將達(dá)到50.1億元。市場(chǎng)規(guī)模不斷擴(kuò)大，但國(guó)內(nèi)移動(dòng)廣告平臺(tái)缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，良莠不齊，給移動(dòng)安全帶來(lái)了一定的風(fēng)險(xiǎn)和隱患。

主流廣告插件存安全漏洞

可致手機(jī)中毒

360互聯(lián)網(wǎng)安全中心對(duì)十款主流廣告插件分析發(fā)現(xiàn)，共有3款插件存在兩種比較危險(xiǎn)的安全漏洞。一種安全漏洞會(huì)導(dǎo)致廣告插件在自動(dòng)更新過(guò)程中，可能會(huì)下載并安裝被篡改過(guò)的更新包或惡意更新包，進(jìn)而使用戶手機(jī)感染木馬病毒并面臨安全威脅。而另一種安全漏洞更為危險(xiǎn)，不法分子利用此漏洞，甚至可以在手機(jī)用戶觀看廣告的同時(shí)將手機(jī)中的文件、通信錄、短信、帳號(hào)等私密信息竊走，還可以利用這一漏洞讓用戶手機(jī)感染木馬病毒。更為嚴(yán)重的是，3款存在漏洞的插件中，有1款同時(shí)存在上述兩種安全漏洞。

權(quán)限濫用收集用戶隱私

《報(bào)告》顯示，在分析的10款廣告插件中，有8款會(huì)收集用戶的地理位置信息，7款會(huì)收集Wi-Fi列表信息等信息。所有廣告插件均會(huì)收集用戶的五類(lèi)個(gè)人隱私信息：敏感隱私信息、手機(jī)唯一標(biāo)識(shí)、聯(lián)網(wǎng)相關(guān)信息、手機(jī)硬件配置信息和軟件環(huán)境信息。

這也就意味著，手機(jī)用戶的地理位置、手機(jī)號(hào)碼、應(yīng)用列表、手機(jī)聯(lián)網(wǎng)方式以及硬件軟件信息都會(huì)被插件廠商獲取。這些信息可以讓插件廠商向特定的應(yīng)用推廣廣告，但同時(shí)，手機(jī)用戶的手機(jī)使用習(xí)慣、什么時(shí)間去過(guò)什么地方等隱私信息也會(huì)泄露，不法分子完全可以將手機(jī)轉(zhuǎn)換為追蹤設(shè)備，可謂是觸目驚心。

報(bào)告測(cè)試的10款廣告插件共使用了26項(xiàng)權(quán)限，最多的一款使用了13項(xiàng)權(quán)限，平均每款插件使用了9.6項(xiàng)權(quán)限。100%的插件使用了讀取電話狀態(tài)的權(quán)限，70%的插件使用了獲取用戶地理位置的權(quán)限。所以，在某種程度上說(shuō)，目前市場(chǎng)上所有主流廣告插件，都存在隱私權(quán)限濫用問(wèn)題。

62%的流量費(fèi)用

或被廣告插件所耗

強(qiáng)推廣告、干擾用戶和消耗流量是廣告插件主要的不良行為?！秷?bào)告》指出，某些廣告插件除了在應(yīng)用中顯示各種類(lèi)型的廣告外，還會(huì)通過(guò)私自添加瀏覽器標(biāo)簽，私自添加短信記錄等方法來(lái)強(qiáng)制向用戶推送廣告。手機(jī)廣告插件主要通過(guò)全系統(tǒng)插屏廣告和頻繁推送通知欄廣告干擾用戶。

廣告插件消耗用戶流量分為兩個(gè)方面，一是用戶在下載帶有廣告插件應(yīng)用時(shí)，需要為廣告插件消耗的流量買(mǎi)單，二是運(yùn)行帶有廣告插件應(yīng)用時(shí)廣告插件下載廣告數(shù)據(jù)會(huì)消耗流量。

360手機(jī)安全專(zhuān)家建議，應(yīng)用程序要合理使用隱私權(quán)限，并注意保護(hù)手機(jī)用戶的隱私數(shù)據(jù)。同時(shí)，手機(jī)用戶盡量從安全可靠的應(yīng)用市場(chǎng)下載手機(jī)軟件；安裝軟件時(shí)，注意觀察軟件權(quán)限。