一個備受爭議的晚會，央視“3.15晚會”，除了一些無厘頭的打假，還有沒有有價值的信息？其曝光了大部分移動應(yīng)用（APP）存在私自獲取手機用戶個人信息的行為究竟怎么回事？在這些隱私信息中，位置信息成第一獲取目標，聯(lián)系人、通話記錄、短信記錄這些敏感隱私信息讀取普遍。除此之外呢？隱私用來干嘛？這一系列也都形成了一個未知的環(huán)。

在“3.15”之前，DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心（以下簡稱“DCCI”）發(fā)布了《2013移動隱私安全評測報告》。報告顯示，高達66.9%的APP擁有獲取用戶隱私的權(quán)限，34.5%的APP涉嫌過度收集用戶隱私行為，即APP除了獲取本身功能需要的數(shù)據(jù)以外，還收集其本身不需要的其他數(shù)據(jù)。

實際上，據(jù)鈦媒體小編了解，APP不止收集用戶隱私，還亂扣手機話費、植入惡意廣告，游離于法律的灰色空間，業(yè)已形成一條黑暗的隱形暴利鏈條。

黑色產(chǎn)業(yè)鏈：惡意軟件吸費

在大量的APP軟件中，手機游戲和內(nèi)置廣告插件等惡意軟件，存在吸費、吃流量、偷發(fā)短信現(xiàn)象最嚴重。

據(jù)一位知情人士向鈦媒體透露，像吸費這種現(xiàn)象在地級市以下的地方更嚴重，尤其是那種千元智能機或更便宜的山寨智能機被安裝了大量吸費的手機游戲，都是盜版和仿冒下載量較高的游戲，比如在山寨版的《憤怒的小鳥》、《神廟》等游戲中內(nèi)置扣費插件，用戶下載后插件就會暗中扣費。

一般都是游戲前10關(guān)不要錢，到了10關(guān)以后就開始扣費了；或者幫用戶訂制增值業(yè)務(wù)短信?！?B>不經(jīng)過你的同意，它就會神不知鬼不覺的扣掉你的錢，唰唰唰幾十塊錢很快就沒了。”

還有就是內(nèi)置廣告插件吸費。該知情人士認識的一個朋友，2011年在深圳給手機刷機，每天大概能出到15萬臺，每臺手機里刷20個應(yīng)用里就有一半在推廣告。“那些APP開發(fā)者主動找到他，給他錢讓他幫忙在APP里內(nèi)置廣告插件，這個手機一刷完全是數(shù)據(jù)廣告，等于說就變成了一個肉雞。”

當用戶在使用這些應(yīng)用時，內(nèi)置廣告就會通過聯(lián)網(wǎng)下載和刷新，悶聲不響“吃流量”，什么都沒干，流量就沒了?！斑@是整個產(chǎn)業(yè)鏈條比較黑暗的一條，但這也是很多做APP的被逼無奈，因為要靠這個賺錢的?！?/P>

除了上述扣手機費、吃流量的現(xiàn)象，還有偷發(fā)手機短信的。

很多惡意軟件，它會通過你的手機給你通訊錄里的聯(lián)系人發(fā)垃圾信息。它非常智能，會查看你手機套餐里發(fā)了多少條短信，還剩多少條沒用完。查看完以后，它只發(fā)你手機里剩下的這些短信，不會額外扣你的話費，這個你一般也不會察覺。

“它會檢測到你的手機是不是鎖屏。如果你的手機是鎖屏，說明你沒有在用手機，它會趁機把短信發(fā)出去，發(fā)完之后還會刪除，這個你完全看不出來，完全可以做到用戶不知情。”上述知情人士說。

在LBE安全大師COO高偌薇看來，更可怕的事情還在后頭呢，有些惡意軟件在用戶發(fā)現(xiàn)之后還能卸載掉，有些變種的惡意軟件，即便卸載也未必能完成清除，還會繼續(xù)在后臺“為非作歹”。

如復(fù)旦大學計算機系統(tǒng)與安全專家楊珉在接受《新民晚報》采訪時分析的那樣，許多用戶下載的熱門應(yīng)用軟件，其實已經(jīng)被動過手腳了，軟件里被重新打包了一些惡意代碼。

“這種代碼可以讓手機在用戶未授權(quán)的情況下，通過發(fā)短信或者鏈接指定的扣費網(wǎng)站，為機主訂購不同類型的手機業(yè)務(wù)。它最厲害的地方在于，可以屏蔽掉扣費業(yè)務(wù)發(fā)送給用戶的扣費確認短信?！?/P>

正常的業(yè)務(wù)模式中，手機短信正常扣費需要經(jīng)過“詢問是否訂購業(yè)務(wù)、服務(wù)器反饋、最終確認扣費”這三個步驟，但在上述惡意APP上，用戶一個也步驟也收不到，即便遭受了經(jīng)濟損失也還會完全蒙在鼓里。

灰色地帶：APP“越軌”抓取用戶信息

事實上，在惡意軟件吸費、吃流量和偷發(fā)短信的同時，還有許多用戶自認為“安全”的APP也在悄悄地抓取用戶個人信息。

《2013移動隱私安全評測報告》顯示，通過對中國各類安卓市場下載量前1400位的應(yīng)用進行了相關(guān)調(diào)查，高達66.9%的APP擁有獲取用戶隱私的權(quán)限，34.5%的APP涉嫌過度收集用戶隱私行為，即APP除了獲取本身功能需要的數(shù)據(jù)以外，還收集超出本身功能之外的其他信息。

在這些隱私信息中，位置信息成第一獲取目標，聯(lián)系人、通話記錄、短信記錄這些敏感隱私信息讀取普遍。

在DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心創(chuàng)始人胡延平看來，有些APP獲取用戶信息是為了應(yīng)用本身功能所需，可以理解；但有些APP除了獲取本身功能需要的信息以外，還會獲取更多其它信息，這是難以理解的?！熬秃帽纫豢钆恼哲浖?，本來是用來拍照的，但它還要去讀取你的位置信息、通話記錄；一款鬧鐘軟件會去讀取你的短信記錄、聯(lián)系人?！?/P>

這在安全廠商看來，手機軟件到底有沒有“越軌”竊取用戶過多信息很難辨別清楚，這被安全廠商稱為“灰色地帶”。比如讀取位置信息和通信記錄的拍照軟件，很可能是要在拍照完之后分享給其他人；讀取短信記錄的鬧鐘，它可能未來要增加更多短信相關(guān)的功能。為了推動整個產(chǎn)業(yè)的發(fā)展，只要開發(fā)者給出合理的理由，就無法拒絕他調(diào)取用戶權(quán)限。

就算是用戶為防止個人信息泄露，要卸載這些軟件或者禁止這些軟件使用自己的這些隱私權(quán)限時，仍然沒有辦法，因為大部分手機只有經(jīng)過ROOT之后才被允許。（ROOT就好像是手機系統(tǒng)中唯一的萬能用戶，擁有系統(tǒng)中所有的權(quán)限，如啟動或停止一個進程，刪除或增加用戶，增加或者禁用硬件等等。）這也正是安全廠商的為難之處，受ROOT權(quán)限限制只能提醒用戶哪些權(quán)限遭到濫用，而不能前去禁止。

即使在ROOT之后用戶可以限制軟件使用某些權(quán)限，但這又會帶來新的安全隱患，“惡意插件”攻擊的對象往往面向的是ROOT之后的安卓手機用戶群。只要聯(lián)網(wǎng)，APP在網(wǎng)絡(luò)數(shù)據(jù)交互的過程中就可以得到任何提交過來的用戶信息，包括用戶通訊錄、信息、郵件、賬號等所有隱私信息。

對此，安全廠商建議用戶不開啟ROOT權(quán)限。在高偌薇看來，如果手機被ROOT，或者沒有安裝安全殺毒軟件，而用戶想要禁止手機軟件抓取個人信息，幾乎沒有解決方案。

隱形利益鏈：移動廣告公司是黑手？

盡管開發(fā)者為調(diào)取用戶隱私權(quán)限想盡各種理由，但很難有說服力。在高偌薇看來，近40% 的APP涉及濫用權(quán)限的問題，不能單憑開發(fā)者的解釋就能為自己洗脫罪名。如何來鑒別這些應(yīng)用訪問了一些過度的權(quán)限，這涉及到對整個大數(shù)據(jù)的分析。

據(jù)高偌薇所在的LBE安全大師公司分析，確實有相當一部分APP被冤枉了。據(jù)他們的備案顯示，濫用權(quán)限其實不是開發(fā)者自身直接造成的，而是他們?yōu)E用第三方廣告插件造成的。

在她看來，收集用戶隱私信息的主要黑手為移動廣告公司。為了賺取應(yīng)用內(nèi)置的廣告費用，APP開發(fā)商會與移動廣告平臺簽署協(xié)議，在應(yīng)用中內(nèi)置廣告代碼，真正作惡的正是這些代碼，有廣告商利用應(yīng)用安裝時獲得的權(quán)限，大量讀取用戶信息，并上傳至自己的服務(wù)器。

“可能很多APP一開始并沒有涉及到地理定位這個權(quán)限，但可能在加了一批我們現(xiàn)在能檢測到的，最起碼國內(nèi)四五十家的廣告SDK，這么多SDK重合到一起最終導(dǎo)致這個APP過多地訪問了用戶的定位權(quán)限、通信記錄權(quán)限或者說聯(lián)系人的權(quán)限。”她說，“所以在我們看來濫用權(quán)限是由這些SDK強加給APP莫須有的罪名?！?/P>

但事實上，APP和廣告商是不可分割的一體，雙方相互依存，不能說是誰背負了誰的罪名。

在安卓應(yīng)用中，除了一些手機游戲公司賺到錢外，單純的功能型APP賺錢的很少，其生存模式就是靠各種形式的廣告——彈窗、垃圾短信、推薦安裝軟件找推廣方結(jié)算推廣費等；而廣告商依靠安卓應(yīng)用抓取用戶信息，將用戶的聯(lián)系人、短信、通話記錄等進行綜合分析，作出判斷，從而進行精準的廣告投遞，并以此謀利。

谷歌安卓的開源和免費給一些投機分子提供了可乘之機。

智能手機中安卓為何成為吸費和泄露個人隱私的重災(zāi)區(qū)？中國紅麥軟件總裁劉興亮此前發(fā)文稱主要有以下三點。

首先，都是“開放”惹的禍。蘋果是封閉的，所以蘋果出現(xiàn)“吸費門”和泄露個人隱私的概率就會小很多。谷歌推出安卓平臺之初，就賦予其完全開放的特性，這一方面降低了手機廠商的使用門檻，也便于更多的應(yīng)用開發(fā)者加入這一陣營之中。然而，開放性與安全性之間本來就是矛盾的，安卓平臺并沒有Symbian平臺一樣的第三方簽名認證機制；應(yīng)用商城過多，缺少對上架應(yīng)用程序進行安全審查的機制與工具。因此，在應(yīng)用中置入后門程序也變得更加容易。

其次，谷歌當初開發(fā)手機操作系統(tǒng)的時候，并沒有考慮到中國市場，對系統(tǒng)的短信和網(wǎng)絡(luò)控制能力很薄弱，一般的程序都能調(diào)用。谷歌實在想不到中國的SP增值業(yè)務(wù)會這么猖獗，并導(dǎo)致安卓在中國被惡意程序扣費和泄露個人隱私這么嚴重。

再次，安卓系統(tǒng)面世的時間較短、版本也十分混亂，這也使得其軟件底層的漏洞較多，為黑客植入病毒和惡意程序提供了空間，被不法分子盯上。目前，網(wǎng)絡(luò)上大量熱門的安卓第三方應(yīng)用商店也多為個人打造，存在較多的安全隱患，并且缺乏有效的監(jiān)管、審核機制。這也吸引了一些小軟件開發(fā)商的進入，他們會選擇在受歡迎的應(yīng)用中加入惡意代碼。好在，谷歌目前已意識到這一點，在最新的版本中做了改進。

解決之道：如何杜絕吸費和隱私泄露

如何才能杜絕吸費和用戶隱私泄露事件再次發(fā)生呢？

一是要強化標準和監(jiān)管。這方面，楊珉給出了三點建議：

首先，要有移動終端隱私數(shù)據(jù)分級、應(yīng)用程序收集和使用隱私數(shù)據(jù)應(yīng)有標準；二要有相應(yīng)的技術(shù)檢測手段，智能APP程序發(fā)布、審核等方面應(yīng)有國家安全技術(shù)標準和測評機制；三要有追懲機制，制定相應(yīng)的法律法規(guī)與管理辦法，明確告知開發(fā)者和運營商，能做什么和不能做什么，比如要求應(yīng)用程序顯示聲明對用戶隱私數(shù)據(jù)的收集行為，并要求收集者承擔對這些數(shù)據(jù)的保護和不擴散的責任。

去年年底，工信部已決定建立評估體系，對智能APP程序、內(nèi)置軟件進行評估和抽查，將第三方平臺納入管理，逐步完善備案、審核、監(jiān)督、抽查等管理環(huán)節(jié)，督促服務(wù)提供商和內(nèi)容提供商加大自我清查，整治惡意APP暗扣費等現(xiàn)象。

二是要加強行業(yè)自律。

作為既得利益者，運營商必須把好關(guān)，這是堵住非法“吸費”和用戶隱私泄露最直接、最有效的途徑。運營商可以切斷利益鏈條中核心的利益一環(huán)，針對安卓平臺的特點，采取針對性的打擊措施，切斷吸費公司的收入來源，讓依靠垃圾廣告獲利的方式無利可圖。

各個APP開發(fā)企業(yè)也要強調(diào)自律，不賺黑心錢。用戶并非專業(yè)科技人士，往往并不清楚各種APP的使用說明，也很難發(fā)現(xiàn)其中隱藏的吸費或竊取隱私的陷阱。

三是要培養(yǎng)公眾的危機意識，避免上當。

在上述建議無法立刻起作用之前，安卓官方以及媒體應(yīng)該對用戶進行教育，避免上當事件發(fā)生。

對此，劉興亮認為，用戶也要加強隱私保護意識。對于一個安卓用戶來說，最簡單最安全的辦法就是到谷歌官方的應(yīng)用程序商店下載軟件，官方的有審核，扣費程序難以通過，是最安全的。除了谷歌官方應(yīng)用商店，其他的也必須要選擇正規(guī)的渠道下載應(yīng)用，如到運營商、知名手機品牌以及第三方的應(yīng)用商店等。用戶切勿輕信“破解版”、“完美修正版”等經(jīng)過二次打包的手機軟件、手機游戲、歌曲、音樂、電子書等，謹防其中埋藏手機病毒。

如果非法“吸費”和用戶隱私泄露的問題不能解決，安卓平臺顯然將遭遇危機。在胡延平看來，谷歌現(xiàn)已認識到問題的嚴重性，諸多動作表明其正在收緊安卓平臺。如果谷歌像蘋果那樣形成一個封閉的生態(tài)系統(tǒng)，建立自己的應(yīng)用商店，那么谷歌將親自上陣審核APP，到時第三方安全廠商和應(yīng)用商店恐難以再繼續(xù)“陪玩”下去。