移动APP隐私乱象：“隐私越轨”背后的商业牟利-零度新闻网

本篇文章3343字，读完约8分钟

“隐私侵犯”行为意味着应用程序没有必要捕获用户隐私信息。

据报道，61%的短信阅读权限和73%的通话记录阅读权限是手机应用功能中不必要的权限，即存在“隐私侵犯”。

在接受《中国商报》记者采访时发现，一些第三方应用通过出售信息和绕过安全应用，与硬件制造商共同获利。

“隐私越轨”加剧了

腾讯移动安全实验室专家陆在接受《中国商报》采访时表示，用户阅读应用的隐私性正逐渐被公众认可，但这种现象也在上升，窃取用户核心隐私的趋势正在增强。

截至2013年第一季度，根据腾讯移动安全实验室软件池的数据分析，带有广告插件的应用总数为2038139个，占所有软件样本的43.5%；广告插件应用已经成为手机用户隐私的一大威胁。

上述机构还抽取了近470万个软件包进行静态代码分析，并分析该软件是否包含与申请隐私权和读取隐私信息的api结果相关的代码。统计显示:具有与读取用户隐私权相关操作的软件比例达到71%，即超过333万个软件包同时申请了隐私权，并且包含与读取用户隐私权相关的操作代码。

在这333万个软件中，读取设备识别信息与本地手机号码的比例分别为61.75%和28.33%；阅读地理位置信息的比例为28.27%；阅读通讯录的比例为10.29%，阅读短信的比例为4.22%；打开手机摄像头和录像机的比例分别为4.15%和3.75%；阅读通话记录的比例为2.86%；阅读浏览器书签占7.93%。

陆说，一个应用程序是否过度读取隐私权主要取决于软件读取隐私权的目的，即是否在必要的功能范围内，否则就是一种“隐私越轨”行为。

一般来说，安全软件、系统管理软件、通信软件、社交软件等软件在合理权限内可以读取用户的通讯录等隐私信息，而lbs、手机地图软件、导航软件等软件也在合法权限内。但例如，游戏软件或壁纸软件需要阅读用户的地址簿和短信信息。

360人还告诉记者，在2013年上半年的热门申请中，64.5%的人拥有1~5项隐私权，28%的人拥有6~10项隐私权，4.9%的人拥有11项以上的隐私权，只有2.6%的人没有申请任何隐私权。

以时下流行的手机游戏“天宫逃亡”为例，腾讯移动管理器对谷歌play上下载的官方正版天宫逃亡(“天宫逃亡”)和植入病毒代码的天宫逃亡广告插件版本(以下简称“天宫逃亡”)的软件权限阅读进行了对比研究。结果表明，官方真正的“寺庙逃生”没有阅读隐私权；带有广告插件的“Temple Escape”总共读取六个权限:手机号码、gps、imei和imsi、拍照、浏览器书签和通知栏中的通知；包装有“病毒码”的伪“天宫逃生”读取了11个权限，在广告插件类“天宫逃生”读取的6个权限的基础上，还获得了联系人、通话记录、发送短信、打电话等4个核心用户隐私权，严重威胁了用户的关键隐私。

移动APP隐私乱象：“隐私越轨”背后的商业牟利

“隐私”背后的商业利润

这些泄露的用户隐私可以通过出售用户隐私信息和自我广告宣传来实现。获得用户私人信息的买家可能会利用这些信息发送垃圾信息、骚扰甚至打欺诈电话，或者为广告公司获利。

陆表示，通过收集地理位置、设备识别信息和本地手机号码，可以准确匹配并向固定稳定的手机用户群投放相应的广告，并对用户消费行为进行有效分析，这符合一些急功近利的广告主的利益，而应用开发商也可以获得广告份额，因此获得此类信息成为一些非正式广告主和应用开发商的共同核心利益。

与此同时，广告插件应用读取核心隐私(如联系人和地址簿)的现象也大规模存在。

联想移动终端部门的软件产品经理陈愉告诉《中国商报》，对于第三方应用开发者来说，他们想要调用的用户权限越多越好。

调用的用户权限越多，知道的用户信息就越多，与rom(存储手机固件代码的存储器，类似于操作系统)的价值越接近，其商业价值就越大。

通过查看手机应用程序调用哪些权限，如果这些权限不是供销售而是供个人使用，我们还可以对应用程序未来可能涉及的一些业务模型有一个大致的了解。

记者发现，一个知名的手机输入法应用程序有五种用户权限，即获取短信内容、联系人、通话记录、手机位置和手机识别码。

据该软件内部人士透露，“获取手机识别码”基本上是每个手机应用程序都会调用的权限，主要是获取手机的型号进行应用适配，并将本地手机号码作为登录账号；“获取短信内容”的目的是方便输入法的快速输入；“获取联系人”是为了导入用户的好友联系人来优化词库，也是为了方便用户在手机上方便的输入；“手机定位”的目的是基于用户流量扩展输入法应用的业务模型。例如，如果您用输入法键入单词“餐馆”，输入法可能会根据您的地理位置推荐附近的餐馆。

移动APP隐私乱象：“隐私越轨”背后的商业牟利

然而，上面提到的人没有解释为什么输入法应用程序应该“获取调用记录”。根据调查，称“获取通话记录”正确的热门应用包括百度地图、微信、手机qq等。

金山安全反病毒工程师李铁军告诉《中国商报》，一些应用程序调用“获取通话记录”权限主要是为了了解用户的通话状态，当用户来电时，软件会采取相应的措施。例如，在音乐应用中，当用户接听电话时，有必要暂停音乐播放。虽然有些语音应用程序可能会调用此权限，但如果是其他类型的应用程序，则很难说出调用此权限的目的。

移动APP隐私乱象：“隐私越轨”背后的商业牟利

还有一些应用程序调用“发送短信”权限。例如，天气工具中墨迹天气的应用可能是由于短信推送对天气服务的功能需求。当其他应用程序调用这个权限时，它们可能需要发送短消息来验证和注册。然而，在申请这一许可之后，第三方申请是否会在未来参与非法活动取决于监督。

为了获取利润，一些应用商店经常在流行软件中植入恶意广告和病毒木马，并通过升级应用软件来切换到自己开发的“伪应用”。此外，今年1月，通过mdk后门程序，控制器可以随时窃取和上传用户的短信内容、私人照片和通讯录，并在后台悄悄下载大量软件，这也将消耗大量手机流量。

陈愉表示，目前，一些能够屏蔽第三方应用程序权限的安全软件并不能真正屏蔽它们。例如，如果安全软件直接阻止此功能，用户可能无法启动应用程序，并且一些安全软件向应用程序输出一些虚拟地理位置信息以保护用户的隐私。

为了获得更多的用户信息，一些手机应用程序干脆绕过安全软件，直接与手机硬件制造商合作。

一些要求匿名的业内人士告诉记者，这是因为，在个人电脑方面，因为微软已经开放了管理特权(用户管理特权)，一些桌面客户端可以取消这一特权，阻止竞争对手的客户端，因此爆发了3q战争；但是，在手机的移动端，只有手机硬件制造商拥有基于android系统的用户管理员权限(root)，而其他第三方应用，包括基于android系统的第三方rom开发者，则没有这个权限，所以手机硬件制造商享有最高的用户安全级别。

移动APP隐私乱象：“隐私越轨”背后的商业牟利