撕开APP黑金产业链：移动广告公司是背后黑手？

【 曹天鹏/钛媒编辑】一个备受争议的晚会，央视“3.15晚会”，除了一些无厘头的打假，还有没有有价值的信息？其曝光了大部分移动应用（APP）存在私自获取手机用户个人信息的行为究竟怎么回事？在这些隐私信息中，位置信息成第一获取目标，联系人、通话记录、短信记录这些敏感隐私信息读取普遍。除此之外呢？隐私用来干嘛？这一系列也都形成了一个未知的环。

在“3.15”之前，DCCI互联网数据中心（以下简称“DCCI”）发布了《2013移动隐私安全评测报告》。报告显示，高达66.9%的APP拥有获取用户隐私的权限，34.5%的APP涉嫌过度收集用户隐私行为，即APP除了获取本身功能需要的数据以外，还收集其本身不需要的其他数据。

实际上，据钛媒体小编了解，APP不止收集用户隐私，还乱扣手机话费、植入恶意广告，游离于法律的灰色空间，业已形成一条黑暗的隐形暴利链条。

黑色产业链：恶意软件吸费

在大量的APP软件中，手机游戏和内置广告插件等恶意软件，存在吸费、吃流量、偷发短信现象最严重。

据一位知情人士向钛媒体透露，像吸费这种现象在地级市以下的地方更严重，尤其是那种千元智能机或更便宜的山寨智能机被安装了大量吸费的手机游戏，都是盗版和仿冒下载量较高的游戏，比如在山寨版的《愤怒的小鸟》、《神庙》等游戏中内置扣费插件，用户下载后插件就会暗中扣费。

一般都是游戏前10关不要钱，到了10关以后就开始扣费了；或者帮用户订制增值业务短信。“不经过你的同意，它就会神不知鬼不觉的扣掉你的钱，唰唰唰几十块钱很快就没了。”

还有就是内置广告插件吸费。该知情人士认识的一个朋友，2011年在深圳给手机刷机，每天大概能出到15万台，每台手机里刷20个应用里就有一半在推广告。“那些APP开发者主动找到他，给他钱让他帮忙在APP里内置广告插件，这个手机一刷完全是数据广告，等于说就变成了一个肉鸡。”

当用户在使用这些应用时，内置广告就会通过联网下载和刷新，闷声不响“吃流量”，什么都没干，流量就没了。“这是整个产业链条比较黑暗的一条，但这也是很多做APP的被逼无奈，因为要靠这个赚钱的。”

除了上述扣手机费、吃流量的现象，还有偷发手机短信的。

很多恶意软件，它会通过你的手机给你通讯录里的联系人发垃圾信息。它非常智能，会查看你手机套餐里发了多少条短信，还剩多少条没用完。查看完以后，它只发你手机里剩下的这些短信，不会额外扣你的话费，这个你一般也不会察觉。

“它会检测到你的手机是不是锁屏。如果你的手机是锁屏，说明你没有在用手机，它会趁机把短信发出去，发完之后还会删除，这个你完全看不出来，完全可以做到用户不知情。”上述知情人士说。

在LBE安全大师COO高偌薇看来，更可怕的事情还在后头呢，有些恶意软件在用户发现之后还能卸载掉，有些变种的恶意软件，即便卸载也未必能完成清除，还会继续在后台“为非作歹”。

如复旦大学计算机系统与安全专家杨珉在接受《新民晚报》采访时分析的那样，许多用户下载的热门应用软件，其实已经被动过手脚了，软件里被重新打包了一些恶意代码。

“这种代码可以让手机在用户未授权的情况下，通过发短信或者链接指定的扣费网站，为机主订购不同类型的手机业务。它最厉害的地方在于，可以屏蔽掉扣费业务发送给用户的扣费确认短信。”

正常的业务模式中，手机短信正常扣费需要经过“询问是否订购业务、服务器反馈、最终确认扣费”这三个步骤，但在上述恶意APP上，用户一个也步骤也收不到，即便遭受了经济损失也还会完全蒙在鼓里。

灰色地带：APP“越轨”抓取用户信息

事实上，在恶意软件吸费、吃流量和偷发短信的同时，还有许多用户自认为“安全”的APP也在悄悄地抓取用户个人信息。

《2013移动隐私安全评测报告》显示，通过对中国各类安卓市场下载量前1400位的应用进行了相关调查，高达66.9%的APP拥有获取用户隐私的权限，34.5%的APP涉嫌过度收集用户隐私行为，即APP除了获取本身功能需要的数据以外，还收集超出本身功能之外的其他信息。

在这些隐私信息中，位置信息成第一获取目标，联系人、通话记录、短信记录这些敏感隐私信息读取普遍。

在DCCI互联网数据中心创始人胡延平看来，有些APP获取用户信息是为了应用本身功能所需，可以理解；但有些APP除了获取本身功能需要的信息以外，还会获取更多其它信息，这是难以理解的。“就好比一款拍照软件，本来是用来拍照的，但它还要去读取你的位置信息、通话记录；一款闹钟软件会去读取你的短信记录、联系人。”

这在安全厂商看来，手机软件到底有没有“越轨”窃取用户过多信息很难辨别清楚，这被安全厂商称为“灰色地带”。比如读取位置信息和通信记录的拍照软件，很可能是要在拍照完之后分享给其他人；读取短信记录的闹钟，它可能未来要增加更多短信相关的功能。为了推动整个产业的发展，只要开发者给出合理的理由，就无法拒绝他调取用户权限。

就算是用户为防止个人信息泄露，要卸载这些软件或者禁止这些软件使用自己的这些隐私权限时，仍然没有办法，因为大部分手机只有经过ROOT之后才被允许。（ROOT就好像是手机系统中唯一的万能用户，拥有系统中所有的权限，如启动或停止一个进程，删除或增加用户，增加或者禁用硬件等等。）这也正是安全厂商的为难之处，受ROOT权限限制只能提醒用户哪些权限遭到滥用，而不能前去禁止。

即使在ROOT之后用户可以限制软件使用某些权限，但这又会带来新的安全隐患，“恶意插件”攻击的对象往往面向的是ROOT之后的安卓手机用户群。只要联网，APP在网络数据交互的过程中就可以得到任何提交过来的用户信息，包括用户通讯录、信息、邮件、账号等所有隐私信息。

对此，安全厂商建议用户不开启ROOT权限。在高偌薇看来，如果手机被ROOT，或者没有安装安全杀毒软件，而用户想要禁止手机软件抓取个人信息，几乎没有解决方案。

隐形利益链：移动广告公司是黑手？

尽管开发者为调取用户隐私权限想尽各种理由，但很难有说服力。在高偌薇看来，近40% 的APP涉及滥用权限的问题，不能单凭开发者的解释就能为自己洗脱罪名。如何来鉴别这些应用访问了一些过度的权限，这涉及到对整个大数据的分析。

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!