澎湃Logo
下载客户端

登录

  • +1

8.7万条数据告诉你 安卓APP里面到底有多少“坑”

2018-07-19 08:20
来源:澎湃新闻·澎湃号·湃客
字号

作者:苏一峰、张晓雨、操源、佘倩倩、刘行(南京大学新闻传播学院)

2018年5月25日,“史上最严”数据保护法案在欧盟生效。这项名为GDPR(译作《通用数据保护条例》)的法案,因其规定严、适用广、罚款高,引得各方高度关注。

法案生效后,任何在欧盟设立机构的企业或向欧盟境内提供产品和服务的企业,在处理欧盟境内个人数据时,都会受到GDPR的约束,包括约3000家中国企业。

GDPR引起人们对个人数据保护的关注。据工信部数据显示,中国移动用户数总规模达12.93亿户,手机APP市场潜力巨大,但APP泄露隐私的问题也日益突出。

江苏省消费者权益保护委员会曾做过调查,对于手机APP安装后获取的消费者个人信息以及非注册用户的个人信息,只有少量企业有相应保护措施。对于注册用户放弃使用相关手机APP的个人信息删除与销毁,大部分企业未有明确的措施和完善的保护制度。央视《每周质量报告》也曾报道过安卓手机应用在安装时需要开放通讯录、地理位置等涉及隐私的权限,严重威胁了用户隐私安全,而应用权限滥用恰恰是泄露用户隐私的重要原因。

从安卓市场上看,手机APP存在良莠不齐的现状。不少不良APP存在大量抓取用户数据的行为,如通讯录、短信、GPS地理定位等。

为了解安卓手机安装APP需要获取用户多少手机权限,记者从某知名手机应用市场抓取了106958个APP,其中有效APP87523个。

APP掌握了我们多少信息

腾讯社会研究中心及DCCI互联网数据中心联合发布的《2017年度网络隐私安全及网络欺诈行为分析报告》指出,目前移动网络隐私的泄露主要有以下几种渠道:手机软件获取、免费Wi-Fi窃取、旧手机设备泄露,以及黑客盗取企业大数据等渠道。手机软件获取用户信息,必须要向系统申请权限才可以进行相应操作。

安卓应用程序安装包中附有AndroidManifest.xml,描述了这个应用程序会向系统申请的权限内容。各大市场上架时会解析该文件,在用户下载时向用户提示,程序会申请哪类权限。记者使用爬虫程序抓取整理了87523个APP的权限数据,对其进行分析。

经分析,市场内的应用程序共申请了500类权限,绝大多数为安卓系统开发文档所规定的权限,部分为应用程序开发者或者手机厂商设定的、供其他应用调用特殊权限。以下是同用户隐私相关的权限内容:

安卓手机常见权限介绍

位置标识:ACCESS_COARSE_LOCATION及ACCESS_FINE_LOCATION这个权限会允许APP通过GPS或者手机网络来获取手机当前的位置信息。目前很多APP都需要这个权限,比如地图导航、社交、外卖、网购、资讯等等APP都会要求获取该权限。如果是常用的主流软件的话,获取此权限并无大影响,但如果为恶意软件开启了此权限,除了会泄露位置信息之外,有些软件会直接开启手机GPS功能,导致耗电量增加。对于粗略位置,应用程序通过网络定位(像是基地台或无线网络)来取得大概位置。

应用程序开发人员可以用它从基于位置的广告获利。恶意应用程序用它来发动基于位置的攻击或恶意软件。

存储标识:READ_EXTERNAL_STORAGE以及WRITE_EXTERNAL_STORAGE这个权限允许APP写入或者读取机身存储或者SD卡中的数据。比如网盘软件、文件管理器、视频软件等等,因为需要下载、上传文件或者播放视频等等操作。这个权限是默认开启的,目前很多软件都会对手机存储进行读写操作,如果被禁用的话软件一般无法运行。网络犯罪分子可以用来备份所窃取的信息,或在发送给指挥中心前先储存到你的SD卡上。恶意应用程序也可以删除手机上的照片和其他个人档案。

手机状态标识:READ_PHONE_STATE等电话权限可以允许APP查看或者修改通话记录,查看本机号码,查看是否在拨打电话或者你正在打给谁,并且可以更改电话号码或者挂断电话,当然也可以允许APP进行拨打电话的操作。除非是与通话有关的软件,否则就需要禁用这个功能。因为这个功能会让软件获取到手机中的所有电话数据,不能够保证它不会偷偷上传到服务器中做些其他的事情。

收发短信标识:SEND_SMS、RECEIVE_SMS、READ_SMS这个权限允许APP接受、发送、和查看短信,也可以删除短信。目前很多人的手机短信基本上是一些验证码或者其他一些隐私数据,所以禁用权限的话可以防止他人获取到这些隐私,并且可以防止软件自动发短信造成不必要的扣费。

相机标识:CAMERA相机权限可以允许APP使用手机的摄像头,比如一些拍照软件或者有拍照功能的软件。如果是可靠的软件,那么允许即可,比如QQ、微信、美图等等,如果你也不知道你所用的软件可不可靠建议禁用这个权限,防止软件使用相机进行拍照。

网络状态标识:ACCESS_NETWORK_STATE允许应用程序检查手机是否有网络连接(也包括无线网络)。应用程序需要连接网络来下载更新或连接服务器及网站。恶意应用程序用它来找出可用的网络连接,这样才能够执行其他动作,像下载更多恶意软件或发送短信。恶意应用程序可以在你不知情下切换这些连接,吸干你的电池或增加你的数据收费。

应用信息标识:GET_TASKS允许应用程序确认目前或最近执行的工作和每个工作所执行的程序。网络犯罪分子利用这从其他执行中的应用程序窃取信息。还可以检查并“杀掉”安全应用程序。

唤醒锁定标识:WAKE_LOCK手机在关闭之后,后台程序仍旧在运行,如果长时间接收发送数据或长时间占用CPU资源,将会导致耗电量大量增加。

对爬虫爬取的数据分析后发现,约有97%的APP会申请获取权限。以申请权限的数量而言,系统、工具、社交、育儿四类APP申请权限数量较多。在下载量前50的APP中,所有应用均申请了位置权限、网络状态、应用信息、唤醒锁定权限,申请获取手机信息这一权限的有九成。

总体来看,在八万多个APP中,平均每个APP申请了18个权限。申请权限数量最多App是《闪电盒子》,其申请权限达到470项。从图中看出,绝大多数APP申请的权限数量不会超过70项,少数App申请权限数量超过150项。

不同App所提供的服务不同,单纯分析申请权限数量并不足以完全说明问题,但目前有大量App在获取与其提供服务无关的权限。与此同时,我们对一些冷门分类抓取的数据也证明了这一点。

在一些与隐私相关的敏感权限中,申请最普遍的是手机信息、网络状态、应用信息、唤醒锁定等权限。82%的应用可以通过此类权限获取到手机号码及手机识别码(IMEI),90%的应用可以抓取用户网络状态,67%的应用可以获取其他APP状态信息,59%的应用在手机熄屏后仍然工作。游戏类APP是权限滥用重灾区,调取联系人、发送短信等问题十分普遍。

是谁想获取我们的信息

在平均权限数量排行榜中,拥有289个APP和113个平均权限的开发商炫彩互动网络科技有限公司位居第一。排名前十的开发者平均申请权限63项,申请权限排名前100的开发者所拥有的APP数均不低于3个。

在排名前1000个申请权限数量最多的应用中,最为突出的是通信运营商和游戏开发商,其中包括中国电信子公司炫彩互动、网易旗下游戏公司网易雷火以及中国移动子公司咪咕互动等。。

用户信息能拿来做什么?

地图APP拯救了无数路痴。可当我们使用GPS或是移动网络导航时,我们的位置已经暴露无遗,数据也可能会被上传到开发商服务器供大数据分析;

当我们注册账号的时,我们就已经将自己的电话号码、邮箱、以及部分个人信息提交给服务商,在这些网站的发言记录同时也会被别有用心者爬取下进行分析处理;

当我们在淘宝、京东购物时,家庭地址、联系方式、姓名是必须提供的内容,购买的商品、金额也可以被用来分析之后的购买需求。

在当今发达的网络世界里,任何暴露在网络中的信息,一旦发出,几乎无法撤回、无法删除,在互联网上永远被记住。

我们在发出去的那一刻起就该做好可能发生任何问题的心理准备,因为网络世界里毫无隐私可言。

这里是某个号称自己“逾期率为0”的网贷公司可以获取到的用户信息:

姓名、身份证、电话号码、家庭住址、亲戚朋友电话客户,手机通讯录里所有联系人电话号码,征信报告,支付宝芝麻分,手机运营商通话记录包括最长通话时间,频繁联系人,是否有法院,110、120、119等相关通话,关机次数,手机号码使用年限,是否在其他平台进行过借款,是否有法律官司,重点是淘宝,京东所有购物记录,物品信息,价格,收货人,还款需要绑定银行卡的各项信息。

对于这家网贷公司来说,拿到用户信息之后有什么用呢?

首先,这些精细的个人信息会被用来进行用户画像,筛选出目标客户,对其进行精准营销,刺激其贷款意愿,达到宣传平台的目的;其次,在用户变成客户后,对其履约能力、征信情况进行调查,评估是否给其贷款及贷款额度;最后,当客户有违约风险时,利用其他支付平台、储蓄平台调查其是否真的没有能力还贷,在确实违约时,会以泄露个人信息隐私为要挟,促使其尽快还贷,有时还会利用通讯录,对其亲友进行骚扰,更有甚者,会在社交网络上发布逾期者的个人隐私。

调查发现,用户信息经过获取者、批发商、中间商等环节,最终到达使用者手中。这家网贷公司处于整个信息贩卖链条的第四环节,各环节之间大多使用QQ、贴吧等易注册、实名程度较低的平台进行沟通。

信息获取者也被称为拖库者,是负责入侵网站并获取原始的数据库文件的人,一般为黑客或是拥有用户数据公司的内鬼。黑客的动机很多,可以归纳为以下三种:利益驱动、商业打击和炫耀能力。利益驱动的目的是将窃取的数据变现;商业打击的目是通过散播消息,从商誉的角度打击受害企业;而炫耀能力,则是大多数黑客进入这一黑产的初始目的,也是敲诈勒索的前奏。公司内鬼则大多是为了将手中的数据变现。

常见黑客入侵数据库获取用户信息方法有:

通过SQL注入漏洞可以缓慢偷走数据库中的数据,最常见,耗费时间长,容易被发现。

通过上传漏洞或者远程命令,执行漏洞上传到服务器,通过数据库管理功能代码,即可把数据库数据偷走。

运维配置不当,弱密码甚至空密码导致数据被偷走;数据库对外开放,账户被泄露;没有限制账户登录IP。

利用数据库漏洞,绕过认证鉴权等限制,直接把数据拷贝走,技术难度较高,需要渗透到内网。

信息批发商也被称为洗库者,专门负责从拖库者那里收购原始的数据库文件,然后根据不同的用途从原始数据中提取有用的数据。

信息贩卖者,也被叫做中间人,专门负责从洗库者(有时也直接从拖库者)那里购买原始数据。他们收购洗完整理好的数据,售卖给各类买家。这类被贩卖的用户信息主要包括网购数据、车主数据、保险理财类数据,学生、公务员、国企员工等特殊群体数据和医疗住宿出行数据等多种类型。

信息泄露的类型

类似这家网贷公司的买家,被称为信息使用者。这些公司往往纷繁复杂,购买信息的目的也大有不同,常见的有三种:电信欺诈,购买知名电商的近期消费数据、用户详细信息;盗号,购买用户名密码用于撞库,偷玩家装备,甚至直接转账,比如盗取留学生的QQ账号,向其好友、家人进行诈骗;非法广告商,购买消费、购物车、联系方式等数据,用于精准营销,比如公务员、教师、国企员工的信息往往被用来推销大额信用卡。在这些信息中,个人银行卡类信息,往往被用来推销理财产品或者用于复制银行卡盗窃资金;学生信息,则用来推销教材和家教信息,或以中、高考加分为借口进行诈骗;收藏品、保健品用户信息、车主信息则用来推销相应的商品或进行专门诈骗。

如何避免隐私泄漏?

第一、 严控App获取隐私权限。绝大多数App需要获取相关的隐私权限才能保证功能的正常使用,但少数App会获取额外(不需要或功能无关)的隐私权限。在安装App时,建议用户禁止App获取重要的隐私权限,在App提示必需时再允许其获取相关的隐私权限。

第二、常用安全软件和隐私保险箱。现在互联网上的软件应用良莠不齐,大多数的手机用户对安全知识知之甚少。使用安全软件有助于提升设备安全性,避免用户信息被窃取。

第三、提高隐私安全意识。在陌生环境中,要保持警惕心理。不要接入安全性未知或陌生的WiFi网络,不要轻易添加陌生微信或QQ好友,不要轻易打开网址链接和拍照二维码。

第四、从正规渠道下载软件。部分开发商受利益的驱使,在app中加入第三方控件、代码,甚至病毒木马,轻可吸干流量,重可盗取信息,给用户造成经济损失,建议从正规渠道下载正版的软件以规避风险。

 

指导教师:白净

    本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。

    +1
    收藏
    我要举报
            查看更多

            扫码下载澎湃新闻客户端

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈