随着智能手机的普及和功能越来越多,智能手机改变了我们的生活,手机里的众多应用程序够满足我们日常生活的诸多需求,可是这些应用程序在给我们带来便捷的同时,是否也注意过它们的安全?是否想过,我们每个月话费账单上显示的算不清的网络流量,甚至接到的骚扰短信和电话,有一部分就与这些应用程序有关。央视朝闻天下就信息时代的手机应用程序的安全性——“关注手机应用程序安全”进行了深度解读。
一、APP乱象丛生致手机危机四伏
1.未经允许 泄露用户隐私
经过记者和专家的测试发现,某手机助手,在手机端安装助手软件的时候,没有给用户提示,未经用户确认便自行在用户手机上安装。
不仅如此,该软件还存在读取手机相关序列号信息的情况,同时序列号信息出现在手机向软件服务器发送的数据流量中,涉及到上传用户隐私行为。
盘古手机安全实验室工程师 陈小波:根据苹果的官方规定,苹果禁止一切应用在没有告知用户的情况下读取用户的隐私信息,并且为防止序列号被滥用,苹果在IOS5系统之后就禁用了第三方软件在手机端读取序列号。在手机上的应用内部,专家却找出了应用识别设备序列号的相关功能。
2.后台上传账号密码 声明成“空头文件”
如果说上传手机序列号给用户带来的影响让人觉得较为间接的话,越狱的苹果手机通过该软件,从后台上传的内容更为敏感了。
该应用在越狱手机上有一个绑定appleID的一个选项,该软件在绑定声明中表示,appleID的信息只是保存在本地,不会发送在远程的服务器上面去。然而在绑定完成后,专家发现在手机发往该软件服务器的数据中居然有appleID的账号密码。该应用最后收集的是明文的appleID以及明文的密码。
盘古手机安全实验室工程师 陈小波:在苹果系统中,用户的账号和密码扮演着重要的身份认证作用,绑定了用户的短消息、云服务等一系列内容,一旦泄露,极有可能造成重大风险。一旦这个appleID跟密码被恶意获取以后,不法分子可以去任意毫无限度去察看,这些用户的隐私还可以通过敲诈勒索信息,以远程锁定用户的手机,或者远程查处用户手机数据的这些功能来敲诈用户。
3.后台多程序自启 安卓手机变“乌龟”
除了隐私被应用程序恶意获取,威胁着我们在智能设备使用中的安全,其实应用程序在后台的自动启动,也给我们的使用带来了各种各样的不便。
记者与i春秋安全实验室工程师卫子伟调查发现,正规商店下载的正常应用,我们在使用某集团的一款购物软件的时候,该集团旗下的一连串的软件也跟着运行起来了,从而导致手机卡顿和流量损失,甚至造成手机死机。
i春秋负责人 张凯:这并不是个案在应用程序的设计中,为了更大程度占领市场,很多公司都会采取这样的办法,自动在后台开启多个相关应用的进程。这样不仅对设备资源是极大浪费,而且也将造成流量的损失。
二、保障应用安全需要多方努力
1.应用威胁并非表面看起来那么简单
永信至诚总裁 陈俊:手机应用安全隐患不仅仅是我们表面看到的那么简单。利用应用程序获取隐私信息,并进行诈骗和黑产交易,已经成为目前网络安全中面临的重要问题。用户信息跟用户的隐私信息是现在黑市产业链交易中间的一个很重要的环节,那有些这种小厂商,不知名的小厂商,然后以及恶意的这个APP的开发者,为了获取这种信息,那么他就会开发这种恶意的APP而这个问题的解决,除了用户自身对应用的安全性进行判断之外,更多安全厂商等专业机构,需要共同努力寻求解决办法。
2.保障安全需要多方努力
永信至诚总裁 陈俊建议:
- 用户不要利用同一个账户绑定多种个人金融信息,在各种网站上注册。否则账户信息一旦泄露,将会引发连锁反应。
- 用户在关注应用程序提供的服务同时,还应该注意防止应用读取过多不必要的信息。
- 第三方应用商城应该对这个APP进行一个严格的审核机制,以保护用户的隐私安全那么具体表现它可以去建立一些信用体系//并且有一个第三方平台互相之间会有一个对应的通报
- 平台和开发者采取相关隐私保护策略,承担相应的法律风险,也是规范应用程序开发的重要措施。
i春秋支招 处在信息浪潮中的我们每天都在感受他的日新月异,并且享受信息时代万物互联的各种便捷。然而一起又一起的安全事件也为我们敲响警钟。i春秋以“培育信息时代的安全感”为使命,为您还原一个个信息安全事件的原理、机制,甚至实际的实验环境,让你亲身“参与“到事件当中。
APP乱象丛生,致手机危机四伏。新近涌现出来的几个app风险,让人顿感“防不胜防”,在不知不觉中就有可能让我们不仅遭受财产损失,更会带来个人隐私和账号密码的泄露。广大网友应该如何应对?
原文发布时间为:2016-04-15
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
