安卓应用市场乱象调查:手机壁纸能读你的通讯录 浏览器可能随时给你录音
安卓应用过度授权、权限滥用,通讯录、地理位置,甚至短信等被APP读取,严重威胁用户隐私安全,背后是贩卖隐私信息的利益链
来源:南方都市报
“手机APP好像会在情趣用品打开时一直录音。”
今年11月初,网友“tydoctor”在美国著名的社交新闻网站Reddit上曝光了这一消息。他说,自己在准备重置手机时发现了存储在某应用文件夹内的一条音频,“时间长达6分钟,就是上一次我用这个应用遥控情趣用品的时候录的。”
tydoctor还写道,该应用获取了使用麦克风和照相机的权限,但他以为这些权限仅用于应用内置的语音消息发送功能。“在任何时候,我都不希望应用录下我使用情趣用品的全过程。”
值得注意的是,tydoctor所使用的是安卓手机系统,而这一事故,也使得安卓应用存在已久的过度授权、权限滥用问题再次浮出水面。不少网友纷纷跟帖表示,曾有类似的遭遇。“很多手机应用都会在未授权的情况下录音。”“另一家情趣用品厂商也出过类似的事情,把用户的使用习惯等数据上传到服务器。”
如果你以为这只发生在国外,或只在情趣用品APP中存在,那你可能太乐观了。
早在2014年,央视《每周质量报告》就曝光过大量安卓手机应用在安装时需要开放通讯录、地理位置等权限,从而严重威胁用户隐私安全的情况。彼时有业内人士分析,这一现象的背后是贩卖隐私信息的利益链已形成,不法手机应用厂商通过手机权限获得用户的隐私信息后再转卖,从而获得不菲的灰色收入。
日前,南都记者通过调查和技术测试发现,几年过去,上述问题并没有得到解决,反而由于互联网对大数据的需求升级,变得更为混乱。
南都测评50款APP
48款要获“越界”权限
在各类安卓应用中,游戏一直是安全问题高发区。360联合D CCI发布的《2016年中国手机安全生态报告》显示,2015年,测试样本中94.5%的游戏应用都会获取位置信息的权限;89.1%能够读取用户短信,93.6%能够读取通讯录,虽然这些数据在2016年有所下降,但其中多项数值仍高于非游戏类A PP.
这份报告同时指出,获取手机通讯录、短信、通话记录、位置信息等都被视为读取用户核心与重要隐私的行为,它们较读取Wi-Fi、蓝牙等设备信息更加危险,用户应给予重点关注。事实上,绝大部分安卓用户没有注意到这一点,遭受经济损失的案例时有发生。
2014年,宁波市警方曾破获一起案件,3名犯罪嫌疑人用技术手段窃得游戏用户小顾在游戏应用上注册的名字、身份证号、手机号码等信息,随后利用这些信息办理假身份证,再用假身份证去通信营业厅挂失小顾的手机号并补办新卡,最后再用这张新的手机卡重新设置小顾在网络游戏中的密码,将价值20多万元的游戏币窃走。
小顾的案例并非孤例,为了调查安卓应用越界获取隐私权限的情况,南都记者以今年大热的王者荣耀为例,选取了华为应用市场、应用宝、百度手机助手、360手机助手、豌豆荚、小米应用商店6款常用安卓应用市场,按照搜索“王者荣耀”关键词排名前后的顺序,选取了50款王者荣耀周边应用作为考察对象。
需要注意的是,王者荣耀周边并不是指王者荣耀官方游戏本身,而是指王者荣耀游戏风靡后,其他应用商就此主题开发的各种游戏相关的辅助或扩展类应用,例如助手、壁纸等。它们通常会由于游戏的热门下载量巨大。
南都记者首先查看了50款A PP在应用商店简介中的权限列表。在安卓系统的应用商店中,通常要求应用开发者填写“权限列表”,用户在下载前很易查看。
令人担忧的是,一些开发者在简介中就堂而皇之地列出了大量不会使用到的“越界”权限,包括使用录音与摄像头,读取手机通讯录、短信,甚至获取你精确的地理位置。
在南都选取的50款A PP中,应用简介列出的权限总体大致有28个,包括拍摄照片和视频、读取通讯录、读取/发送短信、录音、获取精确位置、修改SD卡中的内容等。
依据A PP的自身功能,南都记者把这些权限标记为“核心”、“可选”和“越界”三种。
“核心”权限是指不获取就无法正常使用A PP核心功能的权限,例如视频类A PP需要调节音量大小:“可选”权限是指即使用户拒绝授权,也不影响使用A PP核心功能的权限,但这些权限可能在A PP的非核心功能中会使用:“越界”则指A PP没有必要获取的权限,例如主题壁纸类A PP要求读取用户通话记录。
根据A P P的类型不同,它们的“核心”权限也有所差异。
助手类和论坛类A PP主要为王者玩家提供攻略、视频等资讯,实现核心功能基本无需获取用户隐私;主题类A P P主要提供下载皮肤、壁纸等功能,核心权限可能包括将图片存储在S D卡中;视频类A P P则必须要有更改音频设置的权限;浏览器类A P P的核心功能是搜索,无需获取用户隐私。
尽管这50个A PP覆盖了28个隐私相关权限,但必不可少的“核心”权限不多。
南都记者统计的结果显示,50个A PP中,仅有2个列出的所有权限都是必须要获取的“核心”权限,却有5款A P P所列出的所有权限均“越界”。其它A PP则或多或少都要求获取“越界”或“可选”的权限,其中23个A PP的“越界”权限占比超过50%.
有浏览器可随时随地给用户录音
这些“越界”的权限是哪些?
以“王者荣耀攻略”为例,该APP由吕元飞开发,提供游戏相关图片和视频,基本只有展示功能,但它要求获取修改系统设置、地理位置、查看手机状态和身份等明显与核心业务不相关的功能。
圆圆是一名王者荣耀玩家,她告诉南都,自己下载“王者荣耀攻略”就是想看看攻略,学习怎么把游戏打得更好,并未留意会收集自己哪些信息。“而且一般A PP如果收集位置信息不是会提示么,我没有收到提示哎。而且这个A P P显示通过安全检测,就没有看过其他的了。”圆圆说。
事实上,多数用户都与圆圆一样,对于应用普遍存在获取“越界”权限的问题并不注意。
在南都查看的5款A PP中,最严重的当属“获取精确位置”权限,有29个无相关功能的A PP要求获取,尤其令人匪夷所思的是,其中还包含不少主题类和视频类A PP;19个A PP拥有“读取通讯录”的权限,其中也不乏只有几张图片的主题壁纸类应用;14个A PP称需要“读取短信和彩信”,甚至还有12个A PP可以主动“发送短信”。
这些权限无一例外与A PP的核心功能毫不相关,却与用户隐私有着密不可分的关系。
位置信息可以用来勾勒出用户的行动范围和路线,从而精确定位到个人;通讯录则包含了他人的电话号码,一旦授权获取并被用于商业目的,将对自己和他人都造成困扰。南都此前就报道过,一些社交应用强制要求用户在注册时开放通讯录权限,并利用获取到的联系人信息发送推广短信,很多人不胜其扰。
还有更奇葩的。豌豆荚里的“王者荣耀浏览器”被安装到手机之后,除了拍照、位置信息的权限,它还要求用户开放录音权限。也就是说,一个浏览器可以随时对你录音。
据安卓市场官方简介,“王者荣耀浏览器”由“广州掌阔信息科技有限公司”开发,公司地址为广州市天河区黄村大道自编98号。
南都记者根据地址找到这家公司。虽然正值工作时间,但仅数平米的办公室内只摆放了一张桌子,没有一个办公人员。类似这样的“公司”,在同一楼层还有至少30间,都是门上贴着公司的名字,“办公室”里却非常狭窄,大部分连一张桌子都没有,更没有一位员工,并不像有人办公的正规公司地址。此外,南都记者也试图通过电话与公司联系,听闻是记者,对方立即挂断了电话并不再接听。
实际读取权限,与介绍可能不同
如果说应用商店简介中列出的权限已令人担忧,A PP真正获取的权限许可就可谓触目惊心。
一款A PP中,除了应用商店简介,通常还能从另外三处查看到获取权限列表:第一处,是安装应用时(或首次打开时)跳出的权限列表,用户直接可见。但记者随机采访了20名安卓手机用户,其中19人都表示从来不会仔细看这个列表“太长了,不会认真看。”
第二处是安装包中的xm l文件。网络上的安全测试平台多可测试出这一列表中的权限,它相当于列明了一款应用“向安卓系统申请允许读取用户哪些权限”。
“这虽然不代表应用一定会读取列表中权限关联的各项隐私,但通俗地说,这像是拿到了打开你家门的钥匙”。爱加密科技有限公司工作人员萧何向南都介绍。
而第三处,则是程序中与敏感权限相关的代码行,北京大学软件安全小组组长张汉与萧何均向南都介绍,代码行中出现的权限相关命令可以认为只要条件合适就会开始读取用户相关权限,与实际的行为几乎等同。
据此,南都记者以感融互联网金融服务有限公司的“王者荣耀视频网”(百度手机助手下载)为例进行了更加详细的测试。
在北京大学软件安全小组、北京邮电大学软件学院与爱加密科技有限公司技术帮助下,南都将这款应用上述四处的权限一一列出对比(见图1)。
测试显示,王者荣耀视频在简介中称只会读取用户6项权限,但安装时弹出的提示中则列出了20项权限,在安装包中至少向安卓系统申请了21项权限的许可。技术人员则从其代码中又发现了“获取手机IM EI编号”与“网络下载”等10项敏感函数。
这意味着,一个A P P代码中写入的隐私获取命令与申请读取的权限不同,申请读取的权限与通知用户的不同,通知用户的与简介中的也不相同。
可以说,一个用户想确切获知一款应用究竟获取了自己哪些权限,十分困难。
越界背后:商业利益“不要白不要”
退一步说,即使获得了完全的权限列表,用户就能做出有利于自己的选择吗?
答案是否定的。正如开篇的例子中,用户同意A P P开启麦克风,以为只是用于发送语音,谁知却会被录音。
一位从事安卓手机开发的技术人员告诉南都记者,实际上获取大部分用户隐私信息并不用来完成应用某项功能,而是用于进行未来业务规划。
“比如说拿到用户的位置,就知道自己的用户在哪个省份比较活跃,未来如果公司想开线下实体店,就会优先选择某些省份;而拿到用户的通讯录,主要是为了社交联系,推荐你通讯录里的好友也来使用同一产品”。上述技术人员表示。
对于这一现象,360安全专家刘洋告诉南都,开发者获取用户隐私信息大多是为了营销和推广。“推送精准的广告需要对人群精准地锁定:会用我产品的人是男是女?收入什么水平?手机里都有哪些应用?……这些人群的描摹工作都是通过大量的用户数据完成的。”
值得注意的是,一些应用在开发过程中还会将其中一些功能模块交给第三方来实现,如接入一个云服务的模块、插入一个流量统计的模块等,这些第三方公司也同样可以从应用中获取用户权限。
“第三方的功能也不一定需要这些权限,但既然开了这个端口给我,大家的想法就是不要白不要……”上述安卓开发技术人员表示。
可见,大多数隐私信息的获取实际上并非为了方便用户,而是有利于应用开发方的商业利益。
如此轻巧地获取与使用用户的隐私权限,对应的现实却是安卓令人担忧的安全现状。据相关报告显示,几乎所有的安卓手机与应用都存在大大小小的漏洞,一旦被攻破,用户的隐私便会“裸奔”。
以读取短信的权限为例,刘洋告诉南都记者,对用户来说,它主要的作用是收到验证码时懒得手动复制,需要程序自动填入时会用到,此外,还可以方便保存短信的内容到应用中。
然而,大多数用户并未意识到,短信内有收取验证码、银行余额信息等个人隐私,安全意义重大。
如若不小心安装了短信拦截木马,就会读取手机中的短信内容,后台自动回传到木马制作者指定的邮箱或手机上,这不但会使更多的骚扰电话跟随你,还可能有不法分子利用拦截到的短信验证码,登录支付平台、电商网站进行盗刷。更有耐心的犯罪分子,会通过非法渠道购买到银行卡账号、交易密码、身份证等信息,进入网上银行,进行直接转账,甚至帮受害者申请几笔小额贷款。
据3 6 0公司20 17年第一季度数据统计,发现今年新增的短信拦截马恶意程序就有5 6 7 6 2个,在隐私窃取类的恶意程序中占了近1/3,共感染了675761部手机。
因此,用户即使能够看到权限列表,但不能清晰地知晓这些权限会带来的影响,这种“知情”意义有限,付出的代价却是巨大的。
安卓原生系统多被改,“明示同意”难实现
“知情”尚且如此困难,“同意”似乎更无从谈起。
2017年6月1日起正式实施的《网络安全法》第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。然而,南都记者发现,除了常见的开启相机、定位、麦克风弹窗提示外,很少有A P P会明示告知用户将获取其它权限,并主动弹出窗口获取用户同意。
既然《网络安全法》规定,获取用户信息需要“明示同意”后才能得到权限,安卓应用市场为何不能规范应用对权限的获取行为并提供“明示同意”服务?
实际上,安卓系统早已注意到这一点。2015年5月,安卓推出6 .0系统。在此之前,安装应用时跳出的权限只有一个列表,要么通通同意,点击“安装”,要么拒绝全部,直接“取消”。这实际上是一种形式化的“明示同意”,用户并没有真正选择权。
为了改变这一现状,安卓6 .0及以上的版本将权限分为两类:一类是普通权限,不涉及用户隐私,不需要进行授权,比如手机震动、访问网络等;另一类是危险权限,涉及到用户隐私,在使用时需要用到此功能时进行弹窗提醒用户授权。
这一更新无疑很好地规范了权限获取与“明示同意”的应用行为。
然而,南都记者通过试用发现,国内常用的安卓手机大都不使用安卓原生系统,而是对安卓系统进行了改写。例如,华为手机在下载华为应用市场中的应用时并不会跳出授权弹窗,小米手机也对从小米应用市场中下载的应用进行了“豁免”。
“手机厂商会根据自己的需要对系统进行改写,他们会自己编写想要的权限明示方式”,刘洋对南都记者说。
由于手机原生应用市场会对上架应用进行安全检查,因此豁免手机原生应用市场的应用并不是最令人担心的。
更可怕的是,南都记者尝试用系统已经更新的魅族手机下载了百度手机助手,并在助手中下载了“王者荣耀论坛”,在安装时,系统弹出权限列表,并允许用户逐项选择“开启”、“关闭”或是“使用时询问”,做到了明示同意。
在列表中,南都记者对摄像头、音频等功能点击了“使用时询问”选项。随后,记者打开应用,试图拍摄一张照片并发布,但却发现系统没有跳出询问弹窗便直接使用了拍照功能。这意味着,安装时用户的授权形同虚设,应用绕过授权获取了用户的相机权限。
事实证明,不同手机厂商,不同应用商店都会根据自己的需求对于权限授予做出改变,用户面对的依然是一个杂乱而无法掌握的安卓权限获取现状。
延伸阅读
苹果iOS系统会比安卓系统更安全吗?
Android系统自2008年发布以来到现在,市场占有率已达到87%,这是A ndroid系统开源性带来的结果。而高速发展的背后,却是以牺牲用户安全作为代价。权限控制是A ndroid系统应用程序安全最为核心的机制,而权限授权的宽松和管理不成体系的现状更是A ndroid系统不安全的一个原因。
据介绍,早期的A ndroid版本,所有的权限都对外开放,任何A PP都可以申请获取,比如读取通讯录、读取短信等,是否申请依靠开发者的“自觉”。这些权限只在安装的时候提示用户,只有同意才能使用A PP.并且,一经授权就不能取消,除非卸载A PP.随着A ndroid系统对安全的注重,A ndroid4.3版本出现了权限管理功能,但是对用户隐藏。直到A ndroid6.0以上的版本,权限的划分与授予才更加严格。
不同于A ndroid系统,iO S系统在设计之初,权限的管理十分严格。“如果苹果认为一个A PP权限要求过分的话,会直接拒绝其上架。对于合理的权限,苹果会弹框征求用户的授权。”从事移动、智能设备安全研究的陈安给南都举例,“比如输入法在iO S上从无到有的过程”。
陈安介绍,输入法实际上是一个非常隐私的功能,在用户输入银行账号、密码时,输入法很容易检测到用户正在点击哪些键,而且可以将它们传回服务器。苹果基于安全的考虑,很长一段时间都并未上架其他第三方输入法。虽然现在第三方输入法已经上架,但是它们的输入场景受到限制,比如输入银行账号、输入支付密码的场景,不会让用户使用第三方输入法。此外,iO S还限制它们回传数据的接口。“这些都是苹果的硬性规定,只有满足这些规定的输入法才能上架。而A ndroid没有这样的限制。”陈安说。
相比于iO S商店的规定,A ndroid应用市场就显得宽松。在A ndroid商店中,一款手电筒A PP都可以拥有获取通讯录、读取短信的权限,而A P P并没有提供与此相关的功能。“这是A ndroid应用商店没有官方体系控制的缘故。”陈安解释道。
iOS市场只有一个,只有满足苹果要求的应用才能在其平台上架,并且,只能在苹果应用商店下载。比如,想要下载iOS版Q Q,在Q Q官网都不能下载,只能在苹果应用商店下载。“目前,国内的A ndroid市场大概有300多家,其中只有40-50家大中型市场有完善的审核机制,剩余的200多家都是没有的。”爱加密的安全技术人补充道。
另一方面,在系统设计上,A ndroid系统的设计较之iO S宽松。
iO S系统是实行严格的基于沙盒的控制。所谓沙盒是指iO S系统为每一个A PP创建单独的区域,其所有的非代码文件比如图像、图标、文本文件等全部保存在这个区域中,每个应用程序只能访问自己的空间,不能翻过“围墙”去访问别的A PP的存储空间。
陈安解释说:“一个软件在iO S系统上运行时,它是检测不到其他软件的,而且它会有一种感觉,它是唯一运行在手机上的A P P.而A ndroid系统不一样,任何软件都可以增、删、改、调其他的A PP.”陈安表示。
北京大学软件与微电子学院教授文伟平表示:“A ndroid系统是一个开源系统,其从根本上是开放源码的,移动A PP应用的信息获取可以在A ndroid系统架构的每一层进行实现,即使在应用层上进行权限控制,但是有些病毒完全可以在其他实现层获取到信息并且在应用层上不提示。”
“但也并不是说苹果系统就一定安全,iO S系统只是把用户的数据信息都收集在自己手里,而没有随意共享给第三方,而他们拿这些信息做什么,我们也无从知晓”,文伟平教授说。