安卓300款应用六成泄露用户隐私 杀毒软件无法查

　　复旦大学计算机科学技术学院日前发布的报告表明，由于各个应用商城运营方缺乏有力的程序安全审查机制与检测手段，以获取用户隐私信息为目的的程序大量涌现，有可能导致大量用户隐私泄露。该研究团队抽查安卓系统七个应用商城300余款应用，58%存在泄露用户隐私的行为，其中25%的程序还将泄露的信息进行了加密发送，使得在进行安全性审查时，确认其内容和传送目的地变得非常困难。一些泄露用户隐私的应用甚至连“腾讯手机管家”、“360手机卫士”等杀毒软件都无法查出。

　　**表示，安卓系统版本过多、应用开发门槛低、应用市场混乱、刷机市场暗藏风险、恶意软件形成联盟，在这些因素的影响下，移动安全已面临巨大威胁。

　　安全领域频频沦陷

　　作为开源、免费策略的成果，安卓系统在近几年以惊人的速度占领市场，成为智能手机市场老大。然而在安卓系统普及的同时，一系列的困扰也随之而来：通知栏广告轰炸、恶意软件、后台扣费甚至信息泄露层出不穷。安卓系统在安全领域频频沦陷，使安卓辉煌的成绩单蒙上了一层阴影。

　　在天津某事业单位工作的阿鹏在一年前购买了一部安卓手机，购买之后他从来没有刷过机，也几乎没有下载过什么软件。前些天他突发奇想下了一堆软件尝鲜，结果当场“中招”———第二天他的包月流量就宣布告罄。而在他身边，安卓用户出现各种各样问题的并不鲜见。

　　艾媒咨询发布的数据显示，2012第二季度，谷歌公司的安卓系统在我国操作系统中占比达到63.1%，诺基亚塞班系统占比19.9%，苹果公司的iOS操作系统占比11.7%。有预测认为，2012年将有1.4亿台移动互联网终端投放中国市场，其中搭载安卓系统的超过总数2/3。

　　网秦手机安全**邹仕洪告诉记者，由于安卓系统采取了开源+免费的策略，使得手机厂商使用安卓系统门槛很低，导致安卓系统在中低端手机市场出货量极大，市场占有率**提高。同时在市场竞争中，塞班衰落，WP8尚未发力，IOS不开放，手机厂商没有太多选择，安卓系统得以独步天下。

　　南开大学信息安全系主任贾红福认为，安卓系统的开放性是一把双刃剑，一方面可以为用户提供更灵活的界面和操作，提升用户体验，**占领市场，另一方面也带来了恶意软件失控、信息安全难以保证的问题。

　　在安卓恶意软件方面，网秦公司提供的数据显示，仅仅在今年6月，就查杀到安卓平台手机恶意软件5582款，数量为当月查杀塞班恶意软件数的十倍，其中有15款恶意软件感染超过10万部手机。360公司的数据显示，已经有超过五万款安卓应用捆绑了通知栏广告插件。

　　业内人士认为，恶意软件推广领域已经形成联盟。由于很多恶意软件本身就有强制推广的能力，联盟会接受其他恶意软件开发者的委托，对新的恶意软件进行流氓推广。恶意软件与垃圾短信相互结合，并与非法SP相勾结，可以在后台完成订购SP服务吸费的全过程，产业链条非常巨大。

　　信息泄露风险**

　　**表示，安卓系统**的风险不在于扣费或者恶意广告，而是在于信息安全难以保证，这种信息安全隐患是厂商、应用商城、手机应用多个层面的。

　　据贾红福介绍，安卓系统是谷歌公司开发的一种开源操作系统，安卓系统内核层面的安全是由谷歌来维护的。谷歌拥有**上技术**强大的工程师团队，应该说在内核层面上安全是有保障的;从手机厂商层面来讲，众多手机厂商均可基于安卓内核“二次加工”，更改界面，植入应用，操作系统的外延掌握在各家厂商手里。由于缺乏统一的规范和安全标准，在完全依靠厂商自律的情况下，在技术层面上讲是有一定风险的。

　　贾红福解释说，由于植入应用一般都在底层，用户很难删除。如果厂商有意窃取用户信息，可以说完全没有技术障碍。这是一个黑箱，我们不知道厂商有没有窃取我们的信息，也不知道收集了多少信息，只能说不排除这个可能。

　　南开大学信息技术科学学院副教授史广顺认为，目前安卓平台**的问题出在应用层面。调查数据显示，约有五成的手机用户通过PC端助手安装手机应用。安装手机应用时，都要用户开“调试模式”。如果不开“调试模式”，用户无法让手机与PC连接，如果开了“调试模式”，手机里的日志信息、用户账号、访问历史和书签、日历和行程、通话记录、各类传感器数据、本地文件等所有信息都向应用商城敞开，存在很大的风险。

　　现在市面上有上百家安卓软件应用商店，**的就有三十四家，难保这些应用商城都能做好自律。不仅如此，应用商城对应用安全的掌控目前也处于混乱状态。由于追求规模，注重下载量，导致一些应用商城对应用的审查并不严格，许多恶意软件都是通过应用商城扩散的。

　　网秦工作人员王瑛告诉记者，在恶意软件的作用下，窃取位置信息甚至通话内容并非难事。网秦所截获的“X卧底”是典型的手机**软件，这类**软件利用了手机的三方通话功能，在诱骗用户安装后，每次启动时可由黑客在通话时插入一则波段，实际置于同一通话环境之中，其中可以随意听取通话信息。网秦在上半年截获的隐私窃取类恶意软件中，有超过43%的恶意软件可通过GPS等方式实现对目标手机的跟踪定位。

　　高度重视安卓系统隐患

　　史广顺认为，由于移动互联网功能的增强，智能手机上的个人信息往往比电脑上还要多，可是人们对手机信息安全的重视程度却远远不如电脑。

　　窃取信息如此便利，意味着手机上的政治、经济、科技、军事机密都可以毫无障碍地窃取，不仅仅是在侵犯公民的隐私权，更有可能威胁国家的信息安全。

　　中央财经大学民生经济研究中心主任李永壮认为，在安卓系统占据了过半智能机市场的情况下，不可以对其安全隐患视而不见。应该将移动互联安全问题上升到国家信息安全的高度，切实保护好民众的信息和财产安全。

　　据悉，工信部已于2012年6月初发布《关于加强移动智能终端进网管理的通知》(征求意见稿)，该通知主要针对终端设备的制造商进行约束，但未对应用程序的开发者、安卓系统应用商城平台的运营商进行相应监管。

　　贾红福表示，在移动互联安全方面，技术审查存在真空，技术标准也没有出台，更缺乏相应的法规来保障用户的信息安全。用户手机中的个人信息，对于手机厂商、应用商店和应用开发者都有巨大的商业价值，而目前对信息安全的把控，完全靠各个环节的自律。指望所有环节都高度自律在现实中是不可能实现的，必须制定相应的法规和制度。

　　史广顺建议，针对手机厂商，应在系统架构、内置应用、信息收集等方面制定统一的技术标准;针对应用商城混乱发展的局面，应加强规范，制定应用审查技术标准，防止恶意应用进驻应用商城传播，并对违规应用商城进行打击;对于恶意应用开发者和个人信息窃取者，应制定相应惩处法规，加大打击力度。同时，对于对国家安全较为重要的信息，更应加大保护力度。邓中豪