AD
360互联网安全中心近日发布《2014年App广告插件安全研究报告》显示,10款主流App广告插件均涉及收集用户隐私信息、滥用隐私权限的情况,此外,还存在消耗手机流量、躲避安全软件检测等多种不良行为。
令人担忧的是,目前市场上主流正规广告插件均存在一定安全隐患,最严重的甚至会导致手机中毒。
目前,国内已经涌现出上百家移动广告平台,主要依靠在移动应用中集成广告插件,收取广告主的展示费来盈利。360互联网安全中心对10款主流广告插件分析发现,共有3款插件存在两种比较危险的安全漏洞。一种安全漏洞会导致广告插件在自动更新过程中,可能会下载并安装被篡改过的更新包或恶意更新包,进而使用户手机感染木马病毒并面临安全威胁。
而另一种安全漏洞更为危险,不法分子利用此漏洞,甚至可以在手机用户观看广告的同时将手机中的文件、通信录、短信、账号等私密信息窃走,还可以利用这一漏洞让用户手机感染木马病毒。更为严重的是,3款存在漏洞的插件中,有1款同时存在上述两种安全漏洞。
《报告》显示,在这10款广告插件中,有8款会收集用户的地理位置信息,7款会收集WiFi列表信息,4款会收集安装应用列表信息,3款会收集电话号码信息。所有广告插件均会全部收集用户的五类个人隐私信息:敏感隐私信息、手机惟一标识、联网相关信息、手机硬件配置信息和软件环境信息。这10款广告插件共使用了26项权限,最多的一款使用了13项权限,平均每款插件使用了9.6项权限。100%的插件使用了读取电话状态的权限,70%的插件使用了获取用户地理位置的权限,20%的插件使用了拨打电话的权限,10%的插件使用了发送短信的权限。所以,在某种程度上说,目前市场上的所有主流广告插件都存在隐私权限滥用的问题。
目前手机应用过度申请甚至是滥用权限的情况非常严重,开发者为了获得更多的广告,往往将插件厂商建议的权限全部声明在应用中。而过度声明则会导致在某个应用出现安全漏洞时,广告插件获取的隐私权限都可以被攻击,导致手机用户的隐私被非法获取。
北京商报记者 魏蔚
