免费APP要求获得权限 其实是拿用户信息卖钱

　　不少人都会在手机上安装“手电筒”APP，以备不时之需。殊不知，这种不起眼的软件也可能“偷”走你的隐私。美国一家知名的电子安全公司“侦探墙”这几天警告说，“手电筒”这种不起眼的APP，居然也会把手机位置、使用者具体信息、联系人甚至短信内容等偷偷发送给市场研究公司或广告公司。与此同时，360互联网安全中心日前对最流行的10款正规厂商广告插件进行了一次全面的安全性分析，结果发现十款APP广告插件均涉及收集用户隐私信息、滥用隐私权限的情况，还存在消耗手机流量、躲避安全软件检测等行为。

　　技术专家提醒，在下载免费软件时一定要留点心眼，因为免费软件的盈利模式之一就是向第三方出售客户的数据。

　　“手电筒”居然要求用户开放7项权限

　　在很多人的印象里，“手电筒”只是将手机背后的闪光灯长时间亮起以提供照明的软件，可以说是“小儿科中的小儿科”，几乎没有什么技术含量。而且这种应用与地图、交友什么的不一样，完全是一种单方行为，所以程序一定很简单。

　　昨日，记者在手机上自带的“安卓市场”里，下载了几款“手电筒”APP。然而，在安装这些不同出品方出品的“手电筒”软件后，记者发现，这种仅需使用手机闪光灯的软件，在安装时居然也提示手机用户开放7个权限，其中包括读取通讯录、通话状态和身份，以及拍照和视频功能。更离谱的是，安装这些手机软件时，用户根本没有权利选择开放哪些功能。在软件下载完成后，安装界面没有提供勾选开放或关闭某些权限的功能，只能默认全都开放，或者干脆取消安装。在这种情况下，绝大多数人都会选择接受。

　　随后，记者又使用安卓手机下载了多款不同类型的软件。在安装“58同城”时，提示需要开放个人信息、地理位置、网络通讯、账户信息等15项权限。这15项权限中，地理位置用于同城定位、网络通讯用于网络连接及访问，这些权限的开放，确实是功能所需。但其中一项个人信息的权限开放，却标明要查阅敏感日志数据。而记者随后下载的一个“随身笔记”软件，居然也同样提示需要开放个人信息、地理位置、网络通讯、账户信息等15项权限。

　　记者遭遇的这一情况，也被刚刚发布的行业报告证实。昨日，360互联网安全中心向记者提供了《2014年APP广告插件安全研究报告》。它针对当前安卓平台1000款热门应用中最流行的10款正规厂商广告插件进行了一次全面的安全性分析。研究数据显示，10款APP广告插件均涉及收集用户隐私信息、滥用隐私权限的情况，此外还存在消耗手机流量、躲避安全软件检测等多种不良行为。令人担忧的是，目前市场上主流正规广告插件均存在一定安全隐患，最严重的甚至会导致手机中毒。

　　记者了解到，上述报告所测试的10款广告插件共使用了26项权限，最多的一款使用了13项权限，平均每款插件使用了9.6项权限。100%的插件使用了读取电话状态的权限，70%的插件使用了获取用户地理位置的权限，20%的插件使用了拨打电话的权限，10%的插件使用了发送短信的权限。所以，在某种程度上说，目前市场上的所有主流广告插件都存在隐私权限滥用的问题。此外，在上述10款广告插件中，有8款会收集用户的地理位置信息，7款会收集WiFi列表信息，4款会收集安装应用列表信息，3款会收集电话号码信息。所有广告插件均会全部收集用户的五类个人隐私信息：敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息和软件环境信息。

　　这也就意味着手机用户的地理位置、手机号码、应用列表、手机联网方式以及硬件软件信息都会被插件厂商获取。这些信息可以让插件厂商向特定的应用推广广告，但同时，手机用户的手机使用习惯、什么时间去过什么地方等隐私信息也会泄露，不法分子完全可以将手机转换为追踪设备，可谓触目惊心。

　　权限一开放用户隐私就被出售

　　既然手机APP可以向他人传送信息，那么权限被开放后，我们的隐私被传送到哪儿了呢？“要看到隐私去哪儿了，必须通过后台代码来分析！”360手机安全专家潘巨敏告诉记者，为了清楚地看到隐私的去向，他做过一次实验，就是将手机连接上电脑，同时开始下载软件。他找了一款软件安装完成后，发现其后台立即显示出一连串代码数据，其中包括通讯录中的手机号码等数据。“安装运行完成后，这款软件就开始偷偷在后台上传跟功能丝毫不相关的手机号等信息，这些信息最终的去处是远端的黑客服务器。”也就是说，远端的黑客服务器在得到这些数据后，可以在用户毫不知情的情况下，下载更多恶意软件，“远端的服务器上可以任意查看你的信息内容，包括银行账户、密码等。”

　　“一般泄露出来的个人信息会被用来分析，当然不排除通过地下产业进行流转，用于推广或发送广告信息等。”360手机安全专家朱翼鹏告诉记者，一旦涉及用户隐私的权限对某个应用放开，就等于把隐私毫无保留地贡献给应用开发商。一些流氓软件可能直接卖掉用户手机里的资料，或者榨取更隐私的信息，比如银行账户等。而目前手机应用过度申请甚至是滥用权限的情况非常严重，开发者为了更多地接受广告，往往将插件厂商建议的权限全部声明在应用中。而过度声明则会导致在某个应用出现安全漏洞时，广告插件获取的隐私权限都可以被攻击，导致手机用户的隐私被非法获取。

　　因此，装软件时，手机用户一定要注意观察软件权限，手机恶意广告插件多通过篡改正常软件来作恶，如一个连连看游戏，出现了发短信、访问相册等与应用不相关的敏感权限，就带有恶意性质了；手机安全软件可以对权限进行关闭，用户可以定期使用安全软件对手机进行检测，及时对应用程序申请的不必要权限进行管理限制。

　　62%的流量费用或被广告插件所耗

　　手机APP不仅卖我们的信息，还强推广告、干扰用户和消耗流量。上述报告指出，某些广告插件除了会在应用中显示各种类型的广告外，还会通过私自添加浏览器标签、私自添加短信记录、私自创建快捷方式等方法来强制向用户推送广告。手机广告插件主要通过全系统插屏广告和频繁推送通知栏广告干扰用户。

　　广告插件消耗用户流量分为两个方面：一是用户在下载带有广告插件的应用时，需要为广告插件消耗的流量买单；二是运行带有广告插件的应用时所下载的广告数据会消耗手机流量。

　　以一款手电筒应用为例，这款手电筒的安装文件大小约为2.9M，而将该应用中的所有广告插件都去除后重新生成的文件仅为1.1M，二者相差了1.8M，有广告插件的手电筒程序是没有广告插件的手电筒程序的2.6倍。换个角度来看，就是当我们去应用商店下载这款手电筒程序时，实际上约62%的流量都浪费在了广告插件上。(首席记者 江海)