本版图片来源:百度图片
上月爆出12306泄密事件的用户typcn在推特爆出“支付宝 Android 版隐私门”,称支付宝安卓版每隔X分钟,会在后台启动摄像头拍照,录音X秒,然后上传到服务器上,同时也会有通讯录、通话记录,附近基站和Wi-Fi等信息。
尽管阿里巴巴公司已经发表声明进行辟谣,坚称typcn提到的说法纯属造谣,支付宝绝对不会“在用户不知情的情况下,后台启动摄像头拍照或录音”,并表示,支付宝客户端使用系统权限的规则是,只申请业务需要的权限,不会做额外的信息采集和后台操作,更不会侵犯、泄露任何用户隐私信息。但不少支付宝用户依然心有余悸,并让更多的人产生疑问,手机App到底安不安全?
善意还是恶意?
使用安卓系统手机的人都知道,在每次安装App时都会弹出对话框,告知该App将会读取手机内哪些内容,比如获得读取通讯录、拨打电话、GPS地理位置等关键权限。有人甚至打比方说,用了安卓机,基本就等于是把衣服扒光给别人看,毫无隐私可言。
这些权限虽然“霸道”,但如果不同意,App就无法安装,而点击“下一步”就是默认了手机内的一些隐私会“窥视”。对此,专家认为有些权限对于App来说是必要的。“比如短信备份软件,就必须要申请读取短信的权限,拍照软件,就必须申请开启摄像头权限,有联网需求的软件,申请开启wi-fi的权限也在情理之中。”中国科学院计算机研究所研究员翟立东在接受《中国科学报》记者采访时表示,“但还有一些软件,其申请的权限并不是必需的,或者说不是其主要功能所必需的,但其他功能又或多或少地需要该权限,这就很难甄别了。”
华南师范大学计算机学院教授赵淦森也认为,虽然有些App的权限要求是必需的,但“其中,有一些应用是开发时要求所有权限都要,有的甚至是隐藏功能需要读取隐藏数据。那么就需要用户在安装App时,检查其获取的权限与功能是否匹配。如果匹配,说明App的要求合理,反之则最好谨慎安装。”
而在早期的安卓系统中,一些App确实会恶意滥用权限。“这些恶意的软件将其作为数据收集的方法,也是可能的,因为这是大多数恶意软件的套路,没有这些权限,恶意软件就无法达到目的。这个过程很大程度上需要用户自己去判断或者借助第三方的安全软件。”翟立东解释道。
第三方平台共享信息怎么办?
不仅App渴望收集用户信息,而且借助手机App运行的第三方平台也试图“雁过拔毛”。比如若想通过微信、微博等App打开某种应用,必然会弹出一个页面,告知用户“第三方应用”将获取微信头像、昵称等信息。虽然有泄密的可能,但是专家认为并不需要太担心。
“这种是微信开放的用于登录第三方平台的一种功能,像QQ、新浪微博等都开放了此功能,这对用户来说也比较便捷,因为省去了注册的流程。毋庸多虑的是,首先对整个流程腾讯等厂家已经进行了诸多安全性考虑,其次像这种第三方登录,以微信为例,第三方平台得到的仅仅是你的头像、昵称、性别、地址等基本信息,并没有涉及像银行账号这种敏感信息,如果用户不想透露自己以上基本信息的话,大可不使用第三方登录功能,毕竟单独注册一个平台的账号也花不了太多时间。”翟立东表示。
关闭“不靠谱”的权限
虽然这是众所周知的潜规则,但是从安卓4.3开始,Google就已经为安卓系统加入了权限管理系统。一些第三方应用也推出了软件运行的权限监控。例如,后来出现的一些定制ROM,像小米的MIUI,以及类似360、LBE安全大师需要root的第三方安全软件,都可以对软件运行时的权限调用进行监控,并提示用户,用户可以选择禁止。“现在最新的安卓6.0,谷歌直接在系统中内置了权限管理功能,更加提高了安全性,所以只要不是用户默认和利用系统漏洞,很难有软件在不经用户同意的情况下私自开启摄像头和录音设备。”翟立东告诉记者。
不过,专家也建议,虽然有了第三方软件监控App权限,但用户们在下载软件时还应该注意几点。首先,应从正规渠道下载软件,即有安全背景的第三方应用商店,因为这些应用商店会对入驻的软件进行安全检测,绝大部分都可以放心使用;其次,有条件的还可以使用Google Play商店,因为那里的软件已经通过了谷歌团队的审核和批准;第三,是在安装软件的时候对软件的权限进行最小化管理,这样可以在一定程度上隔绝敏感权限对用户隐私造成的危害。“特别是联系人和短信数据的读取功能最好关闭,因为它们可以获得短信、联系人中完整的信息,甚至可以通过拦截银行验证码等信息的方式,获得银行卡的信息,进而盗取银行卡密码。”赵淦森总结道。
豫公网安备 41010402002388号 网站地图 http://www.ur10.com/