姜姝
近日,360互联网安全中心发布《2014年APP广告插件安全研究报告》,针对当前安卓平台1000款热门应用中最流行的10款正规厂商广告插件进行了一次全面安全性分析。
研究数据显示,十款APP广告插件均涉及收集用户隐私信息、滥用隐私权限的情况,此外,还存在消耗手机流量、躲避安全软件检测等多种不良行为。根据数据显示,2014年中国移动广告平台市场整体规模将达到50.1亿元。市场规模不断扩大,但国内移动广告平台缺乏统一的行业标准,良莠不齐,给移动安全带来了一定的风险和隐患。
主流广告插件存安全漏洞
可致手机中毒
360互联网安全中心对十款主流广告插件分析发现,共有3款插件存在两种比较危险的安全漏洞。一种安全漏洞会导致广告插件在自动更新过程中,可能会下载并安装被篡改过的更新包或恶意更新包,进而使用户手机感染木马病毒并面临安全威胁。而另一种安全漏洞更为危险,不法分子利用此漏洞,甚至可以在手机用户观看广告的同时将手机中的文件、通信录、短信、帐号等私密信息窃走,还可以利用这一漏洞让用户手机感染木马病毒。更为严重的是,3款存在漏洞的插件中,有1款同时存在上述两种安全漏洞。
权限滥用收集用户隐私
《报告》显示,在分析的10款广告插件中,有8款会收集用户的地理位置信息,7款会收集Wi-Fi列表信息等信息。所有广告插件均会收集用户的五类个人隐私信息:敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息和软件环境信息。
这也就意味着,手机用户的地理位置、手机号码、应用列表、手机联网方式以及硬件软件信息都会被插件厂商获取。这些信息可以让插件厂商向特定的应用推广广告,但同时,手机用户的手机使用习惯、什么时间去过什么地方等隐私信息也会泄露,不法分子完全可以将手机转换为追踪设备,可谓是触目惊心。
报告测试的10款广告插件共使用了26项权限,最多的一款使用了13项权限,平均每款插件使用了9.6项权限。100%的插件使用了读取电话状态的权限,70%的插件使用了获取用户地理位置的权限。所以,在某种程度上说,目前市场上所有主流广告插件,都存在隐私权限滥用问题。
62%的流量费用
或被广告插件所耗
强推广告、干扰用户和消耗流量是广告插件主要的不良行为。《报告》指出,某些广告插件除了在应用中显示各种类型的广告外,还会通过私自添加浏览器标签,私自添加短信记录等方法来强制向用户推送广告。手机广告插件主要通过全系统插屏广告和频繁推送通知栏广告干扰用户。
广告插件消耗用户流量分为两个方面,一是用户在下载带有广告插件应用时,需要为广告插件消耗的流量买单,二是运行带有广告插件应用时广告插件下载广告数据会消耗流量。
360手机安全专家建议,应用程序要合理使用隐私权限,并注意保护手机用户的隐私数据。同时,手机用户尽量从安全可靠的应用市场下载手机软件;安装软件时,注意观察软件权限。