复旦大学计算机科学学院专家昨天发布的研究显示,目前国内安卓系统的应用程序泄露率过半。
复旦(微博)大学计算机科学学院专家昨天发布的研究显示,目前国内安卓系统的应用程序泄露率过半。
这项由复旦大学计算机科学学院院长王晓阳教授和系统安全研究专家杨珉博士主持的研究还表明,恶意软件主要通过过度授权的方式窃取用户个人信息。
王晓阳教授建议,个人用户要注意信息安全,国家应尽早建立相应国家安全技术标准及法律法规。
八成软件过度要求授权
据相关统计,以智能手机为代表的移动智能终端目前已成为我国网民的第一大上网终端,随之而来的个人信息安全问题也日趋严峻。
王晓阳教授介绍说,以智能手机为代表的移动设备拥有很多高附加值的信息和资源。这些信息和资源不仅包含个人的手机信息、身份信息、地理位置信息,还包含诸多账号信息以及邮件、文件等信息,这些信息可被软件轻易复制和传送。
王晓阳教授团队对100款软件进行了分析,其中有80余款过度要求授权。比如“愤怒的小鸟(微博)”要求短消息读和发的权限;“水果忍者”需要用户的电话号码等。
而一些恶意软件往往是利用用户安装时授予的相关权限,收集用户隐私信息后,借助网络接口、短信通道等各种方式将用户隐私信息散发出去。
根据由北京网秦天下科技有限公司发布的报告显示,在安卓平台上已知的恶意软件中,以隐私信息窃取为目的的恶意软件高达24.3%,位居所有恶意行为种类的首位。
应用商城应做安全核查
王晓阳教授及其团队为更好地揭示安卓程序泄露用户隐私信息的总体状况,对国内7家最具代表性的安卓应用商城的330款热门应用程序进行了调查和分析,涵盖游戏、系统管理、行程管理等多个类别。
研究表明,7个商城的总体泄露率达到了58%。泄露的目的地中,65%的程序会将信息泄露给开发者, 38%的程序会将信息泄露给广告商,还有12%的程序将信息泄露给未知第三方。
王晓阳教授建议,在下载安装应用程序时,应选择知名度高的应用商城或者相应程序的官方网站等。
王晓阳教授还呼吁,应建立应用程序的安全性检测与测评机制,加强对应用商城运营商与程序开发商(者)的监督管理,并在这些标准的基础上,制定相应的法律法规与管理办法。
政府有关部门也应提供相应的安全性审查检测工具和服务,要求应用商城承担平台管理和用户数据安全保障的连带责任,比如可要求应用商城对上架的所有应用程序进行强制的安全核查及进行开发者验证等。