手机壁纸能读你的通讯录 浏览器可能随时给你录

  手机壁纸可以阅读你的通讯录浏览器,可以随时给你一个录音

  南方将“王者荣耀视频网”介绍说,安装shell,xml文件,相关代码行访问全部四个一一列举对比。在Android商店中,开发人员通常会被要求填写权限列表。一些社交应用强制用户在注册时打开他们的通讯录权限,并使用获取的联系信息发送促销信息。 “当性玩具开启时,手机应用程序似乎会继续录制。”今年11月初,网友“tydoctor”在美国知名社交新闻网站Reddit上曝光了这个消息。他说,当他准备重置手机时,他发现了一个存储在应用程序文件夹中的音频文件,“最后一次使用该应用程序远程控制性玩具的时间为六分钟,”Tydoctor写道:“该应用程序捕获使用麦克风和摄像头的权利,但他认为这些权限仅用于应用程序的内置语音消息功能。 “任何时候,我都不希望这个应用程序记录我使用性玩具的整个过程。”值得注意的是,tydoctor使用的Android手机系统早已被Android应用程序过度授权,滥用权威又浮出水面,许多用户都有类似遭遇的线程。“许多移动应用程序都是在没有记录的情况下授权“。”另一家性玩具公司做了类似的事情,并将数据上传到服务器上的用户。“如果你认为这只发生在国外或只在性玩具APP存在,那么你可能太乐观了。截至2014年,中央电视台“每周质量报告”曝光了大量Android手机应用需要在安装过程中打开地址簿,位置等权限,严重威胁用户的隐私和安全。业内分析认为,行业背后的现象是私人信息的销售利益链已经形成,不法手机应用厂商通过手机尾部获取用户的隐私信息呃转售倒卖,以获得大量的灰色收入。日前,南都记者通过调查和技术测试了解到,近几年来,上述问题尚未解决。相反,由于大数据需求的上升,互联网变得更加混乱。南方评测50款APP48机型被“跨界”权限在各类Android应用中,游戏的安全问题一直是高发。结合DCCI 2016年度中国移动安全报告,结合测试样本中94.1%的博彩应用,89.1%能够阅读用户消息,93.6%能够阅读联系人,尽管这些数字在2016年有所下降,的报告还指出,获取手机短信,短信,通话记录,位置信息等被视为用户的阅读核心和重要的隐私行为,他们阅读更多的Wi- Fi,蓝牙等设备信息比较危险,用户应该给予重点关注,其实绝大多数Android用户并没有注意到这一情况,经济损失已经发生,2014年,宁波警方破获了一起三名涉嫌偷窃游戏用户的姓名,身份证号码和手机号码等信息,然后利用这些信息处理假身份证,然后用假身份证通信营业厅举报电话号码并且补上新卡顾,最后用这个新手机卡重新设置了小谷在线游戏的密码,价值超过2000万的游戏币被盗。为了调查Android应用跨境获取隐私权的情况,南都记者以今年的热点王者荣耀为例,入选华为应用市场应用宝,百度手机助手,360手机助手,豌豆豆荚,小米应用商店等6个常用的Android应用市场,根据搜索“王者荣耀”关键字排名前后的顺序,选定了50个以应用为荣的应用型号作为研究对象。周围的荣耀并不意味着国王荣耀官方游戏本身。而是指在国王荣耀游戏普及之后,其他应用程序开发者开发的各种与游戏相关的辅助或扩展应用程序,如艾滋病和壁纸。由于游戏的普及,它们通常是巨大的下载量。南都记者首先在应用商店档案中查看了50个APP的权限列表。在Android应用商店中,应用程序开发者通常需要填写“权限列表”,用户在下载前很容易查看。令人担忧的是,一些开发者在引言中明确列出了一些他们不会使用的“越界”,包括录制和网络摄像头,阅读联系人,发短信,甚至获得您的确切位置。在Nandu选择的50个应用程序中,应用程序配置文件中列出的配置文件大致为28个,包括拍照和录像,阅读联系人,阅读/发送短信,记录,获取准确位置以及修改SD卡的内容。 。根据APP自身的功能,南都记者将这些权限标记为“核心”,“可选”和“跨界”三种,例如视频APP需要调整音量;“可选”是指即使用户拒绝授权,不影响APP核心功能的使用权限,“核心”权限意味着APP核心功能无法正常使用,这些权限可能在APP的非核心功能中使用;“out意思是APP没有获得必要的权限,例如主题壁纸APP请求读取用户通话记录,根据APP类型的不同,其“核心”权限也不尽相同,APPs和论坛主要是为玩家提供攻略,视频等信息,实现核心功能而不必获得基本的用户隐私;主题APP主要提供下载皮肤,壁纸等功能,核心权限可能包括图片保存在SD卡; Vide o APP必须有权更改音频设置;浏览器APP是搜索的核心功能,无需获取用户隐私。虽然这50个应用程序涉及28个隐私相关的权利,但是核心的权利却很少。根据南方都市报的统计,50个应用程序中只有2个是必须获得的“核心”权限,而5个应用程序中的5个都列出了“越界”。其他应用程序需要或多或少的“越界”或“可选”权限,其中23个应用程序占“超出界限”的50%以上。一个浏览器随时随地向用户记录这些“跨界”权限是什么?以“国王荣耀攻略”为例,这个APP是由卢元飞开发的,提供游戏相关的图片和视频。 APP的基本功能只是显示功能。然而,这要求显然与核心业务无关,比如修改系统设置,地理位置,查看手机状态和身份功能圆是荣耀玩家之王,她告诉南方自己下载的“荣耀王攻略”只是想看到攻略,学习如何更好地玩游戏,没有注意将收集什么信息。 “而一般的APP如果你收集的位置信息没有提示什么,我没有收到提示嘿,而应用程序通过安全测试显示,你还没有看到其他任何东西。 Round说。实际上,像圈子这样的大多数用户并没有意识到获得“越界”权限的普遍性。在南方观看的5个APP中,其中最严重的是“获取准确位置”权限,29个无端APP请求。更令人难以置信的是,它还包含了许多主题和视频应用程序19 APPs有能力“阅读联系人”,其中只包括主题壁纸应用程序的几张图片; 14个需要“读取短信和彩信”的应用程序,甚至12个应用程序也可以主动“发送短信”。这些权限无一例外都与APP的核心功能无关,而与用户隐私密切相关。位置信息可以用来概述用户的活动区域和路线以查明个人;地址簿包含其他人的电话号码,一旦被授权被获取并用于商业目的,就会给他们自己带来麻烦南都此前曾报道过一些社交应用强制用户注册时开通地址簿的权限,并利用发送的联系人信息来推广短信,不少人不知所措,还有更多精彩,在豌豆荚的“王者荣耀浏览器“被安装到手机中,除了拍照,位置信息的权限之外,还要求用户打开录制权限。换句话说,浏览器可以随时记录你。据Android Market官方介绍,“霸王浏览器”由“广州掌宽信息技术有限公司”开发,公司地址是广州市天河区黄村路98号。南都记者根据地址找到了公司。而工作时间,只有几平方米的办公室摆放了一张桌子,而不是一个单一的办公室工作人员。在同一层上至少有30家这样的公司,所有公司的名字都在门上,“办公室”非常狭窄,大多数没有一张桌子,也没有一个员工,而不像一些公司办公室的官方地址此外,南都记者还试图通过电话联系公司,听到记者的提问,对方立即挂断了电话,不再回答。实际读取的权限和介绍可能不同如果应用程序中列出的权限个人资料一直令人担忧,APP真的获得了权限许可令人震惊除了应用商店的介绍,一个应用程序通常可以访问来自其他三个位置的权限列表:第一个是当应用程序是弹出的权限列表(或首次打开),并直接向用户显示,但记者随机采访了20名Android手机用户,其中19人表示永远不会仔细看这个名单“时间太长,不会认真看“。第二个是安装包中的xml文件。网络上的安全测试平台可以测试出这个权限列表,相当于一个应用“允许用户读取Android系统的权限”。 “虽然这并不意味着应用程序肯定会读取与列表中的权限相关的所有隐私,但通常认为它就像是获得打开家庭的钥匙。”爱加密科技有限公司何湘南介绍。第三名是程序和敏感权限相关的代码行,北大的软件安全小组组长张汉和小何介绍到南方,行中出现的许可顺序可以考虑,只要正确的条件将开始阅读获取用户相关的权限,几乎相同的实际行为。据此,南都记者荣融互联网金融服务有限公司的“光荣视频网络”(百度手机助手下载)为例进行了更为详细的测试,在北大软件安全组的帮助下,北大软件学院邮电和南通爱加密技术有限公司将对上述四项申请进行比较(见图1)。测试表明,王者荣耀的视频在介绍中只说读取了用户的六个权限,但弹出提示列出了在安装包中安装20个权限的权限,向Android系统申请了至少21个权限的权限。技术人员还从他们的代码中发现了10个敏感功能,例如“获取移动IM?EI号码”和“网络下载”。这意味着APP代码中写入的隐私访问命令与请求读取访问命令不同,读取权限与通知用户不同,通知用户该配置文件与配置文件不同。可以说,用户想要确切地知道应用程序已经获得他们自己的权限是非常困难的。幕后花絮:商业利益,“不要做白”退一步说,即使你有一个完整的权限列表,用户可以做出有利于他们的选择吗?答案是否定的。正如在开幕的例子,用户同意,该应用程序打开麦克风,认为它只是发送声音,但谁知道它被记录。一名从事Android手机开发的技术人员告诉南方都市报记者,其实大部分用户隐私信息并不是用来完成某个功能的应用,而是用于未来的商业规划。 “例如,要获取用户的位置,你知道哪个用户在哪个省份活跃,未来如果公司想开一家实体店,将优先选择一些省份;并获取用户的通讯录,主要用于社交联系,推荐朋友在通讯录中使用同一款产品。“上述技术人员表示。针对这一现象,360安全专家刘洋告诉南都,开发者获取用户隐私信息主要是为了营销和推广。 “推精密广告需要人群的精确锁定:使用我的产品的人是男性还是女性?收入水平如何?手机中的应用有哪些?......这些人是通过大量的用户数据完成“值得注意的是,一些应用程序在开发过程中也会将一些功能模块向第三方实现,比如访问一个云服务模块,插入一个流量统计模块,这些第三方公司也都相同您可以从您的应用程序获得用户权限。 “第三方功能并不一定需要这些权限,但是自从这个端口给我开放以外,大家的想法都不是不想......”上面的Android开发技术人员说。可见,大多数私人信息的获取并不是为了方便用户,而是有利于开发商的商业利益。所以轻者获取和使用用户的隐私,相应的现实是安德鲁的担忧安全现状。据介绍,几乎所有的Android手机和应用程序都存在着大大小小的漏洞,一旦被盗用,用户的隐私就会“裸奔”。以阅读短信权限为例,刘洋告诉南方记者,用户,它的主要作用就是收到验证码太懒,手工复制需要自动填写程序就会用到,另外,还可以方便的将短信内容保存到应用程序中,但是大多数用户并没有意识到如果您不小心安装了短信拦截木马,就会在手机中读取短信,后台自动返回到木马制作人的指定邮箱,手机,这不仅会让更多的骚扰电话跟着你,可能会有不法分子使用拦截短信验证码,登录支付平台,电子商务网站等刷头。更多的病人会通过非法渠道购买银行卡账号,交易密码,身份证等信息,进入网上银行,直接转账,甚至帮助受害者申请几笔小额贷款。根据20 - 17年第一季度360家公司的统计,今年新发现的短信拦截系统共计56762个恶意程序,占隐私盗用恶意程序的近三分之一,共影响手机675761个,所以即使用户可以看到权限列表,但是不能清楚地理解这些权限的影响,“通知”的意义是有限的,而且价格也很高,很多原生的Android系统已经改变了,仍然是“明示同意”太难以实现“知情”,似乎更不可能“同意”。自2017年6月1日起生效的“网络安全法”第22条规定,网络产品和服务有收集用户信息的功能,应由提供商提供给用户明确同意,但南都记者发现,除了常见的开启摄像头,定位,麦克风弹出提示外,少数APP会明确通知用户将获得其他权限,并主动弹出用户同意的窗口。由于“网络安全法”规定,访问用户信息需要“明确同意”,才能获得访问权限。为什么Android应用程序市场没有规定访问权限的访问权限并提供“明确同意”的服务?事实上,Android系统早就意识到了这一点。 2015年5月,Android推出了6? .0系统。在此之前,只有一个安装应用程序时弹出的权限列表,可以是同意,单击安装,或全部拒绝,直接“取消”。这实际上是一个正式的“明确同意”,用户没有一个真正的选择。为了改变现状,安德鲁斯6? 0及以上版本将分为两类:第一类是一般权威,不涉及用户隐私,不需要授权,如手机振动,接入网络;另一个是危险的权利,涉及到用户隐私,使用此功能时需要弹出窗口来提醒用户授权。此更新无疑很好地规范了应用程序行为的访问和“明确同意”。不过,南都记者通过试用发现,最常用的Android手机并不使用Android本机系统,而是改写了Android系统。例如,从华为应用市场下载应用时,华为手机将无法跳出授权弹出窗口,小米手机也免于“从小米应用市场下载的应用”。根据自己的需要改写系统,他们会自己写出自己的表达权威的方式,“刘洋在南方告诉记者,由于手机原生应用市场将会上架申请进行安全检查,因此免除手机在一级市场应用并不是最让人担心的。更可怕的是,南都记者试图用系统更新了魅族手机百度手机助手下载并在助手下载的“荣耀之王论坛”中,安装,系统弹出权限列表,允许用户在明确同意的情况下逐项选择“打开”,“关闭”或“使用时询问”记者点击了“使用时询问”选项,以获取相机和音频等功能。随后,记者打开应用程序,试图拍照并发布,却发现系统没有跳出查询弹出窗口直接使用相机功能。这意味着用户在安装时的授权是这样的,应用程序绕过授权访问用户的相机。事实证明不同的手机厂商,不同的应用商店都会根据自己的需求进行权限的修改,用户仍然面临着凌乱,无法掌握获取Android权限的状况。我可以延长阅读苹果iOS系统比Android安全吗? Android系统自2008年发布至今,市场份额已经达​​到87%,这是开源Android系统的结果。背后的快速发展,却以牺牲用户安全为代价。授权控制是Android系统应用安全的最重要机制。然而,宽松的权限授权和管理碎片化的现状是Android系统不安全的原因之一。据介绍,早期的Android版本,所有的权限都是公开的,任何APP都可以申请访问,比如阅读联系人,阅读短信,是否申请开发者依靠“意识”。这些权限仅在安装时提示用户,只有在APP的同意下。而且,一旦授权,您不能取消,除非你卸载APP。 Android系统注重安全性,Android4.3版本的权限管理功能,却隐藏在用户面前。在Android6.0以上版本之前,授权的划分和授予更为严格。与Android系统不同,iOS系统在设计之初,权限管理非常严格。 “如果苹果认为它太多的APP,它会直接拒绝上架,苹果会打出一个盒子,要求用户授权以合理的权限。”例如,正在研究移动和智能设备安全,在iO?S上从无到有的过程。“陈介绍的输入法实际上是一个非常私人的功能,用户输入银行帐号,密码,输入法很容易检测到用户点击的是哪个键,可以传回服务器。苹果基于安全考虑,很长一段时间没有搁置其他第三方输入法。虽然第三方输入法现在已经上架,但是它们的输入场景是有限的。例如,输入银行账户并输入密码支付方案将不允许用户使用第三方输入法。另外,iOS也限制了数据传回的接口。 Chen说:“这些都是苹果的硬性规定,只有符合这些规则的输入法才会起作用,Android没有这样的限制。”与iOS商店的规定相比,Android应用市场非常宽松,在Android商店中,一个手电筒APP可以访问地址簿,读取短信权限,APP不提供相关功能。“这是因为Android应用商店没有官方的系统控制。”陈解释说,只有一个iOS市场,只有一个以满足苹果在其平台上的应用要求,并且只能在苹果商店下载。比如想要下载iOS版的QQ,QQ官方网站不能下载,只能在苹果商店下载。 “目前国内大约有300个Android市场,其中大中型市场只有40-50个有完善的审核机制,其余200多个都没有。”爱加密安全技术人员补充。另一方面,在系统设计上,Android系统的设计要比宽松的iOS。 iOS系统是执行严格的基于沙箱的控制。所谓沙箱就是指iOS系统为每个APP创建一个单独的区域,其所有的非代码文件如图像,图标,文本文件等都存储在这个区域,每个应用程序只能访问自己的空间,不能转“有”墙访问其他APP存储空间。陈先生解释说:“当一个软件运行在iOS系统上时,它无法检测到其他软件,而且会感觉它是手机上唯一运行的应用程序,而Android系统是不同的,任何软件都可以增加,删除,改变,调整其他APP。“陈说。北京大学软件与微电子学教授温伟平表示:“Android系统是一个基本开源的开源系统,移动APP应用的信息采集可以在Android系统架构的各个层面上实现,应用层访问控制,但有些病毒可以在其他实现层获得信息,而不会在应用层提示。“”但这并不意味着苹果系统将是安全的,iOS系统只收集用户的数据和信息我们无法知道自己在做什么,但我们不会与第三方分享。“温卫平教授说。南都记者纳迪亚冯群星