2014年APP廣告插件安全研究報(bào)告出爐
導(dǎo)讀:國(guó)內(nèi)已經(jīng)涌現(xiàn)出上百家移動(dòng)廣告平臺(tái),主要依靠在移動(dòng)應(yīng)用中整合廣告插件,收取廣告主的展示費(fèi)來盈利。艾媒諮詢《2013-2014年中國(guó)移動(dòng)廣告平臺(tái)行業(yè)觀察報(bào)告》顯示,2014年中國(guó)移動(dòng)廣告平臺(tái)市場(chǎng)整體規(guī)模將達(dá)到50.1億元。儘管市場(chǎng)規(guī)模不斷擴(kuò)大,但國(guó)內(nèi)移動(dòng)廣告平臺(tái)缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn),良莠不齊,給移動(dòng)安全帶來了一定的風(fēng)險(xiǎn)和隱患。
360網(wǎng)際網(wǎng)路安全中心日前發(fā)佈《2014年APP廣告插件安全研究報(bào)告》,針對(duì)當(dāng)前安卓平臺(tái)1000款熱門應(yīng)用中,最流行的10款正規(guī)廠商廣告插件進(jìn)行了一次全面的安全性分析,數(shù)據(jù)顯示,10款A(yù)PP廣告插件均涉及收集用戶隱私資訊、濫用隱私許可權(quán)的情況。此外,還存在消耗手機(jī)流量、躲避安全軟體檢測(cè)等行為,報(bào)告提到超六成的手機(jī)流量費(fèi)用或被廣告插件所耗。令人擔(dān)憂的是,目前市場(chǎng)上主流正規(guī)廣告插件均存在一定安全隱患,最嚴(yán)重的甚至?xí)?dǎo)致手機(jī)中毒。
主流廣告插件存在安全漏洞可致手機(jī)中毒
360網(wǎng)際網(wǎng)路安全中心對(duì)十款主流廣告插件分析發(fā)現(xiàn),共有3款插件存在兩種比較危險(xiǎn)的安全漏洞。一種安全漏洞可能會(huì)導(dǎo)致廣告插件在自動(dòng)更新過程中,下載並安裝被篡改過的更新包或惡意更新包,進(jìn)而使用戶手機(jī)感染木馬病毒並面臨安全威脅。
而另一種安全漏洞更為危險(xiǎn),不法分子利用此漏洞,甚至可以在手機(jī)用戶觀看廣告的同時(shí)將手機(jī)中的文件、通訊錄、短信、賬號(hào)等私密資訊竊走,還可以利用這一漏洞讓用戶手機(jī)感染木馬病毒。更為嚴(yán)重的是,3款存在漏洞的插件中,有1款同時(shí)存在上述兩種安全漏洞。
十款廣告插件均會(huì)收集用戶敏感隱私資訊
《報(bào)告》顯示,在分析的10款廣告插件中,有8款會(huì)收集用戶的地理位置資訊,7款會(huì)收集WiFi列表資訊,4款收集安裝應(yīng)用列表資訊,3款收集電話號(hào)碼資訊。所有廣告插件均會(huì)全部收集用戶的五類個(gè)人隱私資訊:敏感隱私資訊、手機(jī)唯一標(biāo)識(shí)、聯(lián)網(wǎng)相關(guān)資訊、手機(jī)硬體配置資訊和軟體環(huán)境資訊。
這意味著,手機(jī)用戶的地理位置、手機(jī)號(hào)碼、應(yīng)用列表、手機(jī)聯(lián)網(wǎng)方式以及硬體軟體資訊都會(huì)被插件廠商獲取。這些資訊可以讓插件廠商向特定的應(yīng)用推廣廣告,但同時(shí),手機(jī)用戶的手機(jī)使用習(xí)慣、什麼時(shí)間去過什麼地方等隱私資訊也會(huì)洩露,不法分子完全可以將手機(jī)轉(zhuǎn)換為追蹤設(shè)備,可謂是觸目驚心。
一款插件最多使用13項(xiàng)隱私許可權(quán)
報(bào)告測(cè)試的10款廣告插件共使用了26項(xiàng)許可權(quán),最多的一款使用了13項(xiàng)許可權(quán),平均每款插件使用了9.6項(xiàng)許可權(quán)。100%的插件使用了讀取電話狀態(tài)的許可權(quán),70%的插件使用了獲取用戶地理位置的許可權(quán)。20%的插件使用了撥打電話的許可權(quán),10%的插件使用了發(fā)送短信的許可權(quán)。所以,在某種程度上説,目前市場(chǎng)上的所有主流廣告插件,都存在隱私許可權(quán)濫用的問題。
目前手機(jī)應(yīng)用過度申請(qǐng)甚至是濫用許可權(quán)的情況非常嚴(yán)重,開發(fā)者為了更多接受廣告,往往將插件廠商建議的許可權(quán)全部聲明在應(yīng)用中。而過度聲明則會(huì)導(dǎo)致在某個(gè)應(yīng)用出現(xiàn)安全漏洞時(shí),廣告插件獲取的隱私許可權(quán)都可以被攻擊,導(dǎo)致手機(jī)用戶的隱私被非法獲取。
62%的流量浪費(fèi)在廣告插件上
強(qiáng)推廣告、干擾用戶和消耗流量是廣告插件主要的不良行為。《報(bào)告》指出,某些廣告插件除了會(huì)在應(yīng)用中顯示各種類型的廣告外,還會(huì)通過私自添加瀏覽器標(biāo)簽,私自添加短信記錄、私自創(chuàng)建快捷方式等方法來強(qiáng)制向用戶推送廣告。手機(jī)廣告插件主要通過全系統(tǒng)插屏廣告和頻繁推送通知欄廣告干擾用戶。
廣告插件消耗用戶流量分為兩個(gè)方面,一是用戶在下載帶有廣告插件的應(yīng)用時(shí),需要為廣告插件消耗的流量買單,二是運(yùn)作帶有廣告插件的應(yīng)用時(shí)廣告插件下載廣告數(shù)據(jù)會(huì)消耗手機(jī)流量。
以一款手電筒應(yīng)用為例,這款手電筒的安裝文件大小約為2.9M;而將該應(yīng)用中的所有廣告插件都祛除後重新生成的文件僅為1.1M,二者相差了1.8M,有廣告插件的手電筒程式是沒有廣告插件的手電筒程式的2.6倍。換個(gè)角度來看,就是當(dāng)我們?nèi)?yīng)用商店下載這款手電筒程式,實(shí)際上約62%的流量都浪費(fèi)在了廣告插件上。文/本報(bào)記者 吳琳琳
專家建議
注意保護(hù)手機(jī)用戶隱私數(shù)據(jù)
360手機(jī)安全專家建議,應(yīng)用程式要合理使用隱私許可權(quán),並注意保護(hù)手機(jī)用戶的隱私數(shù)據(jù)。同時(shí),手機(jī)用戶儘量從安全可靠的應(yīng)用市場(chǎng)等下載手機(jī)軟體;安裝軟體時(shí),注意觀察軟體許可權(quán),手機(jī)惡意廣告插件多通過篡改正常軟體來作惡,如一個(gè)連連看遊戲,出現(xiàn)了發(fā)短信、訪問相冊(cè)等與應(yīng)用不相關(guān)的敏感許可權(quán),就帶有惡意性質(zhì)了;最好用具有惡意廣告攔截功能的手機(jī)安全軟體對(duì)廣告插件進(jìn)行管理。
[責(zé)任編輯: 林天泉]
近日,浙江義烏一名男子在網(wǎng)上不斷炫富,還用百元大鈔點(diǎn)煙...
關(guān)注臺(tái)灣食品油事件