智能手机背后的隐私保卫战

       如果智能手机真的变成一颗手雷，那么，被泄露的隐私就是引爆它的那根撞针。

　　智能手机等移动设备的普及，将APP推进欢宴时代，一个个圆角矩形的小图标，在手机和平板的桌面上挤作一团。

　　可是，当你乐此不疲地享受APP带来的愉悦体验时，殊不知，你的手机正在“裸奔”——不仅被那些手脚不干净的APP装上了一双窥私的眼睛，还被暗地里凿穿了连接后门的秘密通道。

　　于是，你去了哪，给谁打了电话，发了什么短信，访问了什么网站，网购了什么商品等信息，当然，还有你的手机号、通讯录名单、通话记录、地理位置、邮箱账号等隐私，都被公开在一个你不知晓的隐秘地方。

　　法律界定的严重滞后和安卓系统的监管不到位，让APP行业至今无从监管。在掘金移动互联网的喧嚣和躁动中，窃取用户隐私的行为显得肆无忌惮。

　　坐在记者面前的刘胜四十岁出头，在北京开有一家对外承接APP(手机应用)开发的公司，近20年的程序开发经验使他成为了这个圈内的资深人士。

　　“APP开发行业根本就没有道德底线，对于手机用户隐私信息的保护，完全凭开发者的良心。”刘胜不动声色地对《IT时代周刊》说。他对这一切已经习以为常。据他介绍，开源的安卓系统是3大智能手机操作系统中的最危险者，它允许基于该操作系统的APP开发者调用的手机设备信息和数据权限有几十种，这就意味着，一旦有用户在手机上安装了某些APP，那么他的手机号、通讯录、通话记录、邮箱账号、地理位置、SD卡等个人信息，都可能被这些APP的开发者一览无余。

　　第一章如影随行的“窃听器”

　　统计数据显示，Android应用数量已经超过75万款。由于安卓智能手机广大的覆盖率，这些应用造成的隐私泄露问题正变得越发严峻。

　　3月15日，公众高度关注的央视“3·15晚会”曝光了这一灰色地带：重庆小面、爱聊、红警世界联盟、高德地图等多款Android平台上的手机应用存在搜集、泄露用户隐私的行为。

    据本刊记者了解，被央视曝光的几款APP仅是冰山一角，在庞大的安卓应用市场中，窃取用户隐私的行为已成为行业“常态”。

　　七成APP收集用户隐私

　　日前，中国互联网数据中心(DCCI)针对国内各类Android市场下载量前1400位的APP进行了评测，并在《2013移动隐私安全评测报告》中称，66.9%的智能手机移动应用在抓取用户隐私数据，其中，34.5%的移动应用有“隐私越轨”行为。“隐私越轨”行为是指APP抓取用户隐私信息并非APP服务功能所必需。DCCI在报告中声称，61%的短信记录读取权限，73%的通话记录读取权限，是移动应用功能中不必要的权限，即存在“隐私越轨”行为。

　　为了深入了解APP窃取了用户的哪些隐私信息，本刊记者在刘胜的帮助下进行了一项模拟监测：选择安卓应用市场——“应用汇”榜单排名前11的APP(包括腾讯微信、新浪微博、百度输入法和开卷有益等几款阅读软件)，借助手机安全软件的隐私管理功能来查看这些应用是否涉嫌收集用户隐私。

　　监测的结果让人大吃一惊!所有被监测APP都在收集设备信息(主要收集用户识别码和网络使用权限)，其中，收集位置信息的APP约占86.67%，收集手机号码的为53.33%，收集通讯录信息的为46.67%，还有33.33%的APP会访问短信记录。

　　这些热门的手机APP为大部分智能手机用户乐于安装或使用，以新浪微博5亿多的用户量和腾讯微信3亿的用户量而言，中国的智能手机用户基本上都是在“裸奔”，毫无隐私可言。

　　对此，业界有观点认为，腾讯微信是建立在紧密关系和地理位置基础上的即时通信应用，其访问通讯录和位置信息的行为可理解为是功能性需要，但它访问用户的短信记录就有“隐私越轨”的嫌疑。同理，像“开卷有益”这类阅读软件，它调取用户的手机号码和位置信息就明显不合理。

　　刘胜还向本刊记者透露，手机应用一般都要进行文件操作，所以调用SD卡(存储卡)的权限都是默认的，但这其中就可能存在风险：一款照相功能的APP应用，除了把照片保存在用户的手机上，还有可能传到自己的服务器上，甚至这款APP还可能调取SD卡里的其他东西，比如录音、视频等。而APP在后台进行的这一系列操作，用户并不知情。

    一名关注互联网隐私信息保护的业内人士向本刊透露，行业人士曾做过一个模拟测试：从深圳创梦天地科技有限公司的官网——乐逗游戏下载热门游戏《水果忍者》后，将一台笔记本电脑模拟成乐逗游戏的服务器。在这个记录了模拟测试全过程的视频中，本刊记者注意到，随着《水果忍者》的运行，模拟服务器的采集框里收集的数据越来越多，时间越长上传的信息越多。采集到的隐私信息非常详细，包括手机操作系统版本、屏幕分辨率、Gmail账号、手机串号、手机联系人的所有信息(姓名、电话、电子邮件地址等)，以及手机安装的软件列表。

　　“这些都是国外正版的游戏软件，软件本身是干净的，干净的程序是不具备窃取用户隐私功能的，但国内游戏厂商代理这款游戏后，又找了开发团队，在本地化过程中植入了恶意代码。”上述人士谈道。

　　据了解，乐逗游戏官网提供的近60款安卓手机游戏中，除《水果忍者》外，还有44款应用存在窃取用户隐私的行为。《水果忍者》用户数超过1亿，另外用户数达千万级的APP也不在少数。这也就意味着，乐逗游戏公司在理论上至少掌握着上亿用户的隐私信息。

　　对此，创梦天地COO苏萌予以否认，他谈道，创梦天地不是游戏开发商，也不会自己研发游戏。“我们的精品游戏在国内存在很多的盗版，很有可能是这些游戏被植入了很多恶意代码，窃取用户隐私。”

　　经过安全软件的围剿和央视“3·15晚会”之后，公众对于隐私保护的关注度开始提升，一些软件开发商避了“风头”。“涉及用户隐私的数据在3·15前几天就开始往下掉，到目前为止，整体数据下滑了一半多。”一名安全厂商的技术人员说。

　　虽然正规公司收集用户隐私的行为变得谨慎，但一些山寨的软件收集用户隐私的疯狂行为依然故我。据了解，在国内安卓应用市场的一些热门APP中，大概有60%~70%的软件都是非官方版本，这些山寨软件中往往被植入一些有害的插件，从而盗取用户隐私或暗偷话费。这些山寨软件背后的盗版组织的目标只有一个：对流行应用山寨化，获取利益。

    令人担忧的是，这种组织很难发现、判定并打压，因为有些软件提供的是虚假的开发商信息，并且，即使监管者勒令该APP在应用商店下架，“改头换面”后的类似应用又会重新上架。

　　“中国用户最悲哀的是，要玩一款干净的游戏，你可能要出国。”一名业内人士表示。

　　恶意广告插件横行

　　由于安卓市场上的大多数APP都采取免费的运营策略，为了盈利，不少APP开发者都与广告商进行合作。然而，这种合作却潜藏了隐私泄露的陷阱。

　　苏萌告诉《IT时代周刊》，乐逗获取用户手机分辨率、手机型号等信息是Flurry和友盟等广告平台分析数据所需，调用短信权限是在游戏内购买道具或者关卡激活所需，调用通讯录权限则是在支付的过程中可以通过查询通讯录找到好友，让好友帮忙支付，并无恶意。

　　但通过手机个人信息进行广告营销，已经成为一些广告公司的赚钱法宝。北京某移动广告公司高层也向本刊记者透露，他们虽然是一家只有十多名员工的小公司，但拥有大约8000万台苹果终端的唯一识别号(UDID)。“比如今天有哪些用户启动了这个APP，在APP上的操作习惯等，广告商可以根据UDID获得这些信息并进行数据分析，投放相对精准的广告。”该人士表示。

　　然而，伴随着用户对隐私关注度的提高，去年苹果就开始警告开发商和广告商不许调用UDID权限，并将在今年“五一”开始实施苹果新规，禁止开发者调用UDID。但在安卓市场，由于其系统的开放性，广告商通过插件收集用户隐私信息的情形却无从监管。

　　去年9月27日，金山手机毒霸在官方微博上公布了内置恶意广告插件的APP应用——《星座运势》。金山手机毒霸监测表明：该APP内置四款广告插件，它们不仅耗费用户的大量流量，还会弹出不知来源且无法清除的通知栏广告，并且在后台上传用户手机号和软件列表。

　　除《星座运势》外，人气颇高的《水果连连看》、《植物大战僵尸》(非官方修改版)等均在金山手机毒霸列出的有恶意广告插件的黑名单中。当时，金山对于恶意广告APP的集体封杀，也引起了多盟、帷千动媒等19家第3方APP开发商和广告代理商的联合抵制。

    这个曾经引起整个APP行业震荡的事件，后来以部分广告商主动净化恶意广告插件，以及金山方面的相对妥协收场。金山安全专家李铁军谈道，“一个极端的例子，苹果应用里大概90%是应用程序本身的代码，但安卓的应用可能只有50%是应用代码，其他全是广告平台的代码。”

　　记者安装的《欢乐围棋》中居然有26款广告插件，其中有6款有窃私嫌疑：芒果广告、安沃广告、聚赢广告插件在收集手机号，多盟广告和飞云广告在获取手机软件列表，赢告能够在通知栏推送广告。

　　本刊记者获得的一份多盟对外营销方案显示，多盟平台已经覆盖4万个优质APP，拥有1.9亿智能手机用户。耐人寻味的是，该方案清楚写明，“我们可以有效追踪用户机型参数、常用APP、广告浏览及点击行为、活跃地理位置等信息，完整判断用户属性。”该方案还显示，其精准的投放分为四个步骤：确定目标用户地理位置，确定目标用户机型信息，确定目标用户信息浏览偏好，确定目标用户的活跃时间。对广告主而言，这的确很吸引人，但对毫不知情的用户而言，这意味着什么呢?

　　第二章 后台的秘密行动

　　安卓系统的开源性和开放性，带来了安卓应用市场的繁荣，但正是由于其完全的开放和监管的不足，APP开发者获取用户隐私的过程十分简单，这种行为也正变得肆无忌惮。

　　窥私如此简单!

　　通过内部人士的运作，《IT时代周刊》拿到一款广告插件的分析报告，它详细介绍了用户安装软件后插件窃取用户隐私的全过程：

　　每当用户打开手机或者解开锁屏的时候，广告插件的后台程序就像蜜蜂般开始忙碌起来：它先收集手机的运营商ID、安卓安装包(APK)信息、是否联网等信息，然后将这些信息打成数据包送至广告插件指定的服务器，服务器对这些数据预判后，向手机端发送三个指令，分别是把“收集权限信息、手机基本信息等”发送到“发送指令服务器”，“收集浏览器、收藏夹信息等”发送到“接收数据服务器”，“收集APK信息”发送到“接收数据服务器”。

    与此同时，手机客户端会与服务器建立起信息传输连接地址，并同时提交自己的基本信息，然后准备接收服务器发送的操作指令。接下来，这只忙碌的“蜜蜂”开始进行信息的收集，包括设备唯一编号IMEI、APK包名、账号、APK版本、手机型号、基带版本、手机名称、SDK版本、是否获得根目录权限等信息。

　　服务器收集到以上信息后，每12个小时接收一次云端指令，这个指令经过解密后得到具体的指令：当指令为0时，插入彩信或短信;当指令为4时，上传APK应用信息;当指令为5时，自动打开WiFi连接;当指令为7时，上传用户联系人信息;当指令为12时，上传用户通话记录;当指令为13时，请求重新建立连接。

　　这个看似繁杂的过程对于APP开发者来说十分简单，可总结为四个步骤：启动程序、反馈数据、获得指令和执行操作。

　　最后，开发者或广告商将收集到的用户隐私信息在加密后大都存放在自己的服务器上。然而，这些加密后的信息仍存在巨大的安全隐患。安永亚太区信息科技风险咨询和审计服务主管合伙人陈小珍指出，这些服务器往往缺乏严密的安全防护措施，当受到黑客或其他恶意攻击时，大量的用户隐私信息不但有外泄的风险，也可能被用来诈骗用户，或被用来对企业发动APT攻击(高级持续性渗透攻击);其造成的危害，除了财务损失外，甚至可能侵害人身安全。

　　安卓系统的漏洞

　　在采访中，本刊记者还了解到，APP开发者首先要向安卓系统申请获得相关的权限。有专业人士以腾讯微信为例作了说明，腾讯微信在开发程序之前，需要申请调用手机通讯录权限、用户所在位置的权限等，而这一长串的权限声明就会在用户安装微信的时候弹出来，告知用户使用微信可能要获取用户的哪些个人信息。

　　“一般来说，如果开发者在编写程序时申请了相关权限，内嵌在APP当中的广告插件就不需要再申请了，如果广告插件需要调用地理位置权限，但开发者本身没有申请，就要帮广告商申请。”一名开发者表示。

　　由此看来，APP开发者已沦为广告平台盗取用户隐私的“帮凶”。

    据介绍，大多数广告平台都在官方网站提供软件开发工具包(SDK)，开发者只要从其官网下载，并嵌入APP中即可，这样在手机端就会呈现出广告，其表现形式一般分为通知栏广告、插屏广告和积分墙。

　　多盟广告官网就提供有让开发者下载使用的SDK，在这个SDK的“安装说明”文档里，第二个步骤就是要求开发者必须添加几个权限许可，包括是否联网、网络状态、电话状态、地理位置、WiFi状态。这也就意味着，广告插件获取这些权限后，可以进行随意的调用，获取用户的个人信息。

　　同样，力美广告官方网站提供的SDK包里，获取的权限也大体包括以上几项。除此之外，力美广告供开发者可选的权限还包括位置权限、地图权限、拨打电话和发送短信权限、写入日程表权限、震动感应权限。

　　力美CEO舒义向《IT时代周刊》解释说，拨打电话权限是指通过展示的广告用户可直接拨打商家电话，发送短信是指应用要付费的时候通过短信支付。“央视3·15的报道冤枉我们了，我们要把公司做大，不可能做窃取用户隐私的事。” 舒义说。

　　尽管如此，他也承认，广告商掌握的客户信息越多越详细就越好，因为这是广告平台的核心竞争力。因此他会通过和更多的APP合作，通过用户常用的软件列表和消费行为来进行精准判断。

　　李铁军也证实说，目前大概有70%的软件有过度申请权限的问题，即：应用本身的功能不需要这个权限，但是开发者也申请了，这被业内称为“占坑”。“占坑”对开发者的好处显而易见，因为只要开发者想调用权限，随时就可以获知用户的信息。

　　相对于安卓系统的开放性，苹果的iOS平台则封闭了许多，这得益于苹果公司前CEO史蒂夫·乔布斯在世时就制定了严格的规矩，不允许开发者获得通讯录等权限。现在蒂姆·库克执掌苹果后尽管放开了一些要求，但前提是要在开发者和用户进行多次交互后才允许调用。在iOS系统调用隐私权限时，都会明确提示用户后台正在调用其信息，而安卓系统却只是在安装的时候提示，在真正调用的时候就没有明确的提示了。“安卓系统就是这样设计的，开发者也不会增加隐私提示，这样对用户体验也不好。”一名开发者谈道。

    有分析指出，相对于高风险的安卓系统，苹果系统有对APP审核的“三关”，第一是系统的封闭性，苹果本身就限制了开发者调用的权限;第二是苹果只有一个应用商店App Store，它能够对所有上架的APP进行审核;第三是一旦发现APP存在窥私等问题，可以立即下架。

　　然而，第一大智能手机操作系统安卓却难以做到以上三点，其根本原因就在于它是开源的，没有办法从源头控制。北京博看文思公司研发总监林辉表示，正是看到了安卓系统的缺点，一些山寨的手机厂商就通过刷系统(获得root权限后将原有的手机系统刷成其他的系统)，将打包的几十款应用放在手机中，其中部分APP就有窃取用户隐私和暗中扣流量和话费的行为。“这些应用被刷到程序的根目录下，用户即使卸载了软件，一些暗藏的文件并未得到完全清除，后台还是能够自动启动。”

　　另外，要对上架的APP进行审核，应用平台提供商需要借助安全厂商的监测。为此，谷歌收购了一家安全软件厂商，但这显然远远不够。安卓阵营内的众多独立的应用市场让监管变得更难。

　　微软的Windows Phone系统则采取了区别于其他两个系统的中间态度。微软(中国)平台技术首席顾问严飞表示，为了保护用户的隐私安全，在Windows Phone系统上禁止开发者调用通话记录、读取短信和收集通讯录权限。在位置权限的获取上，除了在安装使用APP之前有相关的安装声明，在首次调用位置权限之时还会明确告知用户。

　　第三章 隐私保卫战

　　早在2008年，中央电视台“3·15晚会”就对公众隐私被随意获取的现象予以了披露。当时，北京分众无线传媒技术有限公司被曝光，该报道揭露，该公司拥有2亿多用户的私人信息并可以随意代发广告短信。2010年，互联网隐私问题再度受到关注：奇虎360诉腾讯QQ偷窥用户个人隐私文件和数据，双方从口水战升级到对簿公堂。今年年初，奇虎360全部APP被苹果作出全年下架的处理后，媒体关于奇虎360涉嫌窃取个人隐私信息的报道引起轩然大波。

　　然而，由于法律界定的难度，以及用户个人隐私保护意识的淡薄，对用户隐私保护的进程进展缓慢。

    安全软件是否安全?

　　目前，360、腾讯、金山等都推出了手机安全软件，它们也都宣称，用户使用了自己的安全软件，其隐私安全就能在一定程度上受到保护。

　　据李铁军介绍，金山有两种方案，一种是对于拿到根目录权限的用户，当发现APP有调用通讯录等隐私权限时，可以使用金山手机毒霸关闭相应权限;而对于没有获得root权限的用户，金山则会提示用户哪些软件具有恶意行为，提醒用户去安装安全的版本。

　　但有，有细心的用户发现，尽管安全软件大力查杀窃取用户隐私的APP，但安全软件本身却有着比普通APP更多的权限。比如金山手机毒霸就拥有获取设备信息、获取短信记录、访问通讯录、访问通话记录、访问网络权限这5项权限。

　　对此，李铁军没有否认，他表示，安全软件申请的权限确实是最高的，基本上能够获取根目录的所有权限，“如果安全软件不申请这些权限，就没有办法对系统进行管理，比如拦截垃圾短信。这其中存在矛盾，安全软件想让用户手机更安全，就必须得到系统更底层的权限，但这个时候就需要公众、法律从各个角度对安全软件本身的行为进行监控。”

　　针对李铁军描述的这一矛盾，国内业界已经大体达成一种共识。安永大中华区信息科技风险咨询服务总监林育民认为，判断APP是否“越界获取权限”的重要依据在于，移动应用和广告商是否要求与产品功能无关的额外权限，是否利用已获取的权限从事用户授权以外的行为，以及获取权限时是否经过用户同意。

　　然而，仅仅是一种行业共识并不够，还需要把真正的监控落到实处。从行业标准来说，目前还没有统一的标准或相关规定来界定APP是否“越界获取权限”，对于安全软件应该获得权限的范围也没有明确规定。

　　日前，奇虎360获取用户隐私信息遭到了媒体披露。这些频频曝光的隐私事件让公众对安全软件行业的职业道德心存疑虑：保护用户隐私信息需要法律的保障。

　　立法滞后界定难

　　比起互联网和移动互联网的发展速度，国内在隐私方面的立法严重滞后。

    工信部前身信息产业部在2002年曾出台《互联网信息服务管理办法》，对互联网信息服务活动进行规范，但其中未包括个人信息保护。直到2011年，工信部发布《互联网信息服务管理规定(征求意见稿)》(以下简称《规定》)，才对互联网个人信息有了明确限定。今年2月1日，我国首个个人信息保护标准《信息安全技术公共及商用服务信息系统个人信息保护指南》才正式实施。

　　IT法律专家赵占领认为，个人信息是指能够直接或者间接识别个人真实身份的信息，而隐私是个人信息的下位概念，通常是指公民不愿意让他人知悉的信息。手机号码、通话记录、短信记录、邮箱账号和密码、SD卡内容一般被认定为隐私信息的范围。但是其他信息是否属于隐私信息则难以界定。

　　“设备唯一识别号是否属于隐私也不好判定，因为仅通过识别号并不能完全断定用户的身份。”赵占领说。

　　同样，“地理位置信息”是否属隐私，业界也有不同看法。力美广告公司CEO舒义就认为位置信息不属于隐私的范畴，广告行业都在收集，这也是该行业盈利的主要途径。但赵占领不认同舒义的观点。他认为，单独的位置信息的确无法识别用户身份，但是位置信息有可能和别的信息匹配，这样就可能识别用户的身份，比如和微博、微信账号绑定在一起时就是这样。

　　“除了直接识别还有间接识别(个人身份)，间接识别就比较复杂了，另外，有些信息对于某些行业来说属于隐私，但对于其他行业却不是，因此一些信息是否属于敏感信息，非常难判断。”赵占领说。

　　既然无法界定，实施追责就更加困难，且已有的效果也不明显。《规定》关于侵犯用户隐私的行为，仅仅处以“一万元以上、三万元以下的罚款”，对于任何互联网公司来说，这种处罚都无关痛痒。

　　另外，在Android平台上安装软件时，软件会告知需要获取哪些权限，用户确认后才进行安装过程，这一行为是否确定为“经过用户同意”?

　　对此，赵占领认为，收集个人一般信息，经过用户默许同意即可，而收集个人敏感信息，需要经过用户的明示同意。用户安装APP时，在“安装提示”或者用户协议中点击“同意”按钮，这种情况可视为用户默许同意，这种方式只能限于收集个人一般信息。当收集用户通讯录、地理位置信息等敏感信息时，需要经过用户明示同意，即至少在用户协议中通过醒目的方式提示用户，或者制定单独的隐私政策，并通过醒目的方式提示用户，经过用户选择同意才可视为明示同意。

    安卓的大部分APP普遍存在“不同意条款则无法安装”的情况，赵占领认为这种做法有可能属于违法行为。另外，大部分软件厂商与手机厂商合作，很多软件直接预装在手机里，用户拿到的手机时，看到的是已经装好的应用软件，因此更是略过了“安装提示”这一过程，用户则连基本的知情权都没有。

　　隐私信息泄露和恶意软件扣费等问题正变得日益严重。日前，有消息称工信部将出台一项名为《移动互联网黑白名单规范》的标准，该标准出台后，安全厂家、运营商等可根据“黑名单”内容，直接在底层对恶意软件进行屏蔽，避免其出现在用户手机终端。