网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


安卓手机软件窃取用户资料:通讯录密码均被窃

2013-03-17 21:30 推荐: 浏览: 27 views 字号:

摘要: 复旦大学移动互联网数据安全技术研究中心经过半年的监测发现,当前比较热门的330多款安卓系统下的手机软件,58%以上都有隐私信息泄密的问题。复旦大学计算机科学技术学院王晓阳院长告诉记者,“大部分是把信息送回了(软件)开发商、广告商,我们还测到一部分是送到不知名的...

复旦大学移动互联网数据安全技术研究中心经过半年的监测发现,当前比较热门的330多款安卓系统下的手机软件,58%以上都有隐私信息泄密的问题。复旦大学计算机科学技术学院王晓阳院长告诉记者,“大部分是把信息送回了(软件)开发商、广告商,我们还测到一部分是送到不知名的第三方的网站去了”。

窃密渠道1

软件开发企业

重庆小面是重庆蓝盒子科技有限公司开发的一款手机应用软件,产品经理王杰告诉记者,利用手机应用软件收集用户信息,并不是件难事。通过手机应用软件,可以获取用户的串号、地理位置,甚至会诱导用户填手机号码上传头像,然后就可以在后台软件上看到。

记者发现,安装重庆小面安卓版软件前,会提醒“允许该应用程序了解或使用、读取和写入联系人数据、大概位置、精确位置等”,据王经理称,安装后只要用户手机能正常通话,就能随时随地跟踪到。有了这个定位技术的支持,再配合手机里的应用软件,蓝盒子就找到了推送广告这一生财之道。

记者随后又走访了重庆、深圳、上海等地一些手机软件开发企业,发现利用安卓版手机软件调取用户个人信息的现象并非个案。

窃密渠道2

互联网广告公司

除了软件开发企业,一些移动互联网广告公司也加入了获取用户个人信息的行列,通过在手机应用软件内植入一个SDK包,这些公司就能轻易获取用户个人信息。北京力美广告有限公司高级客户总监王岩告诉记者,只要媒体(应用软件)里加入SDK,就能抓取这个用户的很多数据,他的手机的型号,他的手机的MAC地址,以及日常的消费习惯等。北京掌阔移动传媒科技有限公司客户总监邸振东表示,根据WiFi3G和服务器可以锁定任何地域,精确到某一幢楼的某一个房间。

一些安卓版手机软件开发者告诉记者,他们调取用户个人信息,是为了给用户提供更好的服务,然而一旦用户安装了这样的软件,个人信息就可能偷偷流向软件开发者的服务器。

窃密渠道3

高德地图等预装软件

用户主动安装软件会得到提示,而对于一些出厂时就已经预装的应用软件,用户连这样的提示都不会看到。

记者选取了几款安卓版手机应用软件进行监测,一款名为爱聊的安卓版软件,来自其官方网站,在用户完全不知情的情况下,会收集用户的手机号码、通讯录。

监测人员发现,一款预装在摩托罗拉XT928手机内、名为公信卫士的安卓版软件,在第一次应用时,竟然会偷偷向他们的服务器发送一条短信。据复旦大学移动互联网数据安全技术研究中心杨珉常务副主任介绍,这条短信直接包含了用户的手机设备号等一些私密信息,直接带来用户手机号码的泄露。而这条既泄露信息又产生一角钱费用的短信,在手机里居然没有发送记录。

另一款预装在摩托罗拉XT685手机内、名为高德地图的安卓版软件,有一个位置共享服务,用户可以通过它直接将自己当前的位置信息链接到新浪微博、搜狐微博、网易微博、人人网等第三方网站。然而监测人员发现,当用户通过高德导航软件输入这些微博的账号和密码时,这些账号和密码,竟然被以明文的方式,传给了高德的服务器。

马上就访:关于本次央视3·15曝光的高德地图问题,经调查,曝光的是两年前的旧版本,当时受制于分享到微博的技术方式,采取模拟用户登录。自去年5月,微博改变登录方式,高德地图随后也更换了第三方登录和验证的方法,现高德地图安卓版已全部解决这个问题。(稿源:京华时报)

游侠简评

我相信,有很多是为了提供更好的服务而进行的数据分析,但也不可否认很多公司在盗取数据。另:高德地图的事情,已经澄清,是受制于2年前的技术,和新浪微博进行位置互动的时候采取的技术手段。新版本早已解决了这个问题。

联系站长租广告位!

中国首席信息安全官


关闭


关闭