卡巴斯基解析手机应用中的隐形杀手

88865ff

近日，知名信息安全厂商卡巴斯基实验室安全专家发表博文，分析手机应用广告安全问题。文中指出智能手机用户经常使用一些免费的手机应用，但是，完全将这类应用称为免费应用并不合理，因为用户相当于通过观看广告，为应用付费。通过广告，应用开发者既可以盈利，还能够将应用服务推广给更多的用户使用，看起来是一个双赢的情况。

目前，安卓平台和iOS平台下很多应用的广告行为已经越界，超出了普通应用应该收集的数据范围，甚至有盗取用户隐私之嫌。针对这一情况，卡巴斯基实验室对应用广告现状进行了分析后指出，常见的手机应用广告形式如下：

广告条——目前最常用的广告手段，很多经常使用免费应用的用户都经常能在应用界面中看到这类广告。它一般位于应用界面的上方，利用位置服务发送具有针对性的广告内容。

推送式消息——这类消息来自远程服务器的推送。值得注意的是，推送不同于“请求”，请求是设备本身向服务器索取内容。一般情况下，推送消息会通过任务栏提示。

表格/登录式广告——这类广告在用户启动应用时出现，并且经常会占据整个屏幕，并要求用户登录，或获取更多广告详情。

内容锁定——有些内容只有用户在同广告内容互动后才能够使用。例如，需要用户注册登陆，获取更多广告内容，或者输入自己的电子邮件地址。

应用展示墙——在应用中，如游戏中，展示多个应用列表，吸引用户点击使用这些来自同一个广告网络上的应用。

应用图标创建——用户一旦使用了某一应用，会在桌面屏幕上生成其他应用的图标链接，这类手段，以往经常在PC软件中使用。

这些应用的广告功能是如何工作的呢？一般情况下，应用中附带的广告代码是采用SDK或其他软件开发工具插入到应用代码中的。一般都是在现有的应用代码上，插入一段专门用于实现广告功能的代码块。

广告代码是否有风险？答案是可能有。因为这取决于应用开发者选择了什么样的广告网络。很多情况下，广告代码只会在应用上添加一些让人觉得碍眼的广告内容，但是也有少数广告网络的SDK的做法非常过分，会收集用户大量隐私数据，其中包括：手机IMEI码、IMSI码、设备类型、系统版本信息、国家代码、所使用的语言、设备越狱状态、用户地理位置信息甚至电话号码等。此外，还有一些SDK可以提供能够收集用户行为的图标，用户点击图标后的行为，都会被记录。目前，Google声称这类应用并没有违反安卓在线商店的协议条款，所以仍然在线上供用户下载使用。

这些被收集的信息，可以被用来进行更精准的广告投放。即使应用开发者选择了正规的广告商进行应用广告的投放，仍然可以收集大量用户个人数据，有些广告代码甚至可能获取用户的各种隐私数据如手机号码、地理位置信息、电子邮件地址、浏览器收藏夹、浏览历史等等，甚至还会追踪用户的一举一动。要知道，即使警察需要收集如此详细的数据，还需要出示证件或搜查令，为何广告商就可以如此肆无忌惮?

鉴于此，卡斯巴基建议广大用户在选择和下载手机应用时，尽量选择正规应用开发商的产品，不要随便安装来历不明的应用。安装时，留意应用的权限请求。另一方面，希望Google和苹果能够进一步加强针对移动应用的监管，避免有类似恶意行为的应用通过在线商店发售。最后，还要呼吁应用开发者和应用广告商自律，在尊重用户知情权和隐私权的前提下，开发出更多更优秀的应用。

13884814307

好长啊······

剑步如飞

慢慢来读。。。