2014年APP廣告插件安全研究報告出爐
導(dǎo)讀:國內(nèi)已經(jīng)涌現(xiàn)出上百家移動廣告平臺��,主要依靠在移動應(yīng)用中整合廣告插件�,收取廣告主的展示費來盈利�。艾媒諮詢《2013-2014年中國移動廣告平臺行業(yè)觀察報告》顯示���,2014年中國移動廣告平臺市場整體規(guī)模將達到50.1億元�����。儘管市場規(guī)模不斷擴大���,但國內(nèi)移動廣告平臺缺乏統(tǒng)一的行業(yè)標準,良莠不齊��,給移動安全帶來了一定的風(fēng)險和隱患。
360網(wǎng)際網(wǎng)路安全中心日前發(fā)佈《2014年APP廣告插件安全研究報告》��,針對當(dāng)前安卓平臺1000款熱門應(yīng)用中����,最流行的10款正規(guī)廠商廣告插件進行了一次全面的安全性分析,數(shù)據(jù)顯示���,10款A(yù)PP廣告插件均涉及收集用戶隱私資訊��、濫用隱私許可權(quán)的情況�����。此外�����,還存在消耗手機流量����、躲避安全軟體檢測等行為�����,報告提到超六成的手機流量費用或被廣告插件所耗。令人擔(dān)憂的是�����,目前市場上主流正規(guī)廣告插件均存在一定安全隱患�����,最嚴重的甚至?xí)?dǎo)致手機中毒��。
主流廣告插件存在安全漏洞可致手機中毒
360網(wǎng)際網(wǎng)路安全中心對十款主流廣告插件分析發(fā)現(xiàn)��,共有3款插件存在兩種比較危險的安全漏洞��。一種安全漏洞可能會導(dǎo)致廣告插件在自動更新過程中���,下載並安裝被篡改過的更新包或惡意更新包,進而使用戶手機感染木馬病毒並面臨安全威脅����。
而另一種安全漏洞更為危險,不法分子利用此漏洞��,甚至可以在手機用戶觀看廣告的同時將手機中的文件����、通訊錄�、短信��、賬號等私密資訊竊走���,還可以利用這一漏洞讓用戶手機感染木馬病毒�����。更為嚴重的是����,3款存在漏洞的插件中�,有1款同時存在上述兩種安全漏洞。
十款廣告插件均會收集用戶敏感隱私資訊
《報告》顯示�����,在分析的10款廣告插件中����,有8款會收集用戶的地理位置資訊,7款會收集WiFi列表資訊�����,4款收集安裝應(yīng)用列表資訊,3款收集電話號碼資訊��。所有廣告插件均會全部收集用戶的五類個人隱私資訊:敏感隱私資訊��、手機唯一標識����、聯(lián)網(wǎng)相關(guān)資訊、手機硬體配置資訊和軟體環(huán)境資訊�。
這意味著,手機用戶的地理位置�、手機號碼、應(yīng)用列表���、手機聯(lián)網(wǎng)方式以及硬體軟體資訊都會被插件廠商獲取。這些資訊可以讓插件廠商向特定的應(yīng)用推廣廣告��,但同時�,手機用戶的手機使用習(xí)慣、什麼時間去過什麼地方等隱私資訊也會洩露����,不法分子完全可以將手機轉(zhuǎn)換為追蹤設(shè)備�,可謂是觸目驚心��。
一款插件最多使用13項隱私許可權(quán)
報告測試的10款廣告插件共使用了26項許可權(quán)��,最多的一款使用了13項許可權(quán)��,平均每款插件使用了9.6項許可權(quán)����。100%的插件使用了讀取電話狀態(tài)的許可權(quán),70%的插件使用了獲取用戶地理位置的許可權(quán)�����。20%的插件使用了撥打電話的許可權(quán)�,10%的插件使用了發(fā)送短信的許可權(quán)。所以����,在某種程度上説,目前市場上的所有主流廣告插件���,都存在隱私許可權(quán)濫用的問題��。
目前手機應(yīng)用過度申請甚至是濫用許可權(quán)的情況非常嚴重�����,開發(fā)者為了更多接受廣告�����,往往將插件廠商建議的許可權(quán)全部聲明在應(yīng)用中�����。而過度聲明則會導(dǎo)致在某個應(yīng)用出現(xiàn)安全漏洞時��,廣告插件獲取的隱私許可權(quán)都可以被攻擊�,導(dǎo)致手機用戶的隱私被非法獲取。
62%的流量浪費在廣告插件上
強推廣告���、干擾用戶和消耗流量是廣告插件主要的不良行為�����。《報告》指出��,某些廣告插件除了會在應(yīng)用中顯示各種類型的廣告外,還會通過私自添加瀏覽器標簽�����,私自添加短信記錄�����、私自創(chuàng)建快捷方式等方法來強制向用戶推送廣告��。手機廣告插件主要通過全系統(tǒng)插屏廣告和頻繁推送通知欄廣告干擾用戶����。
廣告插件消耗用戶流量分為兩個方面,一是用戶在下載帶有廣告插件的應(yīng)用時��,需要為廣告插件消耗的流量買單�,二是運作帶有廣告插件的應(yīng)用時廣告插件下載廣告數(shù)據(jù)會消耗手機流量。
以一款手電筒應(yīng)用為例�,這款手電筒的安裝文件大小約為2.9M;而將該應(yīng)用中的所有廣告插件都祛除後重新生成的文件僅為1.1M����,二者相差了1.8M,有廣告插件的手電筒程式是沒有廣告插件的手電筒程式的2.6倍�。換個角度來看,就是當(dāng)我們?nèi)?yīng)用商店下載這款手電筒程式,實際上約62%的流量都浪費在了廣告插件上��。文/本報記者 吳琳琳
專家建議
注意保護手機用戶隱私數(shù)據(jù)
360手機安全專家建議�����,應(yīng)用程式要合理使用隱私許可權(quán)�����,並注意保護手機用戶的隱私數(shù)據(jù)����。同時,手機用戶儘量從安全可靠的應(yīng)用市場等下載手機軟體��;安裝軟體時�,注意觀察軟體許可權(quán),手機惡意廣告插件多通過篡改正常軟體來作惡�����,如一個連連看遊戲���,出現(xiàn)了發(fā)短信��、訪問相冊等與應(yīng)用不相關(guān)的敏感許可權(quán)�,就帶有惡意性質(zhì)了���;最好用具有惡意廣告攔截功能的手機安全軟體對廣告插件進行管理��。
