2014年APP廣告插件安全研究報告出爐
導讀:國內已經涌現出上百家移動廣告平臺,主要依靠在移動應用中整合廣告插件,收取廣告主的展示費來盈利。艾媒諮詢《2013-2014年中國移動廣告平臺行業觀察報告》顯示,2014年中國移動廣告平臺市場整體規模將達到50.1億元。儘管市場規模不斷擴大,但國內移動廣告平臺缺乏統一的行業標準,良莠不齊,給移動安全帶來了一定的風險和隱患。
360網際網路安全中心日前發佈《2014年APP廣告插件安全研究報告》,針對當前安卓平臺1000款熱門應用中,最流行的10款正規廠商廣告插件進行了一次全面的安全性分析,數據顯示,10款APP廣告插件均涉及收集用戶隱私資訊、濫用隱私許可權的情況。此外,還存在消耗手機流量、躲避安全軟體檢測等行為,報告提到超六成的手機流量費用或被廣告插件所耗。令人擔憂的是,目前市場上主流正規廣告插件均存在一定安全隱患,最嚴重的甚至會導致手機中毒。
主流廣告插件存在安全漏洞可致手機中毒
360網際網路安全中心對十款主流廣告插件分析發現,共有3款插件存在兩種比較危險的安全漏洞。一種安全漏洞可能會導致廣告插件在自動更新過程中,下載並安裝被篡改過的更新包或惡意更新包,進而使用戶手機感染木馬病毒並面臨安全威脅。
而另一種安全漏洞更為危險,不法分子利用此漏洞,甚至可以在手機用戶觀看廣告的同時將手機中的文件、通訊錄、短信、賬號等私密資訊竊走,還可以利用這一漏洞讓用戶手機感染木馬病毒。更為嚴重的是,3款存在漏洞的插件中,有1款同時存在上述兩種安全漏洞。
十款廣告插件均會收集用戶敏感隱私資訊
《報告》顯示,在分析的10款廣告插件中,有8款會收集用戶的地理位置資訊,7款會收集WiFi列表資訊,4款收集安裝應用列表資訊,3款收集電話號碼資訊。所有廣告插件均會全部收集用戶的五類個人隱私資訊:敏感隱私資訊、手機唯一標識、聯網相關資訊、手機硬體配置資訊和軟體環境資訊。
這意味著,手機用戶的地理位置、手機號碼、應用列表、手機聯網方式以及硬體軟體資訊都會被插件廠商獲取。這些資訊可以讓插件廠商向特定的應用推廣廣告,但同時,手機用戶的手機使用習慣、什麼時間去過什麼地方等隱私資訊也會洩露,不法分子完全可以將手機轉換為追蹤設備,可謂是觸目驚心。
一款插件最多使用13項隱私許可權
報告測試的10款廣告插件共使用了26項許可權,最多的一款使用了13項許可權,平均每款插件使用了9.6項許可權。100%的插件使用了讀取電話狀態的許可權,70%的插件使用了獲取用戶地理位置的許可權。20%的插件使用了撥打電話的許可權,10%的插件使用了發送短信的許可權。所以,在某種程度上説,目前市場上的所有主流廣告插件,都存在隱私許可權濫用的問題。
目前手機應用過度申請甚至是濫用許可權的情況非常嚴重,開發者為了更多接受廣告,往往將插件廠商建議的許可權全部聲明在應用中。而過度聲明則會導致在某個應用出現安全漏洞時,廣告插件獲取的隱私許可權都可以被攻擊,導致手機用戶的隱私被非法獲取。
62%的流量浪費在廣告插件上
強推廣告、干擾用戶和消耗流量是廣告插件主要的不良行為。《報告》指出,某些廣告插件除了會在應用中顯示各種類型的廣告外,還會通過私自添加瀏覽器標簽,私自添加短信記錄、私自創建快捷方式等方法來強制向用戶推送廣告。手機廣告插件主要通過全系統插屏廣告和頻繁推送通知欄廣告干擾用戶。
廣告插件消耗用戶流量分為兩個方面,一是用戶在下載帶有廣告插件的應用時,需要為廣告插件消耗的流量買單,二是運作帶有廣告插件的應用時廣告插件下載廣告數據會消耗手機流量。
以一款手電筒應用為例,這款手電筒的安裝文件大小約為2.9M;而將該應用中的所有廣告插件都祛除後重新生成的文件僅為1.1M,二者相差了1.8M,有廣告插件的手電筒程式是沒有廣告插件的手電筒程式的2.6倍。換個角度來看,就是當我們去應用商店下載這款手電筒程式,實際上約62%的流量都浪費在了廣告插件上。文/本報記者 吳琳琳
專家建議
注意保護手機用戶隱私數據
360手機安全專家建議,應用程式要合理使用隱私許可權,並注意保護手機用戶的隱私數據。同時,手機用戶儘量從安全可靠的應用市場等下載手機軟體;安裝軟體時,注意觀察軟體許可權,手機惡意廣告插件多通過篡改正常軟體來作惡,如一個連連看遊戲,出現了發短信、訪問相冊等與應用不相關的敏感許可權,就帶有惡意性質了;最好用具有惡意廣告攔截功能的手機安全軟體對廣告插件進行管理。
[責任編輯: 林天泉]