论文部分内容阅读
摘 要:现如今,我国已经进入了移动互联网的时代。据统计,在中国,已经有超过4亿的智能手机用户。手机带给我们巨大便利的同时,也留下了许多安全隐患。比方说,当我们在Android平台上使用手机软件时,经常会向我们请求开放你的通讯录、照相机、麦克风、照片、地理位置等涉及到用户隐私的手机权限,否则就无法正常使用这些应用程序。通过大量的调查发现,安卓系统对手机权限管理上的缺失,可以使各种应用软件轻易地获取用户的隐私权限。尽管这已成为一种普遍的现象,但也给一些恶意软件带来了可乘之机。
关键词:Android 手机权限 应用软件 用户隐私
2014年,一期央视《每周质量报告》对应用软件涉及到隐私信息的手机权限进行了报道。报道提到了手机用户王冰在使用某款团购软件时,发现这款软件需要开放10余个手机权限,如:拨打电话权限、发送短信权限、获取手机号码权限、访问联系人权限、获取地理位置信息权限等等。这让她感到十分担忧。王冰表示:“如果这款软件不是特别必要的话,它要求过多的权限,可能我就不会选择这款软件,我就觉得可能会泄露我的隐私。”
据估计,目前我国安卓系统应用软件的数量达70万个,大量的购物、游戏、工具、以及娱乐软件都需要用户开放各类的手机权限。其中,涉及到隐私的权限就已达到了30余个。手机安全工程师曾经对100多个应用程序所需求的权限进行统计,在这些安卓系统的敏感权限当中,读取电话状态占到第一位,达到95.51%,其余分别是地址定位54.04%,收发短信45.71%,拨打电话33.71%,读取联系人31.16%,录音28.09%。另外,与手机用户个人隐私密切相关的获取运行应用也占到了将近63%。有些应用软件就连一些不必要的权限也申请了,这些申请下来的权限,其实从现在来看它没有代码去实现这样的功能。调查显示,有几款应用软件在运行中根本没有使用读取联系人、收发短信等功能,但是依然也要求获取手机用户的这些隐私权限。
一、安卓手机用户个人隐私面临的威胁
在目前的手机操作系统中,安卓系统对手机权限基本上是没有限制的。这种开放性可以使不同的厂商可以对Android平台进行扩展,吸引了大量的应用软件开发,让用户拥有更多的选择空间,展现自身的个性。同样,也是由于Andriod系统的开放性,造成了权限获取的无序现象,这就使很多软件商利用这个漏洞来获取一些根本用不到的权限。安卓版手机一些软件正肆无忌惮地窃取着我们的隐私,这些开发商大量获取包括隐私权限在内的各类权限,给Android手机用户的个人隐私带来的巨大威胁。手机安全工程师透露了窃取隐私的一系列软件:
1.导航软件要求用户开放准确的位置信息是合理的,但是获取其他的隐私信息权限显然就是不合理的了。高德地图安卓版软件,有一个位置共享服务,用户可以通过它直接将自己当前的位置信息链接到新浪微博、搜狐微博、网易微博、人人网等第三方网站。然而当用户通过高德导航软件输入这些微博的账号和密码时,这些账号和密码,竟然被以明文的方式,传给了高德的服务器。
2.大众点评网的安卓版手机预装软件后台有最高的权限,不但能调取通讯录,甚至读取SD卡。
3.一款名为爱聊的安卓版软件,来自其官方网站,在用户完全不知情的情况下,会收集用户的手机号码,通讯录。
4.一款名为红警世界联盟的安卓版软件,收集用户手机号码,手机串号,用户谷歌(邮箱)账号,以及用户手机上的通讯录,以及地址。
5. 一款名为公信卫士的安卓版软件,在第一次应用时,竟然会偷偷向其服务器发送一条短信。这条偷偷发送的短信,不仅使用户的信息被泄露,甚至还产生了一角钱的短信费用,而在手机里居然没有这条短信的发送记录。
手机安全专家阚志刚表示,软件开发者过多地用这些权限的一个最根本的原因,是有商业利益驱使的。有的软件是通过自身获取的权限窃取隐私,暗中扣费。有的软件被恶意程序或病毒利用,被二次打包之后投放市场,同样暗中窃取隐私,甚至通过窃取账号和密码获利。不管通过什么途径,手机权限滥用带来的严重威胁已经潜伏在每一个手机用户身边。
二、手机权限管理上缺失的原因
对比iOS与WP这样封闭的手机环境,安卓系统本身就是个开源的系统。因此,安卓系统的安全问题十分令人担忧。目前,我国安卓市场上下载应用软件的渠道多种多样,缺乏规范统一的安全检测。为了扩充市场上应用软件的数量,很多应用商店甚至从不检查这些应用软件是否安全,甚至很多小应用市场会通过各种渠道主动抓取应用APK,这就造成了从源头上的不可监测性。而这些应用软件给用户隐私带来威胁的真正原因,说到底还是因为安卓系统的开源机制。在安卓系统上,谷歌是把所有的权限都开放给app使用的,只要你做了接口对接这些权限,你就可以调用这些权限。最开始,安卓在底层开放了这些权限当初是本著互联网的开放精神,方便开发者更好的在安卓平台开发优秀应用。但是中国特色的应用软件环境下,一切都不是那么简单了。中国不像国外那些单纯的程序员一样思维,不会只是拍照类应用就只调用拍照权限,它往往也具有读取通讯录、短信记录甚至通话监听类权限,这就是当前中国软件市场环境。所以你就会发现:自己每月基本只会使用微信的情况下短信居然莫名其妙的用了好多条;刚刚换的手机号就被各种保险房产广告轰炸;你每月就聊聊微信逛逛陌陌,流量却轻轻松松破G了。这都是你手机里面的应用在作祟。例如,某些恶意软件只需要调用本该是短信增强类应用才该调用的发生短信权限就能轻轻松松从你手机上扣掉话费。随便轻轻松松的读取一下你的通讯录,转手卖给发垃圾短信广告的。
这种现象造成了目前安卓软件的混乱。早在几年前,LBE技术小组就发现了这个问题,开发了控制管理工具LBE隐私卫士,经过两年多慢慢演变成LBE安全大师。这个功能说简单点就是当应用想调用一个权限的时候会先触发LBE,然后LBE会弹窗提醒用户是允许还是拒绝,把主动权完全交给用户,他们称之为主动防御,这个功能也迅速被360手机卫士、腾讯手机管家等手机安全软件跟进,成为安卓安全软件的标配。 从安卓4.3系统自带部分权限管理可以明显的看出来,权限管理在手机安全上的权重会越来越大。但是,不是每个用户都愿意被手机界面弹窗提醒你YES或NO所打扰的,也不是每个人都有耐心把手机里面的几十个APP一个个的配置各种权限的。对于LBE、360、腾讯等安全软件今后的发展,利用现有的用户数据以及经验发展人性化智能管理云端才是它们以后发展的重点。这是安卓系统做不到的,也是不会大力发展去做的,这才是未来国产安全软件努力的方向。
三、如何控制Android应用的权限
众所周知,Google对Android应用的权限放的很开,随便什么安卓App就可以轻易的获取用户的关键权限,这就使得用户毫无隐私可言。尽管安卓APP有可能读取到用户的个人信息,但用户也有机会控制Android应用的权限。
1.开启系统隐藏选项。从安卓4.3开始,Google就已经为安卓系统加入了权限管理系统。不过Google并没有把这套系统开放给用户,而是隐藏了起来。如果你用的是安卓4.3以上版本的安卓系统,可以通过安装特殊的App,开启系统的权限管理功能。使用App Permission开启系统权限管理功能,可以对每个App的权限进行管理,可直接查看有什么App会调用某些类型的权限。
由于开启的是系统自带的权限管理系统,所以这种方法的稳定性非常不错,也不需要root。不过在功能上,可能会偏弱一些,安卓自带的权限管理系统甚至没法列出App的全部权限,只有当App请求某个权限时,该权限才会出现在管理列表中。
2.使用第三方安全App。不少安卓安全App都拥有权限管理功能,特别是国产软件商,将PC上的战场搬到了安卓平台,恨不得帮你包办安卓上的一切。无论是360这样的PC上颇为流行的安全软件,还是LBE这样专注于移动市场的安全App,都能够有效管理安卓App权限。
3.Xposed框架+X隐私模块。Xposed框架是一款安卓系统类工具,这款App为安卓提供了一个全新的应用平台,用户可以通过安装Xposed模块来实现一些普通安卓App没法做到的事情。Xposed框架大致就相当于iOS平台上的Cydia。Xposed框架也具有权限管理类的模块。
X隐私(X Privacy)的体积非常惊人,只有0.7M——注意,X隐私的功能来自自身,不是像App Permission那样只是开启系统功能。令人吃惊的是,X隐私的权限管理功能还非常完整而且专注,能够详尽地列出每个App所请求的权限并对其进行管理,还能够通过名单规则过滤,管理权限更高效。
X隐私可以有效管理App权限,支持中文界面,不过这里的截图用的是英文的和各种安全App相比,X隐私的最大优势莫过就是轻便、专一了。和国产动辄十几M的、还赠送你一堆一键清后台、一键同步这样的功能给你的国产安全App相比,X隐私无疑更讨爱干净的用户的欢心。不过,X隐私也并非没有缺点,由于涉及到系统功能,所以X隐私和Xposed框架都需要root,而X隐私也必须在安装Xposed框架后才能安装使用,这会显得略为麻烦。
4.使用第三方ROM。实际上,不少第三方ROM都拥有权限管理系统,无论国内外的ROM皆是如此,看来原生安卓权限管理上的不完善已经成为国际共识了。以下是一些带有权限管理系统的ROM。
4.1 CyanogenMod。CyanogenMod简称CM,是全球影响力最大的安卓ROM,不少无法通过官方升级到最新系统的设备都通过CM延续了生命力。CM的特色在于保持了原生系统界面风格的同时,又增添了很多特色功能,权限管理就是这些特色功能的一个。CM中的权限管理系统叫Privacy Guard,意思是隐私防护,是CM的一大卖点,可以有效管理各种APP权限。通过Privacy Guard,用户可以阻止App访问关键权限,保护自己的隐私。
4.2魔趣(Mokee)。这是一款来自国内的第三方安卓ROM,不過作风却和其他国产ROM大相径庭。魔趣的作风更靠近国外的CM、AOKP等,界面也和原生系统很接近,每当有新ROM发布也会公布自己的源代码——就这点来说已经把很多国内流氓ROM比下去了。魔趣内置了权限管理系统,能够详细地管理App每一项权限。值得一提的是,魔趣支持的设备数量非常多,对安卓新版的跟进也非常快。
除了上面提到的ROM外,还有一些大家熟知的ROM也支持权限管理,比如说MIUI、Flyme等。刷入第三方ROM增加权限管理功能毫无疑问是大工程。当然,刷第三方ROM也有好处,除了带来权限管理功能外,还可以体验到一些特色功能,动手能力强的玩家应该很喜欢通过刷ROM来获得新鲜感。
四、结语
本文就安卓手机市场上的应用软件大量地获取用户的隐私权限的现象,简单介绍了几种控制Android应用的权限的方法,如开启系统隐藏选项、使用第三方安全App、Xposed框架+X隐私模块以及使用第三方ROM。造成这种现象的原因是中国的手机软件开发商利用安卓系统的开源机制给应用程序添加了一些不必要的权限。另一方面,为了扩充市场上应用软件的数量,很多应用商店降低了应用软件的安全标准,这就造成了从源头上的不可监测性。本文为未来国产安全软件发展的方向提供了新思路,对于LBE、360、腾讯等安全软件今后的发展,将是人们关注的重点。
参考文献:
[1]杨广亮, 龚晓锐, 姚刚, 等. 一个面向 Android 的隐私泄露检测系统[J]. Computer Engineering, 2012, 38(23).
[2]彭钊. 一种增强的Android 应用权限管理模型的研究与实现[D].南京: 江苏大学,2012.
作者简介:李昊翀(1994—)男,大连科技学院信息科学学院,在校学生,物联网专业。孙建言(1983—)男,大连科技学院信息科学学院,讲师。研究方向:网络工程。李泽(1994—)女,大连科技学院信息科学学院,在校学生,物联网专业。裴宏韬(1995—)女,大连科技学院信息科学学院,在校学生,物联网专业。
※基金项目:项目编号:201613207000003大学生创新创业训练计划项目.
关键词:Android 手机权限 应用软件 用户隐私
2014年,一期央视《每周质量报告》对应用软件涉及到隐私信息的手机权限进行了报道。报道提到了手机用户王冰在使用某款团购软件时,发现这款软件需要开放10余个手机权限,如:拨打电话权限、发送短信权限、获取手机号码权限、访问联系人权限、获取地理位置信息权限等等。这让她感到十分担忧。王冰表示:“如果这款软件不是特别必要的话,它要求过多的权限,可能我就不会选择这款软件,我就觉得可能会泄露我的隐私。”
据估计,目前我国安卓系统应用软件的数量达70万个,大量的购物、游戏、工具、以及娱乐软件都需要用户开放各类的手机权限。其中,涉及到隐私的权限就已达到了30余个。手机安全工程师曾经对100多个应用程序所需求的权限进行统计,在这些安卓系统的敏感权限当中,读取电话状态占到第一位,达到95.51%,其余分别是地址定位54.04%,收发短信45.71%,拨打电话33.71%,读取联系人31.16%,录音28.09%。另外,与手机用户个人隐私密切相关的获取运行应用也占到了将近63%。有些应用软件就连一些不必要的权限也申请了,这些申请下来的权限,其实从现在来看它没有代码去实现这样的功能。调查显示,有几款应用软件在运行中根本没有使用读取联系人、收发短信等功能,但是依然也要求获取手机用户的这些隐私权限。
一、安卓手机用户个人隐私面临的威胁
在目前的手机操作系统中,安卓系统对手机权限基本上是没有限制的。这种开放性可以使不同的厂商可以对Android平台进行扩展,吸引了大量的应用软件开发,让用户拥有更多的选择空间,展现自身的个性。同样,也是由于Andriod系统的开放性,造成了权限获取的无序现象,这就使很多软件商利用这个漏洞来获取一些根本用不到的权限。安卓版手机一些软件正肆无忌惮地窃取着我们的隐私,这些开发商大量获取包括隐私权限在内的各类权限,给Android手机用户的个人隐私带来的巨大威胁。手机安全工程师透露了窃取隐私的一系列软件:
1.导航软件要求用户开放准确的位置信息是合理的,但是获取其他的隐私信息权限显然就是不合理的了。高德地图安卓版软件,有一个位置共享服务,用户可以通过它直接将自己当前的位置信息链接到新浪微博、搜狐微博、网易微博、人人网等第三方网站。然而当用户通过高德导航软件输入这些微博的账号和密码时,这些账号和密码,竟然被以明文的方式,传给了高德的服务器。
2.大众点评网的安卓版手机预装软件后台有最高的权限,不但能调取通讯录,甚至读取SD卡。
3.一款名为爱聊的安卓版软件,来自其官方网站,在用户完全不知情的情况下,会收集用户的手机号码,通讯录。
4.一款名为红警世界联盟的安卓版软件,收集用户手机号码,手机串号,用户谷歌(邮箱)账号,以及用户手机上的通讯录,以及地址。
5. 一款名为公信卫士的安卓版软件,在第一次应用时,竟然会偷偷向其服务器发送一条短信。这条偷偷发送的短信,不仅使用户的信息被泄露,甚至还产生了一角钱的短信费用,而在手机里居然没有这条短信的发送记录。
手机安全专家阚志刚表示,软件开发者过多地用这些权限的一个最根本的原因,是有商业利益驱使的。有的软件是通过自身获取的权限窃取隐私,暗中扣费。有的软件被恶意程序或病毒利用,被二次打包之后投放市场,同样暗中窃取隐私,甚至通过窃取账号和密码获利。不管通过什么途径,手机权限滥用带来的严重威胁已经潜伏在每一个手机用户身边。
二、手机权限管理上缺失的原因
对比iOS与WP这样封闭的手机环境,安卓系统本身就是个开源的系统。因此,安卓系统的安全问题十分令人担忧。目前,我国安卓市场上下载应用软件的渠道多种多样,缺乏规范统一的安全检测。为了扩充市场上应用软件的数量,很多应用商店甚至从不检查这些应用软件是否安全,甚至很多小应用市场会通过各种渠道主动抓取应用APK,这就造成了从源头上的不可监测性。而这些应用软件给用户隐私带来威胁的真正原因,说到底还是因为安卓系统的开源机制。在安卓系统上,谷歌是把所有的权限都开放给app使用的,只要你做了接口对接这些权限,你就可以调用这些权限。最开始,安卓在底层开放了这些权限当初是本著互联网的开放精神,方便开发者更好的在安卓平台开发优秀应用。但是中国特色的应用软件环境下,一切都不是那么简单了。中国不像国外那些单纯的程序员一样思维,不会只是拍照类应用就只调用拍照权限,它往往也具有读取通讯录、短信记录甚至通话监听类权限,这就是当前中国软件市场环境。所以你就会发现:自己每月基本只会使用微信的情况下短信居然莫名其妙的用了好多条;刚刚换的手机号就被各种保险房产广告轰炸;你每月就聊聊微信逛逛陌陌,流量却轻轻松松破G了。这都是你手机里面的应用在作祟。例如,某些恶意软件只需要调用本该是短信增强类应用才该调用的发生短信权限就能轻轻松松从你手机上扣掉话费。随便轻轻松松的读取一下你的通讯录,转手卖给发垃圾短信广告的。
这种现象造成了目前安卓软件的混乱。早在几年前,LBE技术小组就发现了这个问题,开发了控制管理工具LBE隐私卫士,经过两年多慢慢演变成LBE安全大师。这个功能说简单点就是当应用想调用一个权限的时候会先触发LBE,然后LBE会弹窗提醒用户是允许还是拒绝,把主动权完全交给用户,他们称之为主动防御,这个功能也迅速被360手机卫士、腾讯手机管家等手机安全软件跟进,成为安卓安全软件的标配。 从安卓4.3系统自带部分权限管理可以明显的看出来,权限管理在手机安全上的权重会越来越大。但是,不是每个用户都愿意被手机界面弹窗提醒你YES或NO所打扰的,也不是每个人都有耐心把手机里面的几十个APP一个个的配置各种权限的。对于LBE、360、腾讯等安全软件今后的发展,利用现有的用户数据以及经验发展人性化智能管理云端才是它们以后发展的重点。这是安卓系统做不到的,也是不会大力发展去做的,这才是未来国产安全软件努力的方向。
三、如何控制Android应用的权限
众所周知,Google对Android应用的权限放的很开,随便什么安卓App就可以轻易的获取用户的关键权限,这就使得用户毫无隐私可言。尽管安卓APP有可能读取到用户的个人信息,但用户也有机会控制Android应用的权限。
1.开启系统隐藏选项。从安卓4.3开始,Google就已经为安卓系统加入了权限管理系统。不过Google并没有把这套系统开放给用户,而是隐藏了起来。如果你用的是安卓4.3以上版本的安卓系统,可以通过安装特殊的App,开启系统的权限管理功能。使用App Permission开启系统权限管理功能,可以对每个App的权限进行管理,可直接查看有什么App会调用某些类型的权限。
由于开启的是系统自带的权限管理系统,所以这种方法的稳定性非常不错,也不需要root。不过在功能上,可能会偏弱一些,安卓自带的权限管理系统甚至没法列出App的全部权限,只有当App请求某个权限时,该权限才会出现在管理列表中。
2.使用第三方安全App。不少安卓安全App都拥有权限管理功能,特别是国产软件商,将PC上的战场搬到了安卓平台,恨不得帮你包办安卓上的一切。无论是360这样的PC上颇为流行的安全软件,还是LBE这样专注于移动市场的安全App,都能够有效管理安卓App权限。
3.Xposed框架+X隐私模块。Xposed框架是一款安卓系统类工具,这款App为安卓提供了一个全新的应用平台,用户可以通过安装Xposed模块来实现一些普通安卓App没法做到的事情。Xposed框架大致就相当于iOS平台上的Cydia。Xposed框架也具有权限管理类的模块。
X隐私(X Privacy)的体积非常惊人,只有0.7M——注意,X隐私的功能来自自身,不是像App Permission那样只是开启系统功能。令人吃惊的是,X隐私的权限管理功能还非常完整而且专注,能够详尽地列出每个App所请求的权限并对其进行管理,还能够通过名单规则过滤,管理权限更高效。
X隐私可以有效管理App权限,支持中文界面,不过这里的截图用的是英文的和各种安全App相比,X隐私的最大优势莫过就是轻便、专一了。和国产动辄十几M的、还赠送你一堆一键清后台、一键同步这样的功能给你的国产安全App相比,X隐私无疑更讨爱干净的用户的欢心。不过,X隐私也并非没有缺点,由于涉及到系统功能,所以X隐私和Xposed框架都需要root,而X隐私也必须在安装Xposed框架后才能安装使用,这会显得略为麻烦。
4.使用第三方ROM。实际上,不少第三方ROM都拥有权限管理系统,无论国内外的ROM皆是如此,看来原生安卓权限管理上的不完善已经成为国际共识了。以下是一些带有权限管理系统的ROM。
4.1 CyanogenMod。CyanogenMod简称CM,是全球影响力最大的安卓ROM,不少无法通过官方升级到最新系统的设备都通过CM延续了生命力。CM的特色在于保持了原生系统界面风格的同时,又增添了很多特色功能,权限管理就是这些特色功能的一个。CM中的权限管理系统叫Privacy Guard,意思是隐私防护,是CM的一大卖点,可以有效管理各种APP权限。通过Privacy Guard,用户可以阻止App访问关键权限,保护自己的隐私。
4.2魔趣(Mokee)。这是一款来自国内的第三方安卓ROM,不過作风却和其他国产ROM大相径庭。魔趣的作风更靠近国外的CM、AOKP等,界面也和原生系统很接近,每当有新ROM发布也会公布自己的源代码——就这点来说已经把很多国内流氓ROM比下去了。魔趣内置了权限管理系统,能够详细地管理App每一项权限。值得一提的是,魔趣支持的设备数量非常多,对安卓新版的跟进也非常快。
除了上面提到的ROM外,还有一些大家熟知的ROM也支持权限管理,比如说MIUI、Flyme等。刷入第三方ROM增加权限管理功能毫无疑问是大工程。当然,刷第三方ROM也有好处,除了带来权限管理功能外,还可以体验到一些特色功能,动手能力强的玩家应该很喜欢通过刷ROM来获得新鲜感。
四、结语
本文就安卓手机市场上的应用软件大量地获取用户的隐私权限的现象,简单介绍了几种控制Android应用的权限的方法,如开启系统隐藏选项、使用第三方安全App、Xposed框架+X隐私模块以及使用第三方ROM。造成这种现象的原因是中国的手机软件开发商利用安卓系统的开源机制给应用程序添加了一些不必要的权限。另一方面,为了扩充市场上应用软件的数量,很多应用商店降低了应用软件的安全标准,这就造成了从源头上的不可监测性。本文为未来国产安全软件发展的方向提供了新思路,对于LBE、360、腾讯等安全软件今后的发展,将是人们关注的重点。
参考文献:
[1]杨广亮, 龚晓锐, 姚刚, 等. 一个面向 Android 的隐私泄露检测系统[J]. Computer Engineering, 2012, 38(23).
[2]彭钊. 一种增强的Android 应用权限管理模型的研究与实现[D].南京: 江苏大学,2012.
作者简介:李昊翀(1994—)男,大连科技学院信息科学学院,在校学生,物联网专业。孙建言(1983—)男,大连科技学院信息科学学院,讲师。研究方向:网络工程。李泽(1994—)女,大连科技学院信息科学学院,在校学生,物联网专业。裴宏韬(1995—)女,大连科技学院信息科学学院,在校学生,物联网专业。
※基金项目:项目编号:201613207000003大学生创新创业训练计划项目.