阻垢剂厂家
免费服务热线

Free service

hotline

010-00000000
阻垢剂厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

移动终端操作系统开放性或致用户隐私泄露

发布时间:2021-01-21 08:02:09 阅读: 来源:阻垢剂厂家

复旦大学计算机专家近期研究表明,移动互联终端操作系统的开放性或导致大量用户隐私泄露。

一项最新研究成果显示,用智能手机下载应用程序,存在泄露用户隐私的较大风险。

“以获取用户隐私信息为目的的程序不断涌现,”复旦大学计算机学院的研究团队称,有关部门应加速对相应法律、法规和标准的修订或制订,并尽快建立并完善相关信息安全审查机制与检测手段,从根本上净化移动互联网生态环境。

逃过杀毒防护软件“法眼”

以智能手机、平板电脑为代表的移动互联网终端设备,数量正呈现爆发式增长。数据显示,2012年预计将有1.4亿台此类设备投放国内市场,其中搭载安卓系统的超过总数2/3。

安卓系统是谷歌开发的一种开源操作系统。国内众多电信运营商、设备制造商、互联网企业等,均可基于安卓系统的开放性“二次加工”,搭建各自的程序应用商城,集聚移动互联网用户。

但移动互联终端操作系统的开放性也是一把“双刃剑”。国家“千人计划”专家、复旦大学计算机科学技术学院院长王晓阳教授和复旦大学计算机科学技术学院系统安全研究专家杨珉博士等人近期的研究表明,由于各个“应用商城”运营方缺乏有力的程序安全审查机制与检测手段,以获取用户隐私信息为目的的程序大量涌现,有可能导致大量用户隐私泄露。

亦有业内其他分析报告显示,全球安卓用户面临的信息安全威胁中,中国大陆地区以26.7%的比例高居首位,其中“以隐私信息窃取为目的”的软件程序高达24.3%,位居所有恶意行为种类的首位。

为了更好地研究国内安卓系统应用商城程序泄露用户隐私的问题,复旦大学计算机科学技术学院的研究团队采用先进的数据传播跟踪技术(Data Propagation Monitoring),利用对程序的数据流(Data Flow)和控制流(Control Flow)分析机制,跟踪敏感信息在安卓系统应用程序内部的流动和传播路径,用以确认应用程序泄露用户隐私数据的内在行为。

据悉,研究团队选取了330个热门应用程序进行安全性检测,这些程序分别在国内最具代表性的7个安卓系统应用商城内发布。

王晓阳向本刊记者介绍,研究结果显示,安卓系统7个应用商城的这300余款程序中,58%存在泄漏用户隐私的行为,其中25%的程序还将泄露的信息进行了加密发送,使得在进行安全性审查时,确认其内容和传送目的地变得非常困难。

王晓阳说,这些泄露用户隐私的应用程序甚至逃过了常用杀毒防护软件的“法眼”。

手机用户“透明”隐患巨大

用户个人隐私是如何被恶意程序窃取的?可能会造成何种后果?

杨珉介绍,以智能手机这种常用的移动互联网终端设备为例,考虑到隐私信息的代表性,目前研究团队主要关注的用户隐私信息有七种,分别是:国际移动设备身份码(IMEI)、国际移动用户识别码(IMSI)、集成电路卡识别码(ICCID)、通讯录、手机号码、用户位置和短信,而关注的信息泄露渠道主要是网络接口和短信通道。

除此以外,如摄像头、麦克风、日志信息、用户账号、访问历史和书签、日历和行程、通话记录、各类传感器数据、邮件、本地文件等也属于隐私信息的范畴,在未来的研究中也将给予关注。

复旦大学国家保密学院教育指导委员会主任张世永教授告诉本刊记者,获得上述用户隐私信息后,可以精确获悉用户所在的方位、社会关系网络、单位组织构成等,甚至可以侵入并远程控制用户的智能手机等移动设备,实现窃听、跟踪与监视等效果。

杨珉表示,此类隐私泄露行为的影响人群非常广泛。根据他们所关注的一个应用商城公布的数据显示,截至2012年5月其全站共有用户1100万,安卓系统应用程序下载量达8.59亿次。复旦的研究团队检测了该商城最热门的40个应用程序,发现至少25个程序存在窃取用户隐私信息的行为,以此推算,累计影响的用户数在92万人以上。

据其介绍,这40款程序多数是知名企业开发的产品,其自律与规范性已相对较好;而国内安卓市场中更多的应用程序则由中小企业或个人开发者提供,受经济利益等因素驱使,他们更热衷于恶意收集用户的隐私数据。

此类恶意行为往往危害深远。张世永说,获取用户隐私信息后,在用户不知情的前提下,恶意扣费、胁迫或欺诈,发送垃圾广告和反动信息,套取政治、经济、科技等领域机密等违法犯罪行为都成为可能。这样不仅侵犯公民隐私权,造成某一社会阶层或特定区域内人心的浮动,对国家信息安全保障与社会稳定也会造成潜在威胁。

2012年6月,国外有公开报道显示,美国国防先进研究项目局(DARPA)拨款2100万美元,指定由弗吉尼亚州的Invincea公司提升搭载安卓(Android)系统的智能手机和平板电脑的隐私数据保护能力。该项目缘于美军发现,驻阿富汗赫尔曼德省陆军基地的士兵使用的移动智能终端含有把地理位置泄露给第三方的软件,暴露了军队部署的具体地理信息。

美国国防部首席信息官特里萨·塔凯(Teresa Takai)宣称,美方必须探索“一种可以降低移动设备开发风险”,“同时利用最新、新兴科技技术的无线安全架构”。

中国国家工信部于2012年6月初发布的《关于加强移动智能终端进网管理的通知》(征求意见稿)也表明,政府主管部门已发现移动终端存在不少恶意攻击软件,不过,用户隐私泄露问题与防范尚未得到足够重视。该通知主要针对终端设备的制造商进行约束,但未对应用程序的开发商(者)、安卓系统应用商城平台的运营商进行监督和管理,对于隐私数据的收集与使用缺乏法律法规的界定和有效的检测手段。

尽快重构国家信息安全总体战略

业内专家认为,当前国家信息安全正处于一个调整和转折时期,世界各国都在认真反思前一阶段信息安全领域中的问题和下一步的发展方向,谋求积极的应对之策。

根据目前掌握的情况研判,以美国为代表的西方国家正在抓紧研究移动互联网的安全隐患和应对方法,但也是刚起步。

专家建议,中国也应尽快重构移动互联环境下的国家信息安全总体战略,加强相应领域的科技布局,进行最前沿的科技攻关,则完全可以引领这些领域的发展。

专家进一步建议,应尽快确定移动终端隐私数据分级、应用程序收集和使用隐私数据的规范、应用程序开发者认定、安卓系统的安全机制和应用商城发布应用程序的审核等方面的国家安全技术标准,建立应用程序的安全性检测与测评机制,加强对应用商城运营者与程序开发者的监督管理。

王晓阳认为,政府相关机构可在制定上述标准的基础上,出台相应的法律法规与管理办法,明确告知开发者和运营商,能做什么和不能做什么,比如要求应用程序显示声明对用户隐私数据的收集行为,并要求收集者承担对这些数据的保护和不扩散的责任。

政府有关部门也应提供相应的安全性审查检测工具和服务,要求应用商城承担平台管理和用户数据安全保障的连带责任,比如可要求应用商城对上架的所有应用程序进行强制的安全核查及进行开发者验证等。

此外,专家建议,应从国家信息安全的角度出发,加强移动互联网时代用户隐私安全保护方面的知识普及,尤其应强化移动终端使用者的分级管理和对高等级用户的数据保护。

王晓阳强调,从技术的角度来看,针对自主可控的移动智能操作系统和虚拟机技术的研究与突破已刻不容缓,尤其应增强操作系统的安全访问控制机制,提高操作系统对用户隐私数据的保护能力与用户介入能力;还应扩充并标准化系统级的安全审计接口,支持在应用程序的执行周期内对隐私数据进行跟踪,并可根据用户等级对隐私信息采取不同的加密与模糊化策略,从而增加窃取难度。

政府有关部门还应协调学术界和产业界,共同建立如移动互联网用户隐私泄露安全举报中心、应用程序病毒公共样本库等,增强用户参与系统安全管控的意识与能力。

杨珉说,对于众多的普通用户,在下载安装应用程序时,应提高警惕,尽量选择可靠的来源,比如选择知名度高、负责任的应用商城或者相应程序的官方网站等。在安装程序时,用户可根据程序的功能描述严格控制系统权限的授予,尽量避免将访问个人隐私数据的权限和访问网络的权限同时授予给可疑程序。

“有条件的用户,还可根据实际需求,将工作与个人通信用途的终端和日常上网娱乐的终端分开,对数据进行物理隔绝,从而最大程度地保护自身的隐私数据。”杨珉说。

贪婪洞窟

979彩票安卓版全方位

终极狼人杀下载