• 查天气、找美食、玩游戏、买电影票、网上购物……安装APP(应用程序)，手机变成“百事通”。不过，享受便利的同时，你可能把位置信息、通讯录名单、朋友圈、上网记录全都暴露在外。你的手机其实一直在“裸奔”。

  智能手机越来越“聪明”，也越来越不安全。在今年全国两会上，多名互联网领域的代表委员均提出，智能手机比电脑泄密更严重。昨晚，央视“3·15”晚会曝光了多款APP调取用户隐私信息的案例，垃圾短信泛滥、恶意插件扣除话费等问题频频发生。

  

  “越轨”行为

  抓取用户个人数据

  “手机下载了几款软件之后，状态栏频繁弹出广告窗口，不断收到垃圾短信。按'清除’没用，必须要点击'观看’。”李先生逐一卸载手机软件，最后发现是一款名为《爆破小鸟》的APP作怪，卸载后就清静了。

  在智能手机和移动互联网普及的今天，当你安装热门应用软件时，是否会留意安装前的授权确认？比如，这款《爆破小鸟》除了要求知晓你的位置信息外，还会提出“读取/删除SD卡”“读取通讯录”等要求，如果不同意，则无法继续安装。于是，很多消费者点击“确认”，APP迅速安装成功，同时也为手机小偷隔空窃取你的隐私打开了方便之门。

  为什么授权会泄露隐私？复旦大学计算机系统与安全专家杨珉介绍，智能手机采用基于权限的安全管理机制。例如安卓系统采用约130个权限管控系统资源，其中就有打开手机麦克风或摄像头、收集短消息、邮件、账号、通讯录、通话记录及位置等信息。有些软件开发者，申请权限超出正常需要，多数普通用户并不会留意，结果拇指一动，“家门”洞开。杨珉举例，不少手机输入法为增强用户体验，可能会申请读取通讯录和自动联网的权限，前者方便输入名字，后者可建立在线个人词库。可一旦两功能叠加并被不怀好意者利用，千万用户的通讯录便唾手可得。

  DCCI互联网数据中心最近针对中国各类安卓市场下载量前1400位的APP所进行的安全测评显示：66.9%的智能手机移动应用在抓取用户隐私数据，而其中高达34.5%的移动应用有“隐私越轨”行为。通话记录、短信记录、通讯录是用户隐私信息泄露的三个高危地带。

  消耗资费

  扣钱不和你商量

  “太坑人了！在手机上装了一款'植物大战僵尸’的游戏，玩的时候没注意，结果今天上网查话费才知道，这几天被多扣了180元短信费。”网友“悠悠金光”抱怨说，自从手机安装了这款游戏后，在毫无察觉的情况下屡次被扣费，经过查询才发现，是游戏软件“热情”地帮机主订制了多条增值业务短信。

  网友“牛牛过河”发帖倾诉：手机一天没响，结果一拨号，居然欠费停机了，平时每月话费最多50元，这才月初为何就欠费了？原因是他下载了一款名为“超级酒保”的免费APP，被植入了多款广告插件，内置广告通过联网下载和刷新，闷声不响“吃流量”。这条信息跟帖众多，不少网友都纷纷吐槽：“什么都没干，流量就没了”。

  这些用户遭遇的，正是智能手机面临的第二大安全问题———消耗资费，包括流量和话费。

  “许多用户下载的热门应用软件，其实已经被动过手脚了，软件里被重新打包了一些恶意代码。”杨珉分析道，这种代码可以让手机在用户未授权的情况下，通过发短信或者链接指定的扣费网站，为机主订购不同类型的手机业务。它最厉害的地方在于，可以屏蔽扣费业务反馈给用户的确认扣费短信。

  “询问是否订购业务、服务器反馈、最终确认扣费，手机短信正常扣费的3个步骤，消费者一个也收不到，遭受了经济损失，却还完全蒙在鼓里。”杨珉说。

  商业利益链

  环环相扣瓜分利润

  网上应用商城中，大量软件靠个人上传，门槛较低，商城自身检测水平、核查机制良莠不齐，为不法分子提供了可乘之机。杨珉认为，移动广告商、恶意扣费、移动网银支付、用户信息交易等均是商业利益链上的环节。

  广告商和广告平台私自收集个人信息，已是业内默认规则。信息处理方式通常有两种。一是卖给短信群发平台等渠道，立即套现；如果不急着套现，广告商和平台可以对这些信息做数据分析和短信推送，通过短信渠道向用户发送广告信息，反复骚扰，实现精确广告投放。“更可怕之处在于，通过获得用户的隐私信息，便可掌握其所在方位、社会关系网络、单位组织构成等，甚至能侵入并远程控制用户的智能手机等移动设备，实施窃听、跟踪与监视。胁迫或欺诈、发送垃圾广告、套取专业领域机密等违法犯罪行为都成为可能。”杨珉说。

  不过，与暗扣费APP制作方相比，广告手段只能算小巫见大巫。业内人士透露，有些公司会盗版和仿冒下载量较高的游戏和应用，比如在《捕鱼达人》等游戏中内置扣费插件，二次打包后，以汉化版、破解版等名义推向第三方市场(应用商城)。用户下载后，插件就会暗中扣费。这些公司再和APP开发者甚至第三方市场合作，瓜分利润。

  “广告利润较低，但加入'暗扣代码’做APP，最快一周就能回本，月收入轻松过万。”业内人士透露，做暗扣业务一本万利，而且内置扣费插件还可用更改签名等方式，绕开手机安全软件的查杀。

  安全大门

  仅靠自律很难防守

  记者调查发现，目前市面上已经推出多款安全软件，比如“安全管家”“手机卫士”等，具备了相应的权限管理功能，用户可以通过这些软件，有针对性地关闭APP的部分权限，而且部分系统还能做到按实际需要有选择地授权。

  但是，在杨珉看来，这种方式治标不治本。“用安全软件就必须'r00t’你的手机，也就是完全开放系统权限，这意味着你把手机的最高权限交给了这些安全软件，相当于把家里的钥匙交给了保安，安全与否完全依赖于保安是否自律。”杨珉透露，其实有不少安全软件本身就在窃取用户隐私。他还介绍，有些智能手机出厂时，系统就自带不少软件，其中很有可能内藏“小偷”。

  “守住手机安全大门，不能仅靠安全软件、APP开发者、手机生产商自律，应有相应的监管机制。”杨珉认为，一要有标准，移动终端隐私数据分级、应用程序收集和使用隐私数据应有标准；二要有相应的技术检测手段，智能手机应用程序发布、审核等方面应有国家安全技术标准和测评机制，三要有追惩机制，制定相应的法律法规与管理办法，明确告知开发者和运营商，能做什么和不能做什么，比如要求应用程序显示声明对用户隐私数据的收集行为，并要求收集者承担对这些数据的保护和不扩散的责任。

  记者了解到，工信部正在建立评估体系，对智能手机应用程序、内置软件进行评估和抽查，将第三方平台纳入管理，逐步完善备案、审核、监督、抽查等管理环节，督促服务提供商和内容提供商加大自我清查，整治恶意APP暗扣费等现象。

• 安卓的一些应用程序每三分钟做一次动态跟踪
• 两周约收集6200次位置数据
• 大多数智能手机用户不知道自己处于被密切跟踪的状态

安卓智能手机的某些应用程式每三分钟追踪一次人们的动态。

根据美国一项研究发现手机设备的应用程序每两周平均可以收集6200次GPS坐标。这项研究还显示，大多数智能手机用户不知道自己处于被密切跟踪的状态，对许多结果都感到惊讶。

根据伊丽莎白·德沃斯金在《华尔街日报》的一份报告，卡内基梅隆大学的科学家们调查了23名安装4.3版本的安卓用户，让他们登录了应用程序请求。

即使应用程序已有了位置服务，但还要收集更多的数据。

例如，Groupon这个应用程序要求参与者在两周内收集1062次坐标。

同时，天气频道的应用要求设备平均定位2000次位置，每10分钟定位一次位置。

不过，这项研究的主要焦点是用户共享数据的次数。

他们每天都收到定位的消息次数或'隐私推送’信息，如位置信息、联系人列表、电话通话记录。

一些推送信息令人担心，一个明显的例子：'14天的时间里，Facebook，Groupon，GO Launcher EX和其他七个应用，已分享了5398次你的位置。’

4182次——你是在和我开玩笑吗？一位参与者问。感觉就像我自己的电话被跟踪了一样，这也太可怕了。

另外一个人也说，这个数字太高了。

356次的次数太多了真没想到。

计算机科学学院软件研究所诺曼·萨德哈教授说，绝大多数人都对此浑然不知。

其实大多数智能手机用户对应用程序的这个行为都无法获得数据信息。但有了这个研究结论，大家可以迅速改变手机的隐私设置。

该研究使用安卓4.3版本安装了AppOps。

在第一个星期的研究中，收集了23个人的应用行为数据，他们使用自己的安卓手机安装了这款软件。

在第二周，他们进入到AppOps这款软件应用中，在第三周和最后阶段他们每天收到应用程序访问隐私推送敏感信息的详细频率。

研究人员发现应用权限对管理者们有帮助作用。

当参与者进入到AppOps应用程序中，有51次权限，被76个应用程序限制了272次。只有一个参与者未审核权限。

但是参与者一旦在头几天设置按照自己的偏好们就停止改变设置。

他们开始收到推送的隐私信息，不过，他们再恢复隐私设置，很多隐私信息还能受限制。在八天的时间，用户审核权限69次，其他47个应用阻止了122次权限。

'有应用程序权限管理总比没有的好，但权限本身也并不绝对安全，’萨德哈说。

'用户推送隐私的事实表明，他们真正关心的是隐私，只是不知道收集了多少信息。’安卓后期的版本中断了AppOps软件的安装。

尽管iPhones有一个隐私管理器，但它不告诉用户信息频率或用途