论文部分内容阅读
通过智能手机对用户进行监控已经成为司空见惯的事情,在乌克兰,抗议政府的示威者将收到短信,这些发送给特定用户的短信堂而皇之地进行威胁:“尊敬的客户,你已被登记为骚乱的参与者。”加拿大政府的情报机构电子通讯安全局(CSEC)更是肆无忌惮地利用其权力,他们被发现对数千名智能手机的用户进行了监控,然而CSEC公然声称这些用户登录的是公共的无线网络热点,他们并未侵犯个人隐私。
对于希望监控和收集个人信息的人或者机构来说,智能手机确实是一个不可多得的操作对象:智能手机持续不断地与基站联系,报告自己的位置,通过全球定位系统可以精确地确定目标所在的位置。智能手机里的联系人信息、电子邮件、短信息、聊天和通话记录更是收集用户个人信息的最佳对象。我们联系的人、交流的主题、保存的数据、使用的应用程序、浏览的网站,所有的一切足以建立起一份清晰描绘我们兴趣、价值取向等方方面面的个人档案。对于没有经验的用户来说,智能手机完全有可能成为他们的噩梦,成为别有用心之人的数据采集器。只需利用简单的木马,即可控制智能手机,甚至可以通过麦克风和摄像头进行记录。这一切并不只是极个别的事件,可能对我们构成威胁的也不仅仅是挖空心思的犯罪分子,互联网活动家和安全专家雅各布·阿贝尔鲍姆突认为,情报机构将不惜一切代价发掘新的监控工具,智能手机自然是首选,最终,甚至是人们认为绝对安全的USB电缆和键盘都有可能成为监控设备。
有政府背景的木马
有政府背景的木马是最强大和危险的间谍工具,它们通常由私营公司开发并销售给一些国家。开发这些木马的机构很多是德国的公司,例如DigiTask、Trovicor和Gamma International都开发类似的工具。这些工具原本开发的目的都是用于打击犯罪,如果用开发这些工具的公司的技术术语来说,其目的是“合法拦截”。而根据Gamma International的开发主管马丁·明希介绍,他们的高科技木马套件FinFisher则侧重于打击恋童癖和恐怖分子。不过,毫不意外的是,这个用于打击犯罪分子的工具,在巴林和埃塞俄比亚也被用来攻击记者和民权活动家。不过,马丁·明希一再声明他并不支持酷刑制度,并声称这个木马套件在巴林的变种是一个偷来的测试版本。
对于马丁·明希的说法大家是否相信呢?事实上,网络无国界,类似的工具一旦流通,随时都有可能发展成非常危险的武器,因为它们可以用于针对任何人。研究人员在加拿大多伦多大学已经发现了世界各地的FinFisher服务器,事实证明,使用这一木马套件的已经绝不仅仅是德国,而且还包括许多独裁政权国家。因而,人权组织如无国界记者组织已经向国际经合组织提出了针对Gamma International和前西门子的子公司Trovicor的投诉,认为它们为侵犯人权的行为提供了协助。
有争议的数据收集工具
德国政府部门似乎并没有因为存在反对的声音而放弃这些有争议的工具,因为德国联邦刑警局(BKA)已为FinFisher支付了约150 000欧元。德国当局还委托了美国公司Computer Sciences Corporation来验证源代码,该公司与美国中央情报局和国家安全局等情报机构的关系非常密切。BKA预计德国将在2014年的年底才有可能放弃FinFisher,在此之后,将改用另一个自编程的木马套件。不过,对于德国使用这个可疑的数据收集工具,美国联邦调查局旗下的美国权威互联网犯罪投诉中心(ic3.gov)感觉不太愉快,2013年夏天ic3.gov曾对此发出警告,反对使用FinFisher。
FinFisher的间谍程序能够感染电脑和智能手机,FinFisher的移动变种FinSpy Mobile采用所谓的Ad-hoc分发模式感染iPhone手机,从其他的源安装应用程序,绕开受保护的应用程序商店。感染Android则更简单,因为Android用户可以通过任何来源进行应用程序的安装,FinFisher只需通过网络钓鱼邮件引诱Android手机用户安装它即可。而电脑则是一个更容易侵入的目标,例如FinFisher可以通过iTunes更新机制中的一个严重的安全漏洞进行安装。安全专家布莱恩·克雷布斯在2008年7月已经呼吁必须关注这一严重错误,但令人惊讶的是苹果公司在3年后才对iTunes的这一漏洞进行修补。
目前,所有主流的防病毒程序都能够防御已知的FinFisher版本,但是F-Secure提示,仍然有许多未被公开的版本可能会利用其他的漏洞入侵用户的系统。
偷偷监视朋友的手机
虽然为数不多,但是也有一些间谍工具是任何人都可以在网上买到的。FlexiSpy是类似的软件中最受欢迎的一个,这是一个很好的间谍工具,主要用于熟人之间的监视,例如丈夫和妻子、老板和员工、家长和孩子。每年的使用费用至少为150美元,如果需要更多功能,例如拦截电话和激活麦克风和摄像头,那么将需要350美元。该应用程序已经在线销售了很长的一段时间,并不断地发展壮大,其网站托管在美国。
这种微小的窃听工具可以运行在包括Android 4和iOS 7手机在内的所有智能手机上,不过,激活麦克风和摄像头的功能只能在较老的操作系统上工作,发送短信和电话清单的功能在Android上即使没有Root权限也能够工作,而在iOS系统上则只能在已经越狱的设备上工作。
购买FlexiSpy的人必须拿到自己想要监视的手机并向其安装应用程序,FlexSpy将隐藏应用程序的图标,因此,手机的主人很难发现被监视,即便发现,也需要具备较丰富的相关知识才可能阻止FlexSpy。必要时FlexSpy甚至能够删除图标以及通过Cydia的应用程序商店安装到越狱的移动设备上。当FlexSpy开始工作后,将定期发送所有手机的数据到FlexSpy的服务器,客户可以通过Web界面登录到服务器查看监视的数据。比较讽刺的是,FlexiSpy网页上声称,他们将保护用户的数据,并承诺保护访问者的个人隐私。 恶意程序喜欢Android
传统的木马犯罪分子会采取在互联网上随意分发的手段,并将获得的用户数据卖给广告网络公司以获得丰厚的利润。不过,Google在Android 4.2中提供了新的保护功能,例如应用程序在发送付费短信之前,需要用户进行确认。许多恶意程序受到新版本保护功能的影响,无法再进行类似的操作。但是Android智能手机并不全部使用新版本的操作系统,超过73%的Android设备仍然在使用老版本的操作系统,尤其是许多廉价的手机,它们完全没有获得更新版本的机会。
据统计,99%的木马以Google的Android系统为攻击对象,而针对iOS的恶意程序几乎没有。出现这种情况的原因有几个:首先,Android是目前最常用的移动通信系统,特别是在俄罗斯和中国等国家使用更频繁;其次,Android是相对开放的,不像苹果只能够通过应用商店安装应用程序,每一个用户都可以在任何第三方的应用商店或者互联网上的任何来源安装未经验证的应用程序。据网络设备供应商Juniper网络公司介绍,他们已经发现了500多个传播恶意软件的Android应用商店,其中大部分是在俄罗斯和中国。分发恶意程序的罪犯会想尽办法让用户相信他们正在下载一个非常普通和熟悉的程序,但实际上它偷偷发送数据,甚至窃取金钱。据反病毒厂商趋势科技介绍,目前,受感染的应用程序中手机游戏是最多的,其次是壁纸之类的应用程序和其他个性化方案。
在Google的Play商店中一般不会有恶意程序,因为Google通过一个名为Bouncer的工具验证新的应用程序,删除恶意软件和锁定可疑的开发人员。不过,Bouncer虽然非常聪明,但有时也会被愚弄,例如2013年就曾经有恶意程序成为漏网之鱼。相比之下,苹果的应用程序验证过程是脆弱的,乔治亚技术研究所的一组研究人员发现,他们可以成功地将一个邪恶本性只有在安装之后才会显露的恶意程序放到iOS的应用商店上。不过,尽管如此,苹果官方的应用商店安全性仍然是比较高的,只是在安装一些特别新的应用程序并且开发该应用程序的开发商比较陌生时,一定要加倍小心。
开发自己的恶意程序
BitDefender的安全研究员波格丹·波特渣图在他的YouTube频道演示了如何轻松地开发和使用一个木马程序,只需简单地点击几下Windows程序AndroRAT(Android远程管理工具包),马上就可以生成一个木马版本的游戏“凯蒂猫咖啡馆”,该版本与普通版本基本无法区分,而制作这个木马版本的游戏波格丹·波特渣图只有一个安装文件,而不是源代码,生成木马版本的工作主要由高度智能化的木马工具套件完成。接下来,如果波格丹·波特渣图是一个犯罪分子,那么他只需要将应用程序放到互联网上,就可以等待或者引诱其他人安装该游戏,用户在安装之后游戏仍然可以正常运行,但是隐藏其中的木马程序将开始为所欲为。这种修改热门程序的恶意程序传播方法目前非常流行,特别是修改付费软件的破解版本更受欢迎。
迄今为止,最复杂的Android木马是Backdoor.AndroidOS.Obad.a,它将自己伪装成一个图像,并通过垃圾短信进行传播。据卡巴斯基的专家基思顿·芬克介绍,Obad.a木马起码利用了3种目前仍未公开的安全漏洞,该木马的复杂性和多功能性提醒人们必须正视恶意软件。Obad.a木马在安装的过程中,将要求用户确认多项授权,其中还包括高级管理员权限。接下来,该木马将利用权限管理中的一个安全漏洞,防止自己被卸载,该漏洞Google已于Android 4.3进行了修补。如果手机的系统已经root,那么木马将要求获得root账户,并要求用户进行相应的确认。如果用户允许这一要求,那么就为Obad.a木马敞开了大门,该木马将锁定所有的应用程序,蔓延到其他应用程序沙箱。而如果用户没有授予root权限,该木马将尝试滥用付费服务,并将数据发送到控制服务器,随后可能下载其他恶意程序。
恶意程序清空银行账户
Zeus in the Mobile之类的银行木马程序会给用户造成更大的损失,这些木马能够破解手机交易码(mTAN)这个一度被认为最安全可靠的网上银行保护措施。为了实现这一目的,犯罪分子首先需要引诱他们的受害者在电脑上访问钓鱼网站,并诱使他们输入网上银行的信息登录,同时将要求用户输入自己的手机号码,声称将向用户发送一个保护网上交易安全性的安全程序。当然,该程序的作用恰恰相反,犯罪分子发送短信中提供一个携带木马的手机程序链接。不过,该木马程序最终是否能够获得成功,取决于用户是否忽略了一些安全措施,例如在设置菜单上允许安装未知来源的应用程序,其次,点击了短信中的链接,并明确同意该应用程序的安装,并且同意应用程序申请的多项授权。一旦用户老老实实地按Zeus in the Mobile的要求操作,接下来手机收到的所有银行交易码将自动转发到犯罪分子的手机上,最后犯罪分子可以轻松地清空用户的银行账户。
通过上面对Zeus in the Mobile的介绍,不难明白我们完全可以保护自己。首先,我们应该尽可能地只在Google的Play商店下载应用程序,禁用“设置|安全|未知来源”的安装。为了增强安全性,使用Android 4.2及以上版本的用户应该启用“设置|安全|验证应用”功能。另外,在确认应用程序申请的授权时谨慎一些,如果根本弄不清楚是否应该授权,则可以考虑安装一个移动设备版的病毒扫描程序,目前此类程序大部分是免费的。
许多应用程序收集个人数据
智能手机上许多应用程序都收集用户的个人数据,这些数据的滥用会给用户带来极大的风险。这些应用程序中最具影响力的莫过于下载次数已经超过百万次的“最亮的手电筒”(英文名称Brightest Flashlight),该应用程序安装时申请GPS定位、文件控制权等一系列与手电筒功能毫不相干的权限,但是直到该应用程序收集用户信息的新闻出现在媒体的头条时,许多用户都一无所知。事实上,很多免费的应用程序都通过出售用户的个人数据给广告网络获利,这当中也包括“最亮的手电筒”。根据BitDefender的统计,大约有35%的应用程序会窥探用户的位置。而“最亮的手电筒”最具欺诈性的是,它让用户以为个人数据的收集是可以被阻止的,而实际上无论用户在软件上怎么设置,应用程序仍然会将收集的数据发送到网络上,这一指控已经被美国联邦贸易委员会证实。
如果不希望自己的个人数据也被贩卖,那么我们应该在安装应用程序时仔细地查看软件申请的权限,以“最亮的手电筒”为例,一个“手电筒“要求GPS定位和文件控制的权限实在是无论如何也解释不通的。除了仔细查看与个人信息相关的权限申请外,用于发送短信和拨打电话的权限更需要额外地注意,没有绝对的把握一定不能够授予应用程序这些权限。
应用程序引诱儿童内购
人们将在应用程序中购买其他应用程序或者资源的行为称为内购,例如在免费软件中购买正式版授权,或者在游戏中购买游戏币。这种内购的方式也可能给用户带来较大的损失,特别是偶尔会将设备交给小孩使用的家长,对于类似的应用程序,特别是免费游戏必须加倍小心。因为当设备在小孩手中时,很多应用程序会想方设法地引诱他们内购其他应用程序或者游戏币,以换取升级或加速游戏进度的功能,而类似的交易可能高达99美元。
考虑到内购的风险,目前在Android和iOS中执行购买的操作将需要输入密码,但在iOS中输入密码的请求间隔时间默认为15分钟,Android间隔时间则是30分钟。孩子完全有可能在我们输入密码为其安装一个免费游戏后,在很短的时间内已经使用内购功能。因而,在iOS中我们应该通过“设置|通用|访问限制”完全关闭应用程序的内购功能,并要求所有的购买都必须重新输入密码。而Android用户暂时没有类似的设置选项,因此,在将设备交给小孩前必须更谨慎。
对于希望监控和收集个人信息的人或者机构来说,智能手机确实是一个不可多得的操作对象:智能手机持续不断地与基站联系,报告自己的位置,通过全球定位系统可以精确地确定目标所在的位置。智能手机里的联系人信息、电子邮件、短信息、聊天和通话记录更是收集用户个人信息的最佳对象。我们联系的人、交流的主题、保存的数据、使用的应用程序、浏览的网站,所有的一切足以建立起一份清晰描绘我们兴趣、价值取向等方方面面的个人档案。对于没有经验的用户来说,智能手机完全有可能成为他们的噩梦,成为别有用心之人的数据采集器。只需利用简单的木马,即可控制智能手机,甚至可以通过麦克风和摄像头进行记录。这一切并不只是极个别的事件,可能对我们构成威胁的也不仅仅是挖空心思的犯罪分子,互联网活动家和安全专家雅各布·阿贝尔鲍姆突认为,情报机构将不惜一切代价发掘新的监控工具,智能手机自然是首选,最终,甚至是人们认为绝对安全的USB电缆和键盘都有可能成为监控设备。
有政府背景的木马
有政府背景的木马是最强大和危险的间谍工具,它们通常由私营公司开发并销售给一些国家。开发这些木马的机构很多是德国的公司,例如DigiTask、Trovicor和Gamma International都开发类似的工具。这些工具原本开发的目的都是用于打击犯罪,如果用开发这些工具的公司的技术术语来说,其目的是“合法拦截”。而根据Gamma International的开发主管马丁·明希介绍,他们的高科技木马套件FinFisher则侧重于打击恋童癖和恐怖分子。不过,毫不意外的是,这个用于打击犯罪分子的工具,在巴林和埃塞俄比亚也被用来攻击记者和民权活动家。不过,马丁·明希一再声明他并不支持酷刑制度,并声称这个木马套件在巴林的变种是一个偷来的测试版本。
对于马丁·明希的说法大家是否相信呢?事实上,网络无国界,类似的工具一旦流通,随时都有可能发展成非常危险的武器,因为它们可以用于针对任何人。研究人员在加拿大多伦多大学已经发现了世界各地的FinFisher服务器,事实证明,使用这一木马套件的已经绝不仅仅是德国,而且还包括许多独裁政权国家。因而,人权组织如无国界记者组织已经向国际经合组织提出了针对Gamma International和前西门子的子公司Trovicor的投诉,认为它们为侵犯人权的行为提供了协助。
有争议的数据收集工具
德国政府部门似乎并没有因为存在反对的声音而放弃这些有争议的工具,因为德国联邦刑警局(BKA)已为FinFisher支付了约150 000欧元。德国当局还委托了美国公司Computer Sciences Corporation来验证源代码,该公司与美国中央情报局和国家安全局等情报机构的关系非常密切。BKA预计德国将在2014年的年底才有可能放弃FinFisher,在此之后,将改用另一个自编程的木马套件。不过,对于德国使用这个可疑的数据收集工具,美国联邦调查局旗下的美国权威互联网犯罪投诉中心(ic3.gov)感觉不太愉快,2013年夏天ic3.gov曾对此发出警告,反对使用FinFisher。
FinFisher的间谍程序能够感染电脑和智能手机,FinFisher的移动变种FinSpy Mobile采用所谓的Ad-hoc分发模式感染iPhone手机,从其他的源安装应用程序,绕开受保护的应用程序商店。感染Android则更简单,因为Android用户可以通过任何来源进行应用程序的安装,FinFisher只需通过网络钓鱼邮件引诱Android手机用户安装它即可。而电脑则是一个更容易侵入的目标,例如FinFisher可以通过iTunes更新机制中的一个严重的安全漏洞进行安装。安全专家布莱恩·克雷布斯在2008年7月已经呼吁必须关注这一严重错误,但令人惊讶的是苹果公司在3年后才对iTunes的这一漏洞进行修补。
目前,所有主流的防病毒程序都能够防御已知的FinFisher版本,但是F-Secure提示,仍然有许多未被公开的版本可能会利用其他的漏洞入侵用户的系统。
偷偷监视朋友的手机
虽然为数不多,但是也有一些间谍工具是任何人都可以在网上买到的。FlexiSpy是类似的软件中最受欢迎的一个,这是一个很好的间谍工具,主要用于熟人之间的监视,例如丈夫和妻子、老板和员工、家长和孩子。每年的使用费用至少为150美元,如果需要更多功能,例如拦截电话和激活麦克风和摄像头,那么将需要350美元。该应用程序已经在线销售了很长的一段时间,并不断地发展壮大,其网站托管在美国。
这种微小的窃听工具可以运行在包括Android 4和iOS 7手机在内的所有智能手机上,不过,激活麦克风和摄像头的功能只能在较老的操作系统上工作,发送短信和电话清单的功能在Android上即使没有Root权限也能够工作,而在iOS系统上则只能在已经越狱的设备上工作。
购买FlexiSpy的人必须拿到自己想要监视的手机并向其安装应用程序,FlexSpy将隐藏应用程序的图标,因此,手机的主人很难发现被监视,即便发现,也需要具备较丰富的相关知识才可能阻止FlexSpy。必要时FlexSpy甚至能够删除图标以及通过Cydia的应用程序商店安装到越狱的移动设备上。当FlexSpy开始工作后,将定期发送所有手机的数据到FlexSpy的服务器,客户可以通过Web界面登录到服务器查看监视的数据。比较讽刺的是,FlexiSpy网页上声称,他们将保护用户的数据,并承诺保护访问者的个人隐私。 恶意程序喜欢Android
传统的木马犯罪分子会采取在互联网上随意分发的手段,并将获得的用户数据卖给广告网络公司以获得丰厚的利润。不过,Google在Android 4.2中提供了新的保护功能,例如应用程序在发送付费短信之前,需要用户进行确认。许多恶意程序受到新版本保护功能的影响,无法再进行类似的操作。但是Android智能手机并不全部使用新版本的操作系统,超过73%的Android设备仍然在使用老版本的操作系统,尤其是许多廉价的手机,它们完全没有获得更新版本的机会。
据统计,99%的木马以Google的Android系统为攻击对象,而针对iOS的恶意程序几乎没有。出现这种情况的原因有几个:首先,Android是目前最常用的移动通信系统,特别是在俄罗斯和中国等国家使用更频繁;其次,Android是相对开放的,不像苹果只能够通过应用商店安装应用程序,每一个用户都可以在任何第三方的应用商店或者互联网上的任何来源安装未经验证的应用程序。据网络设备供应商Juniper网络公司介绍,他们已经发现了500多个传播恶意软件的Android应用商店,其中大部分是在俄罗斯和中国。分发恶意程序的罪犯会想尽办法让用户相信他们正在下载一个非常普通和熟悉的程序,但实际上它偷偷发送数据,甚至窃取金钱。据反病毒厂商趋势科技介绍,目前,受感染的应用程序中手机游戏是最多的,其次是壁纸之类的应用程序和其他个性化方案。
在Google的Play商店中一般不会有恶意程序,因为Google通过一个名为Bouncer的工具验证新的应用程序,删除恶意软件和锁定可疑的开发人员。不过,Bouncer虽然非常聪明,但有时也会被愚弄,例如2013年就曾经有恶意程序成为漏网之鱼。相比之下,苹果的应用程序验证过程是脆弱的,乔治亚技术研究所的一组研究人员发现,他们可以成功地将一个邪恶本性只有在安装之后才会显露的恶意程序放到iOS的应用商店上。不过,尽管如此,苹果官方的应用商店安全性仍然是比较高的,只是在安装一些特别新的应用程序并且开发该应用程序的开发商比较陌生时,一定要加倍小心。
开发自己的恶意程序
BitDefender的安全研究员波格丹·波特渣图在他的YouTube频道演示了如何轻松地开发和使用一个木马程序,只需简单地点击几下Windows程序AndroRAT(Android远程管理工具包),马上就可以生成一个木马版本的游戏“凯蒂猫咖啡馆”,该版本与普通版本基本无法区分,而制作这个木马版本的游戏波格丹·波特渣图只有一个安装文件,而不是源代码,生成木马版本的工作主要由高度智能化的木马工具套件完成。接下来,如果波格丹·波特渣图是一个犯罪分子,那么他只需要将应用程序放到互联网上,就可以等待或者引诱其他人安装该游戏,用户在安装之后游戏仍然可以正常运行,但是隐藏其中的木马程序将开始为所欲为。这种修改热门程序的恶意程序传播方法目前非常流行,特别是修改付费软件的破解版本更受欢迎。
迄今为止,最复杂的Android木马是Backdoor.AndroidOS.Obad.a,它将自己伪装成一个图像,并通过垃圾短信进行传播。据卡巴斯基的专家基思顿·芬克介绍,Obad.a木马起码利用了3种目前仍未公开的安全漏洞,该木马的复杂性和多功能性提醒人们必须正视恶意软件。Obad.a木马在安装的过程中,将要求用户确认多项授权,其中还包括高级管理员权限。接下来,该木马将利用权限管理中的一个安全漏洞,防止自己被卸载,该漏洞Google已于Android 4.3进行了修补。如果手机的系统已经root,那么木马将要求获得root账户,并要求用户进行相应的确认。如果用户允许这一要求,那么就为Obad.a木马敞开了大门,该木马将锁定所有的应用程序,蔓延到其他应用程序沙箱。而如果用户没有授予root权限,该木马将尝试滥用付费服务,并将数据发送到控制服务器,随后可能下载其他恶意程序。
恶意程序清空银行账户
Zeus in the Mobile之类的银行木马程序会给用户造成更大的损失,这些木马能够破解手机交易码(mTAN)这个一度被认为最安全可靠的网上银行保护措施。为了实现这一目的,犯罪分子首先需要引诱他们的受害者在电脑上访问钓鱼网站,并诱使他们输入网上银行的信息登录,同时将要求用户输入自己的手机号码,声称将向用户发送一个保护网上交易安全性的安全程序。当然,该程序的作用恰恰相反,犯罪分子发送短信中提供一个携带木马的手机程序链接。不过,该木马程序最终是否能够获得成功,取决于用户是否忽略了一些安全措施,例如在设置菜单上允许安装未知来源的应用程序,其次,点击了短信中的链接,并明确同意该应用程序的安装,并且同意应用程序申请的多项授权。一旦用户老老实实地按Zeus in the Mobile的要求操作,接下来手机收到的所有银行交易码将自动转发到犯罪分子的手机上,最后犯罪分子可以轻松地清空用户的银行账户。
通过上面对Zeus in the Mobile的介绍,不难明白我们完全可以保护自己。首先,我们应该尽可能地只在Google的Play商店下载应用程序,禁用“设置|安全|未知来源”的安装。为了增强安全性,使用Android 4.2及以上版本的用户应该启用“设置|安全|验证应用”功能。另外,在确认应用程序申请的授权时谨慎一些,如果根本弄不清楚是否应该授权,则可以考虑安装一个移动设备版的病毒扫描程序,目前此类程序大部分是免费的。
许多应用程序收集个人数据
智能手机上许多应用程序都收集用户的个人数据,这些数据的滥用会给用户带来极大的风险。这些应用程序中最具影响力的莫过于下载次数已经超过百万次的“最亮的手电筒”(英文名称Brightest Flashlight),该应用程序安装时申请GPS定位、文件控制权等一系列与手电筒功能毫不相干的权限,但是直到该应用程序收集用户信息的新闻出现在媒体的头条时,许多用户都一无所知。事实上,很多免费的应用程序都通过出售用户的个人数据给广告网络获利,这当中也包括“最亮的手电筒”。根据BitDefender的统计,大约有35%的应用程序会窥探用户的位置。而“最亮的手电筒”最具欺诈性的是,它让用户以为个人数据的收集是可以被阻止的,而实际上无论用户在软件上怎么设置,应用程序仍然会将收集的数据发送到网络上,这一指控已经被美国联邦贸易委员会证实。
如果不希望自己的个人数据也被贩卖,那么我们应该在安装应用程序时仔细地查看软件申请的权限,以“最亮的手电筒”为例,一个“手电筒“要求GPS定位和文件控制的权限实在是无论如何也解释不通的。除了仔细查看与个人信息相关的权限申请外,用于发送短信和拨打电话的权限更需要额外地注意,没有绝对的把握一定不能够授予应用程序这些权限。
应用程序引诱儿童内购
人们将在应用程序中购买其他应用程序或者资源的行为称为内购,例如在免费软件中购买正式版授权,或者在游戏中购买游戏币。这种内购的方式也可能给用户带来较大的损失,特别是偶尔会将设备交给小孩使用的家长,对于类似的应用程序,特别是免费游戏必须加倍小心。因为当设备在小孩手中时,很多应用程序会想方设法地引诱他们内购其他应用程序或者游戏币,以换取升级或加速游戏进度的功能,而类似的交易可能高达99美元。
考虑到内购的风险,目前在Android和iOS中执行购买的操作将需要输入密码,但在iOS中输入密码的请求间隔时间默认为15分钟,Android间隔时间则是30分钟。孩子完全有可能在我们输入密码为其安装一个免费游戏后,在很短的时间内已经使用内购功能。因而,在iOS中我们应该通过“设置|通用|访问限制”完全关闭应用程序的内购功能,并要求所有的购买都必须重新输入密码。而Android用户暂时没有类似的设置选项,因此,在将设备交给小孩前必须更谨慎。