菏澤電子吊秤分享:2014年APP廣告插件安全研究報告出爐
導讀:國內已經(jīng)涌現出上百家移動(dòng)廣告平臺,主要依靠在移動(dòng)應用中集成廣告插件,收取廣告主的展示費來(lái)盈利。艾媒咨詢(xún)《2013-2014年中國移動(dòng)廣告平臺行業(yè)觀(guān)察報告》顯示,2014年中國移動(dòng)廣告平臺市場(chǎng)整體規模將達到50.1億元。盡管市場(chǎng)規模不斷擴大,但國內移動(dòng)廣告平臺缺乏統一的行業(yè)標準,良莠不齊,給移動(dòng)安全帶來(lái)了一定的風(fēng)險和隱患。
360互聯(lián)網(wǎng)安全中心日前發(fā)布《2014年APP廣告插件安全研究報告》,針對當前安卓平臺1000款熱門(mén)應用中,zui流行的10款正規廠(chǎng)商廣告插件進(jìn)行了一次全面的安全性分析,數據顯示,10款APP廣告插件均涉及收集用戶(hù)隱私信息、濫用隱私權限的情況。此外,還存在消耗手機流量、躲避安全軟件檢測等行為,報告提到超六成的手機流量費用或被廣告插件所耗。令人擔憂(yōu)的是,目前市場(chǎng)上主流正規廣告插件均存在一定安全隱患,zui嚴重的甚至會(huì )導致手機中毒。
主流廣告插件存在安全漏洞可致手機中毒
360互聯(lián)網(wǎng)安全中心對十款主流廣告插件分析發(fā)現,共有3款插件存在兩種比較危險的安全漏洞。一種安全漏洞可能會(huì )導致廣告插件在自動(dòng)更新過(guò)程中,下載并安裝被篡改過(guò)的更新包或惡意更新包,進(jìn)而使用戶(hù)手機感染木馬病毒并面臨安全威脅。
而另一種安全漏洞更為危險,不法分子利用此漏洞,甚至可以在手機用戶(hù)觀(guān)看廣告的同時(shí)將手機中的文件、通訊錄、短信、賬號等私密信息竊走,還可以利用這一漏洞讓用戶(hù)手機感染木馬病毒。更為嚴重的是,3款存在漏洞的插件中,有1款同時(shí)存在上述兩種安全漏洞。
十款廣告插件均會(huì )收集用戶(hù)敏感隱私信息
《報告》顯示,在分析的10款廣告插件中,有8款會(huì )收集用戶(hù)的地理位置信息,7款會(huì )收集WiFi列表信息,4款收集安裝應用列表信息,3款收集信息。所有廣告插件均會(huì )全部收集用戶(hù)的五類(lèi)個(gè)人隱私信息:敏感隱私信息、手機*標識、聯(lián)網(wǎng)相關(guān)信息、手機硬件配置信息和軟件環(huán)境信息。
這意味著(zhù),手機用戶(hù)的地理位置、、應用列表、手機聯(lián)網(wǎng)方式以及硬件軟件信息都會(huì )被插件廠(chǎng)商獲取。這些信息可以讓插件廠(chǎng)商向特定的應用推廣廣告,但同時(shí),手機用戶(hù)的手機使用習慣、什么時(shí)間去過(guò)什么地方等隱私信息也會(huì )泄露,不法分子*可以將手機轉換為追蹤設備,可謂是觸目驚心。
一款插件zui多使用13項隱私權限
報告測試的10款廣告插件共使用了26項權限,zui多的一款使用了13項權限,平均每款插件使用了9.6項權限。100%的插件使用了讀取狀態(tài)的權限,70%的插件使用了獲取用戶(hù)地理位置的權限。20%的插件使用了的權限,10%的插件使用了發(fā)送短信的權限。所以,在某種程度上說(shuō),目前市場(chǎng)上的所有主流廣告插件,都存在隱私權限濫用的問(wèn)題。
目前手機應用過(guò)度申請甚至是濫用權限的情況非常嚴重,為了更多接受廣告,往往將插件廠(chǎng)商建議的權限全部聲明在應用中。而過(guò)度聲明則會(huì )導致在某個(gè)應用出現安全漏洞時(shí),廣告插件獲取的隱私權限都可以被攻擊,導致手機用戶(hù)的隱私被非法獲取。
62%的流量浪費在廣告插件上
強推廣告、干擾用戶(hù)和消耗流量是廣告插件主要的不良行為?!秷蟾妗分赋?,某些廣告插件除了會(huì )在應用中顯示各種類(lèi)型的廣告外,還會(huì )通過(guò)私自添加瀏覽器標簽,私自添加短信記錄、私自創(chuàng )建快捷方式等方法來(lái)強制向用戶(hù)推送廣告。手機廣告插件主要通過(guò)全系統插屏廣告和頻繁推送通知欄廣告干擾用戶(hù)。
廣告插件消耗用戶(hù)流量分為兩個(gè)方面,一是用戶(hù)在下載帶有廣告插件的應用時(shí),需要為廣告插件消耗的流量買(mǎi)單,二是運行帶有廣告插件的應用時(shí)廣告插件下載廣告數據會(huì )消耗手機流量。
以一款手電筒應用為例,這款手電筒的安裝文件大小約為2.9M;而將該應用中的所有廣告插件都祛除后重新生成的文件僅為1.1M,二者相差了1.8M,有廣告插件的手電筒程序是沒(méi)有廣告插件的手電筒程序的2.6倍。換個(gè)角度來(lái)看,就是當我們去應用商店下載這款手電筒程序,實(shí)際上約62%的流量都浪費在了廣告插件上。文/本報記者 吳琳琳
專(zhuān)家建議
注意保護手機用戶(hù)隱私數據
360手機安全專(zhuān)家建議,應用程序要合理使用隱私權限,并注意保護手機用戶(hù)的隱私數據。同時(shí),手機用戶(hù)盡量從安全可靠的應用市場(chǎng)等下載手機軟件;安裝軟件時(shí),注意觀(guān)察軟件權限,手機惡意廣告插件多通過(guò)篡改正常軟件來(lái)作惡,如一個(gè)連連看游戲,出現了發(fā)短信、訪(fǎng)問(wèn)相冊等與應用不相關(guān)的敏感權限,就帶有惡意性質(zhì)了;用具有惡意廣告攔截功能的手機安全軟件對廣告插件進(jìn)行管理。
菏澤電子吊秤分享:2014年APP廣告插件安全研究報告出爐