1季度手机安全报告出炉 盗版软件疯狂窃取隐私

　　权限读取对比表。资料图片

　　5月13日，腾讯移动安全实验室发布了《2013年1季度手机安全报告》。报告显示，2013年第一季度，隐私窃取类病毒占据比例持续上升，伪装性进一步增强，病毒制作者或制作机构通过综合各种手段拓宽隐私窃取类病毒的投放渠道与优化病毒感染方式，使得隐私窃取类病毒也呈现出了多元化特征，危害性大大增强。

　　盗版“神庙逃亡”狂窃用户隐私

　　“神庙逃亡”是目前具有相当高人气的经典跑酷游戏。但针对在Google Play上下载的官方正版Temple Run(“神庙逃亡”)、含广告插件版Temple Run(以下简称”神庙逃亡”)、被植入了病毒代码的伪“神庙逃亡”三个版本的软件权限读取情况进行对比研究。监测统计发现，官方正版的“神庙逃亡”没有读取隐私权限。含广告插件的“神庙逃亡”读取了手机号、GPS、IMEI和IMSI、拍照、浏览器书签、弹通知栏通知共6项权限；而被打包了“病毒代码”的伪“神庙逃亡”则读取了11项权限，在广告插件类“神庙逃亡”读取的6项权限的基础上，还获取了联系人、通话记录、发送短信、拨打电话这4项用户核心隐私权限，用户的关键隐私遭受严重威胁。

　　通过对“神庙逃亡”这款软件在官方正版、广告插件或病毒代码打包的三种情况下对比权限读取情况发现，病毒软件获取的隐私权限最多，其次是含广告插件的“神庙逃亡”APP。因此可以看出，除隐私窃取类病毒外，部分不正规广告插件类APP也正成为手机用户隐私的一大威胁。在这些不正规广告插件类APP大规模读取用户隐私背后，“打包党”(某些不法应用开发者为了牟取利润，往往山寨某些知名应用，将其官方APP拆解后，在里面嵌入广告插件甚至恶意代码，这部分开发者被业内称之为“打包党”)则是罪魁祸首。

　　“打包党”四步嵌入广告代码

　　四步法嵌入广告代码图解。资料图片

　　隐私窃取类手机病毒与广告插件类APP正成为用户隐私的巨大威胁。监测数据显示，许多知名软件被二次打包后，植入广告插件或病毒，会通过该插件窃取用户隐私之余，还会无休止的弹出通知栏广告或内置banner广告。

　　专家建议，针对目前含广告插件类APP大规模读取用户隐私的现状，各手机用户应多留意各软件的隐私权限，手机用户可以通过“隐私监控”功能，禁止某些软件的过度隐私权限要求；一般来说，许多恶意软件的过度隐私权限的要求，腾讯手机管家都会弹窗提醒用户注意。若有莫名的敏感隐私权限要求，用户应及时通过腾讯手机管家拒绝，保护手机隐私。(赵晓慧)