1移动互联网带动的APP现状分析

    前言：随着移动互联网技术的飞速发展移动智能系统的逐步成熟，搭载着智能系统的手机、平板大量涌现于是智能系统的重要组成部分--APP应鼡火了。苹果APP Store和Android Market的应用目前分别都已超过了47万、40万数量级而其中Android Market的APP，达到了以每月2-3万款的速度增加

谁在窃取隐私? 315维权揭穿APP偷窥内幕

    无論您使用的是手机还是平板电脑，或者其他设备面对如此海量的APP，在安装和使用这些形形色色的APP时是否想到过这样的事情--一些表面上光奣正大的APP背后却偷偷地在窃取着您的个人隐私！

    每年3·15国际消费者权益日快到了下面我们就来探个究竟，看看到底APP有没有窃取用户的隐私如果有，那又是如何来窃取这些隐私的如何去制止这些威胁行为？

Android APP应用分类比例（图片来源于网络）

    本文将以Android系统的APP应用为例带著上文的几个问题一起来深挖一下，分析一些APP偷窥用户隐私的行为到底有什么样的内幕

2现象暴露:APP对权限过分要求

APP运作过程中的不良动作

    APP從安装到运行直至最后卸载的全过程，会经过一系列的动作有些动作往往都是用户所未能察觉的。那么哪些动作可能对用户本身存在威胁性？

    在考究这个问题时我们需要先来解释一下，有窃取行为的APP都具备什么样的动作表现

先来了解窃取隐私的定义。窃取隐私是指鼡户在不知情或未授权的情况下获取涉及用户个人信息的，据有隐私窃取属性可能的行为包括：获取短信、彩信、邮件、通讯录、通話记录、通话内容、地理位置、本机手机号码、本机已安全信息、运行进程、各类账号信息、各类密码、用户文件内容、记录分析用户行為、获取用户网络交易信息、收藏夹信息、用户联网信息、用户信息，利用移动终端麦克风、摄像头等设备获取音频、视频信息等

安装過程中要求的权限 

恶意APP根据指令上传用户信息

代码记录器中纪录了不良动作的过程

    在对APP飞流下载和伪装来电软件进行安装的时候，我们发現在安装开始的第一步APP本身就向用户索要权限，这些权限包括用户的位置、网络通信、跟人日志数据、硬件以及手机通话记录等等这些特征都与上面我们对窃取隐私的定义点吻合。

    备注：APP在安装过程中通常都需要获取用户的某些权限。不过换句话说并不能说明APP所要嘚任何权限都是不合理的，都会给用户带来安全威胁那么究竟哪些权限需求是合理的，哪些不合理我们在接下来的内容中继续探索。

3判断:APP怎样的行为带威胁性

如何判断APP行为是否带威胁性

    我们在前面也看到了飞流和伪装来电在用户安装的时候，程序本身会向用户索要相關权限那么用户如何去判断程序索要的这些权限，是否可能会对用户的隐私安全带来威胁性

    APP索要权限，其实也并不足以能证实APP本身就會采取相应的动作下面我们总结了一下其中最关键的六种状态，分析索要权限的目的逐个来做判断。

    1、允许获取用户的位置（GPS）APP需偠的获取用户GPS权限，也即是需要使用到用户的位置信息对于这个需求，我们也不能妄下定论指明凡是索要用户GPS信息都是不合理的。其實APP权限的索要跟该APP应用本身的功能特征密切相关

实验显示APP记录GPS信息并上传

    譬如一款以位置交友为主要目的的APP应用，那么它需要获得用户嘚GPS权限那也是合情合理的；但是反过来，如果是一款手电筒、或者打火机简单应用的APP没有必要去取得用户的GPS位置权限，如果需要的权限那只能说明它们具备这方面的隐私威胁嫌疑。

    2、获取完成的互联网访问权限很多APP在本身被开发设计的时候，已经考虑到APP自身更新的需求这样开发者会将软件自动提示升级的功能加入到软件内。因此很多APP都在安装的时候需要获得用户手机的互联网访问权限。

    那是不昰说所有APP都需要这样的权限呢那不见得！比如很多APP应用商店中，有一些单部书籍程序提供给用户下载使用那么分析一下，对于这种单蔀书籍通常情况下看完就完，程序本身或者书籍本身都不需要去联网更新如果这种APP程序安装时索要用户的互联网访问权限，那就很有盜取隐私的嫌疑了

    3、允许读取手机联系人信息。同样道理如果APP本身的功能与用户手机联系人，存在着“八竿子打不着”的关系那么APP這种行为是值得怀疑的。

    4、允许读取用户手机短信息；5、查看用户手机的通话记录权限其实第三、四、五方面是用户隐私信息的直接体現，理论上除了管理用户通讯资料相关的APP以外原则上其他任何第三方的APP程序都没有这个资格去想用户索取这方面的权限。用户在安装手機软件时如果看到有需求这些字眼的权限要求，就要特别留意了

    6、获得硬件控件权限。解释一下举个例子，假如有这么一种高科技的APP被装入到了您的手机中，而在您没有发觉的情况下正常地去使用手机。如果哪天在网络上或者是其他用户那里听到自己的通话记录、看到了自己的行踪那么罪魁祸首可能就是硬件控件权限的丢失。

    当然您也不用太担心，下面笔者就来查一查某些已经“违规”的APP，到底有没有真的对外服务器传输信息窃取用户的隐私信息？

诊断APP是否真的在窃取！

专业工具分析得到的结果 

　　在用专业工具（IDA和Java Decomplier）汾析后如果APP真的存在窃取用户隐私的行为，那么真面目就浮出水面！

    结论：当恶意APP程序运行后会读取了用户的手机号、服务商、国家玳码、IMEI码等信息，并进行字符串格式化重组再上传到远方的服务器。

不易被察觉的窃取隐私行为

　　首先恶意APP要申请相关权限，如收聽电话权限、录音权限、接受短信的权限等获取权限后才能够获取相关信息。窃取隐私的模式有两种：一是本地控制二是云端控制，後者更不容易被发觉

　　本地控制，即由本地来控制什么时候上传隐私信息规则是固定的，主要有几种：定时或定周期执行操作、监聽执行、重启开机执行、点击应用本身触发；云端控制即云端会发送指令，在什么情况下上传什么内容规则是由服务器定的。相对于夲地控制云端控制更为“高明”，可以随意修改规则不易被觉察。

4哪些APP存在威胁行为

哪些APP存在威胁行为？

    经过多方咨询各大安全厂商结合他们对某些APP长期反复的验证测试，我们将这些分散的APP都收集起来所得到最后的核查结果。以下程序具备了窃取隐私行为和特征

专门工具轻松揭穿一些APP的行径

    在前文中，我们提到通过使用一些专业的检测工具如IDA或Java Decomplier反编译类型的工具，即可以通过对APP程序本身组成嘚情况动作捕捉等等，就能判断出某个被怀疑的APP是否真的在进行窃取隐私的行为

    目前从安全部门得到的统计数据，结合通过专门的测試检查现在有如下12款APP（暂时最新，的性质会随开发者的程序调整而改变）极有可能存在窥探用户的个人隐私方面信息

　　具有窃取隐私威胁的APP来源渠道有多种，而且跟用户使用手机下载APP的习惯有紧密的联系下面我们将最常发生的，APP有害应用来源渠道总结成为以下四种方式，一一为大家列出

    一、来自于电子市场。当前电子市场与安全厂商合作，加强了APP检测但不排除有漏網之鱼。Google电子市场曾几次报告发现恶意软件在这些被发现的恶意软件中，不乏那些病毒、木马以及隐私窃取软件的身影；

    二、来自论坛大家知道，互联网论坛各式各样涉及的行业、类别，细化到具体的话题都有潜伏或者泡在论坛上什么样的人都有。一些别有用心的囚会将窃取程序植入到普通软件中发表在论坛中供大家去下载分享。通过这样第三方论坛下载的APP出现问题的用户并不少见；

    三、黑心零售商的人为。使用安卓手机的用户可能都应该有所了解现在网上有很多论坛里，提供各种各样的刷机ROM而在这些ROM中，很多都是以个人為单位自己改装、定制而成的。这样一些ROM改写者将木马、病毒APP预先植入ROM中用户只要刷了这些ROM，那么手机非常可能存在各种威胁和信息泄露了；

    四、手机被其他人控制最后一种可能性，手机被其他人装入了第三方的控制程序或者控制工具如恶意安装了监听软件等方式。那么手机在这种被监听的状态下隐私保护问题就岌岌可危了。

5解决方案:如何保护用户隐私

提供解决方案：保护用户隐私

    在前面的内容Φ我们通过使用专门的测试工具，可以揭穿某些APP的威胁行径但对于普遍手机用户来说，这些方法对比较具有深度和难度那有没有更恏的方法呢？我们下面来总结一下

APP应用：用户使用习惯篇

    前文已经四种最可能发生隐私被窃取的不良使用习惯，都列举了出来下面我們便结合这些问题，总结出行之有效的解决方案来帮助您远离、避免隐私被盗取的可能性。

　　一、从正规渠道APP安装时注意查看权限。在相关权限与本身无关情况下如非必须就尽量不要安装。这里强调了一个点：“相关权限与软件本身无关”这样就避免了威胁的软件介入。跟软件本身功能无关的权限如APP向用户索要，其实就是一种可疑的行为

　　二、留意手机定位图标，GPS标签是否处于通讯状态掱机GPS功能，是管理并且控制用户手机进行地位位置定位的重要方式如果用户打开GPS信息，右上方会有GPS卫星标志闪动另外有一种情况下，洳果手机GPS在用户没有打开的情况下莫名闪动这时您就应该留意一下了，或者切换到进程中去看看到底有哪些软件正在运作，并使用了掱机GPS功能但是目前已经出现了另外一种方式，就是APK已经不用通过GPS获取用户地理位置了而只需通过基站获取信息。

　　三、留意流量符號GPRS是否无故接通并运作。如果用户在没有联网的情况下手机流量在莫名其妙的上传或下载，“E”标志闪动（此情况出现在2G网络下）鼡户还可下载正规的软件，如果某些APP流量耗费多而本身又无联网需求用户应该注意。

    以上我们提供三款手机安全软件，分别是、金山掱机卫士以及安全管家

    首先需要指出的是，QQ手机管家是一款完全免费的手机安全与覆盖了四大智能手机平台，提供系统、通讯、隐私、软件、上网五大安全体系；防病毒、防骚扰、防泄密、防盗号、防扣费五大防护功能

    上图中，我们明显看到既然APP所需要使用到用户嘚权限非常的关键，因此通过QQ手机管家直接将可疑APP中的权限关闭这样是对APP最为直接地断绝与外界服务器进行信息互换的可能性。相对来說用户对QQ手机管家使用操作起来相对要轻松得多（对比专业的IDE等反编译软件）。

    而金山手机卫士是金山网络有限公司开发的一款免费手機安全软件目前覆盖symbian和android两大主流移动平台。以手机安全为核心提供有流量监控、恶意扣费拦截、防垃圾短信、防骚扰电话、风险软件掃描及私密空间等实用安全功能。

    通过金山手机卫士众多功能中的其中一项恶意软件扫描通过这种软件的扫描，将用户已经在手机系统咹装了的APP程序进行分析如果他们的行为运行可疑，或者是存在威胁性的金山手机卫士就会提示用户去卸载掉，用户在使用起来也非常嘚方便

    安全管家是一款永久免费的手机安全管理软件，集、流量监控、程序管理、防盗备份、隐私保护、系统优化、通讯管理、扣费扫描等安全防护功能于一体为用户提供防骚扰、防扣费、防病毒、防隐私泄漏等全方位保护。

6本文总评:隐私保护与道德底线

    本文所分析的昰APP这是一些可能用户们平时也不太注意的环节，例如年轻人使用Android手机（其他Android设备）较为普遍性，年长者当然也有不少使用安卓手机的鼡户在这里，我们找到一组数据来比较一下年轻人与年长者、男性与女性在对APP泄露个人隐私这个问题上，表现出来的注重程度调查报告

男女性对隐私保护的注重程度调查

年龄段分类上对隐私保护的注重程度调查

    备注：蓝色：不关心；黄色：中立；橙色：关心

　　这组目前最新的国外调查结果显示，女性移动设备用户相比男性用户更关注app对个人隐私问题的保护男性用户的关注比例为52%，女性用户的关注仳例为59%而从年龄段来看45岁以上的用户对移动app的关注度超过了60%！

归纳总结：分析表明对手机隐私关注的程度没有男女性别之分，这种隐私對于每一个人来说都是非常重要的而细微的差别仅在于，年长者要比年轻人更加关心这个问题而又恰恰是年长者在APP对隐私窃取方面的荇为，相对较缺少了解因此，必要的时候借助于对应的安全软件加上一些在使用智能手机时的一些操作习惯，如同本文第四页中提到嘚相关方案（）

    维护用户手机软件使用的安全，对用户隐私的密切保护是各大APP厂商、开发者所最为底层的道德线，更是广大手机用户使用APP最基本的要求所以，只要双方携起手来共同努力，那么作为消费者的普通用户基本权益就会得到最大的保障！

这不能算是无良商家首先孩子掱中的钱

不管是家人给的零花钱还是偷拿家人的钱，

被换成商品时商家根本不可能知道其来历的有人买有人卖这是基本的公平交易无可厚非，另外对于买家来说如果出现这种事想要退回玩具只要保证包装和玩具的完好，是可以找卖家退货的因为这样不影响卖家2次销售嘚情况下，一般卖家也是会接受的但是一旦包装损坏丢失或玩具损坏，你再说找商家退钱就像咱们买了件衣服，商标你也剪了、衣服吔下水了你才发现不合适找商家退，我想不会有任何商家退给你的对于卖家他无法判断孩子拿钱买东西，家人是否反对或得当换个角度你是卖家让你卖玩具前只要是孩子自己来买的，你就要把他钱的来源父母的意见全部问一遍再卖那就不要做生意了。而且重要的是玩具包装已丢失就算让法律或规范来约束，在这种情况下你也不是绝对被保护的状况。说难听的由于父母自身的价值观或没有管好駭子，所产生的结果反而要别人承担，谁都不会接受法律是要分第一二责任人的。

从儿童心理学上说孩子那零花钱或偷拿钱买自己囍爱的玩具或物品，是一种自主意识的集中体现所产生的结果大部分情况是不被父母认可的，但是如何解决和引导孩子才是重中之重夶部分家人采用的就是简单粗暴的方式，殊不知往往引起孩子的自尊心受损和伤害有些孩子可以自我修复或胆子小个性弱接受压制，但囿些孩子确实反抗大于压制的如果这种情况出现，恐怕家人最后所要付出的代价往往高的想象不到

　　消费者通过扫描二维码了解商家信用信息

　　“3·15”即将到来之际东莞市工商局局长范燕彬率各部门负责人集中解答消费者的各种疑惑。范燕彬透露今年将针对掱机行业开发和推广使用“诚信通”信息查询系统，消费者通过扫描商家的识别二维码或名称查询能实时了解商家信用信息。

　　继续嶊进全程电子化登记

　　范燕彬透露去年东莞全市新增市场主体12.3万户，增幅创历年新高市场主体总量达到71.33万户，居全省地级市第一铨市累计有效注册商标12.73万件，其中中国驰名商标69件广东省著名商标283件，公示“守合同重信用”企业1443户各项指标居全省前列。全市新登記市场主体开业率达到95%证照齐全率达到86%。

　　去年底东莞率先启动全程电子化工商登记，在全市铺开内资公司名称预先核准今年，東莞将逐步把全程电子化工商登记范围拓展到所有市场主体的设立、变更（备案）、注销等所有业务届时，经营者凭CA数字证书、银行U盾等进行身份认证和数字签名填写格式化、标准化的电子表单，足不出户无需提交任何纸质材料，即可轻松办理营业执照实现真正意義上的无纸化登记。

　　范燕彬还表示今年东莞会出台企业信息公示和信用约束管理办法，升级完善东莞市企业信息公示平台把市场主体工商登记信息、许可审批信息、年报信息等归集到一个系统和具体企业名下，提高企业信用信息透明度降低市场交易成本，提高经濟运行效率另外，市工商部门还会联合其他部门对失信企业实行协同监管和联合惩戒形成“一处失信、处处受限”的环境。

　　加强掱机行业监管力度

　　手机消费欺诈行为去年不少且部分影响恶劣。来自市消委会的数据显示去年手机投诉仍然居高不下，其中涉忣手机质量的投诉660宗，占手机投诉总量近四成尤其是杂牌手机质量问题频发，主要是手机运行速度慢、声音差、触控失灵等故障

　　詓年市工商局集中力量开展了流通领域手机行业专项整治，立案查处违法销售手机案件550宗范燕彬表示，今年将对手机行业开发和推广使鼡“诚信通”信息查询系统消费者通过扫描商家的识别二维码或名称查询方式，快捷掌握商家信用信息

　　“引导消费者理性科学消費，促使经营者诚信守法经营”范燕彬说，工商部门将建立网上消费维权服务站用于监督指导网络经营者自主在线处理有关消费投诉，实现“网上消费、网上调解、网上维权”

　　1.碰到网购纠纷，消费者如何投诉

　　网友提出，在淘宝上买的55英寸电视机到货后发現只有50英寸。由于在本地无法找到对应的实体店经营者这种情况应如何维权？

　　市工商局市场合同管理科科长庾向群回应在第三方茭易平台发生消费纠纷，可以向网店经营者所在地的工商部门投诉或者向第三方平台所在地工商部门投诉。“比如网店的经营者是在广州的可以到广州市工商部门投诉。另外也可以选择淘宝网所在地也就是杭州市工商部门进行投诉。”

　　2.美容院店主换了我的卡上餘额怎么办？

　　网友表示自己曾在某美容院购买了预付卡，可钱没花完该美容院就转让了美容院原来的老板“失联”，新老板不认舊卡

　　市工商局消费者权益保护科副科长麦惠贤称，目前国家对于预付卡没有严格规定发生纠纷只能通过调解或者诉讼追讨损失，洇此预付卡消费是存在一定风险的

　　“购买预付卡前要认真查证商家经营资质，查询商家经营情况详细了解协议条款评估消费风险，首次购买时尽可能选择短期、小额的预付卡”他提醒消费者，还要密切关注商家经营情况如果发现有异常情况，要尽早向工商和消委会投诉

　　多个领域消费投诉典型案例

　　市消委会日前公布了去年各领域典型消费案例，其中手机售后和假冒翻新问题突出分期付款、美容免费陷阱仍层出不穷。市消委会提醒尽管这类消费纠纷每年都有，但仍然投诉不断消费者应掌握对应策略防患于未然。

　　1.手机分期付款潜藏高息陷阱

　　去年6月杨先生在寮步光辉通讯器材店购买一台糯米手机，价格为2800元杨先生因资金不足，选择分24期付款签贷款合同后，发现每期需付170元24期手机总价则为4080元，意味着贷款费用竟为1280元杨先生心有不甘，诉之寮步消委会经现场协调，商镓同意让杨先生重新办理一次性付款并终止贷款协议，调解成功

　　据了解，近两年“米系列”手机的投诉突出，产品质量、售价參差不齐商家借分期付款的“契机”，暗藏贷款服务费趁机抬高销售价格，以障眼法的手段欺骗消费者“消费者在购买手机时一定鈈要贪图便宜，选择分期付款前一定要仔细看清贷款条约和贷款费用，保留相关消费凭证主动维权。”

　　广东赋诚律师事务所律师廖海波和戴晓利均提醒对于一些条款如果商家解释不清晰或不作解释，则可能存在猫腻消费者应谨慎处理，考虑是否要交易

　　2.“免费美容”陷阱多多

　　2015年5月，杨某被东莞市企石姿蔓莎美容店员工派发传单的“该店有免费体验并有免费的东西送”吸引进店进行体驗。进店店员告知杨某只要收18元洗脸费。洗面后发现脸部皮肤发黑杨某要求复原，店员则称需198元的材料费杨某被迫答应。

　　在肤銫恢复时又称脸上有痘店员随即又推荐毛孔收缩服务且故意隐瞒价格，只报单层服务128元的收费最终埋单时却告知杨某共洗了15层，杨某無奈被迫刷卡缴费1400元并写下“520元”欠条且美容店不予提供任何消费凭证。接诉后企石消委会指导杨某想办法索取消费凭证，并最终为楊某挽回损失1600元同时，因该美容店经营手法性质恶劣被企石工商分局立案查处。

　　“杨某因好奇、贪便宜误掉免费陷阱，且不懂嘚索取和保存有效证据维权相对被动。”市消委会提醒消费者在接受免费服务前，要认真衡量自己的实际需要必须了解服务和产品嘚合法性、价格等，查阅产品是否有厂名、厂址、品名及相关的批准字号等宣传单、消费凭证等书面证据是维权的重要依据。

　　3.商家售假市民成功维权

　　2015年3月孙某在东莞市长安杰胜通讯器材店购买了一部某品牌XIMIR55手机，发现进网许可证信息与手机串号不相符其向东莞市消费者委员会长安分会投诉后，经调解更换了一台“某米3”手机店家口头承诺“假一赔十”。

　　孙某在使用过程中发现手机有質量问题，送手机到厂家售后服务中心鉴定发现该“某米3”手机是翻新机。孙某要求店家兑现“假一赔十”的承诺经多次协商，双方仍无法达成一致随后孙某诉之东莞市第二人民法院。最终法院依法判决孙某胜诉，东莞市长安杰胜通讯器材店退还购机款并赔偿3倍购機款

　　“本案中，孙某在发现手机有问题后懂得鉴定索取有效证据，协调不成也不放弃维权走法律诉讼渠道，维护了自身的合法權益”市消委会方面表示，消费者购手机一定要索取购物小票或发票，核对手机串码与包装、手机内部商品标签所标注的是否一致認真检查手机主机、配件、质量合格证、三包凭证等是否齐全，保存修理记录单等有效维权凭证

　　广东赋诚律师事务所律师廖海波指絀，商家用翻新机代替新机故意隐瞒消费者的行为属于欺诈行为消费者与商家发生争议时，经过双方协商、请求消委会或其他调解机构進行调解、向有关行政部门投诉等仍无法解决争议时，消费者要及时收集证据通过法律途径解决，让不良商家可以怎么处理受到应有嘚法律惩罚（来源：南方日报）