【编者按】对android和ios前200名应用程序的一项调查显示,免费的应用程序存在很大的安全问题,就算是付费的应用程序也有可能把你卖了。
事实上,每个人都明白移动应用程序充满了风险和未知的行为,甚至在你安装应用程序的时候就已经知晓了。移动应用程序安全供应商appthority最新2014app信誉报告提供了一份对目前知名app中存在的风险的类型和频率的综述。
appthority为企业提供了app信誉服务,帮助企业的it部门能够对特定的企业员工设置不同的it规则政策,接受移动应用程序的不同形式和风险。appthority从应用商店搜集应用程序然后对应用程序的行为进行分析,例如位置跟踪行为进行评分,然后利用这些得分数据创建报告。
这份报告主要针对google 和 apple 应用商店里的前200名应用程序进行了分析,自动去年appthority最后一份报告发布后,排名前100名的应用程序中,将近50%的应用程序已经做了改变。这就使得人工管理式的白名单和黑名单变得不实际了。
不仅仅是免费的应用程序,付费的应用程序中也出现了不安全的行为,只不过免费的应用程序的不安全行为尺度更大而已。70%的免费应用程序和44%的付费应用程序都存在位置跟踪行为,而且这些行为经常是在没有任何实际意义的情况下进行的。
此外,单点登录的问题,访问用户的udid、在应用程序内购买和广告网络、分析公司的数据共享等行为都被提及。因为登录凭证的的损失可能危及所有该用户的单点登录的网站,如社交网络,所以单点登录被认为是危险的。而且,同一个单点登录访问的应用程序授予的任何权限对于单点登录的站点是是适用,例如,你如果在应用程序中使用了facebook,同时将访问联系人列表的权限授予了应用程序,那么facebook也将可以访问你的联系人列表。
访问用户的udid曾经是标准的做法,但是ios之后苹果就禁止开发者对udid进行访问了,同时也提供了替代方案。udid的使用下降了一段时间,但是ios的辈分级别仍然在android之上。而应用内购买只能是在用户的手机账单上终结。
报告重点:
*安卓市场和ios应用商店中,排名前200的应用程序中,56%的应用访问udid,而其中免费的安卓游戏应用程序都对udid进行了访问。
*31%的免费应用程序和22%的付费应用程序都有访问用户联系人列表和地址簿的权限。
*58%的知名免费android应用程序与广告网络商共享收据,付费应用程序的比例为24%.
*游戏应用程序并非总是最不安全的,总体来说,tameness有类似的特征。
appthority也发布了两个新的特征:他们有一些政策可以帮助企业预估自己的风险状况,同时为不同风险级别的企业制定相对应的it政策。
编辑观点:
移动互联网的发展,带动了移动app应用的火爆,但每一个事物的发展都如硬币的两面,带来好处的同时也总是会带来负面影响,移动app也不例外。移动应用(app)就存在巨大的风险,其中用户隐私数据的泄露逐渐受到大众的关注。
就如文章开头所说的,在安装应用前,大多数用户也许已经都已留意到了该程序需要调取的权限,但在不同意就无法安装应用程序或是牺牲一些权限或者应用程序服务上,大多数用户用户都选择了后者,而应用程序正是利用了相关功能的调用权限,悄悄地盗走用户的隐私信息。
有业内人士认为,谷歌对android的开放策略给隐私盗取者留下了大量的可乘之机,但事实上封闭的ios平台仍然也存在相同的问题。由于智能手机大部分用户难以获得root权限,因此即使知道自己的隐私被抓取,也无可奈何,对于一些手机预装的应用程序,用户甚至无法删除。
个人认为面对目前的状况,移动app开发的相关规定应该提上立法的议程,因为几乎所有移动app再搜集个人隐私上毫无技术难题,那么限制这些app搜集信息的行为就要靠立法。
上一篇: 爱加密分析:移动支付背后的安全隐患
下一篇: 爱加密支招:手机支付安全小提示