如何解決開(kāi)放性與安全性的矛盾，這或許是安卓產(chǎn)業(yè)鏈業(yè)者所需要思考的問(wèn)題。

　　據(jù)中國(guó)互聯(lián)網(wǎng)數(shù)據(jù)中心數(shù)據(jù)顯示，在國(guó)內(nèi)各類(lèi)Android市場(chǎng)下載量前1400位的APP內(nèi)，有66.9%的智能手機(jī)移動(dòng)應(yīng)用在抓取用戶(hù)隱私數(shù)據(jù)，其中，34.5%的移動(dòng)應(yīng)用有“隱私越軌”行為。

　　“隱私越軌”行為是指APP抓取用戶(hù)隱私信息并非APP服務(wù)功能所必需。

　　報(bào)告認(rèn)為，61%的短信記錄讀取權(quán)限，73%的通話(huà)記錄讀取權(quán)限，是移動(dòng)應(yīng)用功能中不必要的權(quán)限，即存在“隱私越軌”行為。

　　《第一財(cái)經(jīng)日?qǐng)?bào)》記者采訪(fǎng)中發(fā)現(xiàn)，一些第三方應(yīng)用通過(guò)出售信息、繞開(kāi)安全應(yīng)用與硬件廠(chǎng)商聯(lián)合牟利的現(xiàn)象也大量存在。

　　“隱私越軌”愈演愈烈

　　騰訊移動(dòng)安全實(shí)驗(yàn)室專(zhuān)家陸兆華對(duì)《第一財(cái)經(jīng)日?qǐng)?bào)》表示，APP讀取用戶(hù)隱私正在被大眾逐步地認(rèn)知，但這一現(xiàn)象也在進(jìn)一步抬頭，向竊取用戶(hù)核心隱私的趨勢(shì)正在加強(qiáng)。

　　截至2013年第一季度，據(jù)騰訊移動(dòng)安全實(shí)驗(yàn)室軟件池?cái)?shù)據(jù)分析顯示，含廣告插件的APP總數(shù)為2038139個(gè)，在所有軟件樣本中占比43.5%;廣告插件類(lèi)APP已成為手機(jī)用戶(hù)隱私的巨大威脅。

　　上述機(jī)構(gòu)還抽取了近470萬(wàn)個(gè)軟件包進(jìn)行代碼掃描，分析軟件中是否同時(shí)含有申請(qǐng)隱私權(quán)限以及讀取隱私信息的API結(jié)果相關(guān)代碼問(wèn)題。統(tǒng)計(jì)發(fā)現(xiàn)：有讀取用戶(hù)隱私權(quán)限的相關(guān)操作的軟件比例達(dá)到71%，即有超過(guò)333萬(wàn)個(gè)軟件包同時(shí)申請(qǐng)了隱私權(quán)限，且含有讀取用戶(hù)的隱私權(quán)限相關(guān)操作的代碼。

　　其中在這333萬(wàn)個(gè)軟件中，讀取設(shè)備識(shí)別信息與本機(jī)手機(jī)號(hào)的占比61.75%與28.33%;讀取地理位置信息的占比28.27%;讀取通訊錄的占比10.29%，讀取短信的占比4.22%;打開(kāi)手機(jī)攝像頭與錄音器的分別占據(jù)4.15%與3.75%的比例;讀取通話(huà)記錄的占比2.86%;讀取瀏覽器書(shū)簽的占比7.93%。

　　陸兆華表示，一款應(yīng)用是否屬于過(guò)度讀取隱私權(quán)限，主要是看該款軟件讀取該項(xiàng)隱私權(quán)限是基于什么目的，即是否屬于功能必需的范疇之內(nèi)，反之則屬于“隱私越軌”行為。

　　一般而言，安全軟件、系統(tǒng)管理軟件、通訊軟件、社交軟件等軟件針對(duì)用戶(hù)的通訊錄等隱私讀取是在合理的權(quán)限之內(nèi)，而LBS、手機(jī)地圖軟件、導(dǎo)航軟件等針對(duì)用戶(hù)的地理位置讀取與定位也屬于合法的權(quán)限范疇等。但例如一款游戲軟件或壁紙軟件需要讀取用戶(hù)的通訊錄和短信信息則大可不必。

　　360方面人士也對(duì)記者表示，2013年上半年的熱門(mén)應(yīng)用中，一款應(yīng)用擁有1~5個(gè)隱私權(quán)限的應(yīng)用比例達(dá)64.5%,擁有6~10個(gè)隱私權(quán)限的應(yīng)用占28%,11個(gè)以上權(quán)限也要占4.9%,不申請(qǐng)任何隱私權(quán)限的僅為2.6%。

　　以熱門(mén)手機(jī)游戲“神廟逃亡”為例，騰訊手機(jī)管家針對(duì)在Google Play上下載的官方正版Temple Run(“神廟逃亡”)、含廣告插件版Temple Run(以下簡(jiǎn)稱(chēng)”神廟逃亡”)、被植入了病毒代碼的偽 “神廟逃亡”三個(gè)版本的軟件權(quán)限讀取情況進(jìn)行了對(duì)比研究，結(jié)果統(tǒng)計(jì)發(fā)現(xiàn)，官方正版的“神廟逃亡”沒(méi)有讀取隱私權(quán)限;而含廣告插件的“神廟逃亡”讀取了手機(jī)號(hào)、GPS、IMEI和IMSI、拍照、瀏覽器書(shū)簽、彈通知欄通知共6項(xiàng)權(quán)限;被打包了“病毒代碼”的偽“神廟逃亡”則讀取了11項(xiàng)權(quán)限，在廣告插件類(lèi)“神廟逃亡”讀取的6項(xiàng)權(quán)限的基礎(chǔ)上，還獲取了聯(lián)系人、通話(huà)記錄、發(fā)送短信、撥打電話(huà)這4項(xiàng)用戶(hù)核心隱私權(quán)限，用戶(hù)的關(guān)鍵隱私遭受?chē)?yán)重威脅。

　　“隱私”背后的商業(yè)牟利

　　這些被泄露的用戶(hù)隱私，變現(xiàn)的渠道包括用戶(hù)隱私信息的出售，以及自身的廣告推廣。而獲得用戶(hù)隱私信息的買(mǎi)家，則可能用于垃圾短信、騷擾甚至詐騙電話(huà)等，或者為廣告公司牟利。

　　陸兆華稱(chēng)，由于收集地理位置、設(shè)備識(shí)別信息、本地手機(jī)號(hào)可面向固定而穩(wěn)定的手機(jī)用戶(hù)群精準(zhǔn)匹配與投放相應(yīng)的廣告，并進(jìn)行有效的用戶(hù)消費(fèi)行為分析，符合部分急功近利的廣告商的利益訴求，APP開(kāi)發(fā)者也可以因此而獲取廣告分成，因而獲取這類(lèi)信息成為某些不正規(guī)廣告商與APP開(kāi)發(fā)者共同的核心利益。

　　而與此同時(shí)，廣告插件類(lèi)APP讀取聯(lián)系人、通訊錄等核心隱私的現(xiàn)象也大規(guī)模存在。

　　聯(lián)想移動(dòng)終端事業(yè)部軟件產(chǎn)品經(jīng)理陳宇對(duì)《第一財(cái)經(jīng)日?qǐng)?bào)》表示，對(duì)第三方應(yīng)用開(kāi)發(fā)者來(lái)說(shuō)，他們希望調(diào)用的用戶(hù)權(quán)限越多越好。

　　調(diào)用用戶(hù)權(quán)限越多，就越了解用戶(hù)信息，越接近ROM(存放手機(jī)固件代碼的存儲(chǔ)器，近似于操作系統(tǒng))的價(jià)值，其商業(yè)價(jià)值就越大。

　　通過(guò)查看一款手機(jī)應(yīng)用調(diào)用了哪些權(quán)限，如果這些權(quán)限不是拿去出售而是自用，也可以大致了解該應(yīng)用未來(lái)可能涉及的一些商業(yè)模式。

　　本報(bào)記者發(fā)現(xiàn)，某知名手機(jī)輸入法應(yīng)用讀取的用戶(hù)權(quán)限包括5種，分別是：獲取短信內(nèi)容、獲取聯(lián)系人、獲取通話(huà)記錄、手機(jī)定位以及獲取手機(jī)識(shí)別碼。

　　據(jù)該軟件一名內(nèi)部人士稱(chēng)，“獲取手機(jī)識(shí)別碼”基本是每一個(gè)手機(jī)應(yīng)用都會(huì)調(diào)用的權(quán)限，主要為了獲取該手機(jī)的型號(hào)來(lái)進(jìn)行應(yīng)用適配，以及本地手機(jī)號(hào)碼作為登錄賬戶(hù);而“獲取短信內(nèi)容”，是為了方便讓輸入法做到快捷輸入;“獲取聯(lián)系人”是為了導(dǎo)入用戶(hù)的好友聯(lián)系人來(lái)優(yōu)化詞庫(kù)，也是為了方便用戶(hù)在手機(jī)上的便捷輸入;而“手機(jī)定位”則是為了擴(kuò)充輸入法應(yīng)用基于用戶(hù)流量的商業(yè)模式，比如你用輸入法敲打“餐館”這個(gè)詞，輸入法可能會(huì)基于你所在的地理位置來(lái)推薦附近的餐廳。

　　但上述人士對(duì)一款輸入法應(yīng)用為何要“獲取通話(huà)記錄”則未做更多解釋。據(jù)調(diào)查，調(diào)用“獲取通話(huà)記錄”權(quán)限的熱門(mén)應(yīng)用還包括百度地圖、微信、手機(jī)QQ等。

　　金山安全反病毒工程師李鐵軍對(duì)《第一財(cái)經(jīng)日?qǐng)?bào)》表示，一些應(yīng)用調(diào)用“獲取通話(huà)記錄”權(quán)限主要是為了獲悉用戶(hù)的通話(huà)狀態(tài)，在用戶(hù)來(lái)電話(huà)時(shí)，軟件會(huì)采取相應(yīng)的動(dòng)作。例如，音樂(lè)類(lèi)應(yīng)用，當(dāng)用戶(hù)接電話(huà)時(shí)，需要暫停音樂(lè)播放。而一些語(yǔ)音類(lèi)應(yīng)用也可能會(huì)調(diào)用該權(quán)限，但如果是其他種類(lèi)應(yīng)用調(diào)用該權(quán)限的目的就不好說(shuō)了。

　　還有一些應(yīng)用還調(diào)取了“發(fā)送短信”的權(quán)限。例如，天氣類(lèi)工具應(yīng)用墨跡天氣，可能是出于功能上對(duì)天氣服務(wù)的短信推送需要。而其他的一些應(yīng)用調(diào)取該權(quán)限，也可能是需要通過(guò)發(fā)送短信來(lái)認(rèn)證注冊(cè)。但在申請(qǐng)得到了該權(quán)限后，第三方應(yīng)用未來(lái)會(huì)否涉足非法行為，這就依賴(lài)于監(jiān)管了。

　　為了獲得收益，一些應(yīng)用商店在熱門(mén)軟件中植入惡意廣告和病毒木馬，并通過(guò)應(yīng)用軟件升級(jí)來(lái)切換成自己開(kāi)發(fā)的“偽應(yīng)用”的事情也屢有發(fā)生。此外，今年1月，通過(guò)MDK后門(mén)程序，控制者可以隨時(shí)竊取并上傳用戶(hù)短信內(nèi)容、私人照片和通訊錄，并在后臺(tái)悄悄下載大量軟件，也會(huì)消耗大量手機(jī)流量。

　　陳宇表示，目前一些對(duì)外宣傳可以屏蔽第三方應(yīng)用權(quán)限的安全軟件，也并非能做到真正地屏蔽。例如調(diào)用“獲取手機(jī)定位”權(quán)限的應(yīng)用，如果安全軟件直接屏蔽掉該功能可能導(dǎo)致用戶(hù)無(wú)法啟動(dòng)該應(yīng)用，而一些安全軟件的做法就是通過(guò)給該應(yīng)用輸出一些虛擬的地理位置信息，來(lái)達(dá)到保護(hù)用戶(hù)隱私的目的。

　　為了能更多地獲取用戶(hù)信息，一些手機(jī)應(yīng)用干脆繞開(kāi)安全軟件直接與手機(jī)硬件廠(chǎng)商合作。

　　有要求匿名的業(yè)內(nèi)人士對(duì)記者表示，這是因?yàn)�，在PC端，由于微軟開(kāi)放了Admin權(quán)限(用戶(hù)管理者權(quán)限)，因此一些桌面客戶(hù)端可以將該權(quán)限拿走，而屏蔽競(jìng)爭(zhēng)對(duì)手的客戶(hù)端，于是有了3Q大戰(zhàn)的爆發(fā);但在手機(jī)移動(dòng)端，只有手機(jī)硬件廠(chǎng)商才有基于A(yíng)ndroid系統(tǒng)的用戶(hù)管理者權(quán)限(ROOT)，而其他的第三方應(yīng)用包括第三方基于A(yíng)ndroid系統(tǒng)之上的ROM開(kāi)發(fā)商都沒(méi)有該權(quán)限，因此手機(jī)硬件廠(chǎng)商享有最高的用戶(hù)安全級(jí)別。

　　去年6月，工信部推出《關(guān)于加強(qiáng)移動(dòng)智能終端進(jìn)網(wǎng)管理的通知》(征求意見(jiàn)稿)，提出要對(duì)提供APP的第三方平臺(tái)實(shí)行備案制，對(duì)APP應(yīng)用實(shí)行實(shí)名制。但也有觀(guān)點(diǎn)認(rèn)為，對(duì)數(shù)以百萬(wàn)的APP應(yīng)用，備案制顯然難以操作，并給開(kāi)發(fā)者帶來(lái)額外成本。保護(hù)用戶(hù)隱私已經(jīng)成為移動(dòng)互聯(lián)網(wǎng)普及的待解難題。