热点解读：手机安装软件当心引狼入室--理论

热点解读：手机安装软件当心引狼入室--理论本站　　一款壁纸软件居然会读取通讯录，一款游戏软件还能悄悄拨打用户电话——手机下载安装应用软件如今已是寻常事，但要当心了：有可能“引狼入室”

　　一款壁纸软件居然会读取通讯录，一款游戏软件还能悄悄拨打用户电话——手机下载安装应用软件如今已是寻常事，但要当心了：有可能“引狼入室”。5月13日，腾讯移动安全实验室发布今年一季度手机安全报告，显示手机用户的通讯录、短信、账号密码、位置信息等核心隐私正成为恶意软件窃取目标。日趋流行的手机支付，安全性亦因此遭遇严峻挑战。

　　2013年3月，一款名为“游戏杀手”的病毒，短时间内就感染了641款游戏软件，影响超过20万手机用户。这款软件正是在安卓操作系统上运行的。报告显示，手机恶意软件与手机病毒进一步增长，安卓系统已成为手机病毒肆虐的主要平台。

　　腾讯此次发布的报告显示，一季度，基于腾讯手机管家产品服务的腾讯移动安全实验室截获病毒包样本总数为97367个，环比增长52%，其中在安卓系统截获病毒样本包数占比95%。而据第三方调研报告的估算，目前安卓系统约占市场的70%左右，苹果iOS操作系统占20%—30%。

　　业内专家介绍，苹果手机使用的iOS操作系统是封闭式系统，相对稳定，不开放源代码。安卓系统则是彻彻底底的开放，任何一个获取了安卓系统源代码的机构或者个人都可以对系统进行修改和优化，手机用户可以通过多方渠道安装自己喜欢的应用，而不是必须安装通过官方验证或者从官方应用市场下载的软件。这一优越性同时也带来了安全隐患。

　　据了解，安卓手机病毒来源以电子市场与手机论坛为主。国内部分电子市场缺乏针对山寨或恶意软件的精准识别能力，许多制毒者或制毒机构抓住审核缺陷与安全漏洞，上传恶意软件或将热门软件二次打包植入恶意代码，可轻易绕过数字签名的审核机制，快速感染海量用户群。

　　据介绍，腾讯移动安全实验室抽取了近470万个软件包，统计发现有读取用户隐私权限相关操作的软件比例达到71%，也就是有超过333万个软件包同时申请了隐私权限，且含有读取用户隐私权限相关操作的代码。

　　在这333万个软件包中，读取设备识别信息与本机手机号的占61.75%与28.33%；读取地理位置信息的占28.27%；读取通讯录的占10.29%，读取短信的占4.22%；打开手机摄像头与录音器的分别占4.15%与3.75%；读取通线%；读取浏览器书签的占7.93%。

　　专家分析，并非所有针对用户隐私权限的读取都不合理，主要取决于其目的是否在功能必须的范畴之内。安全软件、系统管理软件、通讯软件、社交软件等针对用户的通讯录等隐私读取是在合理权限内；但是，如果一款游戏软件或壁纸软件需要读取用户通讯录和短信，肯定属于越权。

　　而在APP越权读取隐私现象中，某些不法应用开发者为了牟取利润，往往山寨某些知名应用，将其官方APP拆解后，在里面嵌入广告插件甚至恶意代码，这部分开发者被称之为“打包党”。含恶意广告插件类APP会给用户造成资费消耗、隐私泄露等多重危害。

　　比如，一款含广告插件的游戏APP“神庙逃亡”，可读取手机号、地理位置、拍照、浏览器书签等多项权限；而被打包了“病毒代码”的伪“神庙逃亡”还进一步获取了联系人、通话记录、发送短信、拨打电线项用户核心隐私权限。

　　读取用户隐私往往和牟利挂钩。据业内人士分析，收集地理位置、设备识别、本地手机号等信息后，可精准投放广告，并进行有效的用户消费行为分析，符合部分广告商的利益诉求，软件开发者也可因此分成。