不少人都會在手機上安裝“手電筒”APP，以備不時之需。殊不知，這種不起眼的軟件也可能“偷”走你的隱私。美國一家知名的電子安全公司“偵探墻”這幾天警告說，“手電筒”這種不起眼的APP，居然也會把手機位置、使用者具體信息、聯(lián)系人甚至短信內容等偷偷發(fā)送給市場研究公司或廣告公司。與此同時，360互聯(lián)網安全中心日前對最流行的10款正規(guī)廠商廣告插件進行了一次全面的安全性分析，結果發(fā)現(xiàn)十款APP廣告插件均涉及收集用戶隱私信息、濫用隱私權限的情況，還存在消耗手機流量、躲避安全軟件檢測等行為。

　　技術專家提醒，在下載免費軟件時一定要留點心眼，因為免費軟件的盈利模式之一就是向第三方出售客戶的數(shù)據。

　　“手電筒”居然要求用戶開放7項權限

　　在很多人的印象里，“手電筒”只是將手機背后的閃光燈長時間亮起以提供照明的軟件，可以說是“小兒科中的小兒科”，幾乎沒有什么技術含量。而且這種應用與地圖、交友什么的不一樣，完全是一種單方行為，所以程序一定很簡單。

　　昨日，記者在手機上自帶的“安卓市場”里，下載了幾款“手電筒”APP。然而，在安裝這些不同出品方出品的“手電筒”軟件后，記者發(fā)現(xiàn)，這種僅需使用手機閃光燈的軟件，在安裝時居然也提示手機用戶開放7個權限，其中包括讀取通訊錄、通話狀態(tài)和身份，以及拍照和視頻功能。更離譜的是，安裝這些手機軟件時，用戶根本沒有權利選擇開放哪些功能。在軟件下載完成后，安裝界面沒有提供勾選開放或關閉某些權限的功能，只能默認全都開放，或者干脆取消安裝。在這種情況下，絕大多數(shù)人都會選擇接受。

　　隨后，記者又使用安卓手機下載了多款不同類型的軟件。在安裝“58同城”時，提示需要開放個人信息、地理位置、網絡通訊、賬戶信息等15項權限。這15項權限中，地理位置用于同城定位、網絡通訊用于網絡連接及訪問，這些權限的開放，確實是功能所需。但其中一項個人信息的權限開放，卻標明要查閱敏感日志數(shù)據。而記者隨后下載的一個“隨身筆記”軟件，居然也同樣提示需要開放個人信息、地理位置、網絡通訊、賬戶信息等15項權限。

　　記者遭遇的這一情況，也被剛剛發(fā)布的行業(yè)報告證實。昨日，360互聯(lián)網安全中心向記者提供了《2014年APP廣告插件安全研究報告》。它針對當前安卓平臺1000款熱門應用中最流行的10款正規(guī)廠商廣告插件進行了一次全面的安全性分析。研究數(shù)據顯示，10款APP廣告插件均涉及收集用戶隱私信息、濫用隱私權限的情況，此外還存在消耗手機流量、躲避安全軟件檢測等多種不良行為。令人擔憂的是，目前市場上主流正規(guī)廣告插件均存在一定安全隱患，最嚴重的甚至會導致手機中毒。

　　記者了解到，上述報告所測試的10款廣告插件共使用了26項權限，最多的一款使用了13項權限，平均每款插件使用了9.6項權限。100%的插件使用了讀取電話狀態(tài)的權限，70%的插件使用了獲取用戶地理位置的權限，20%的插件使用了撥打電話的權限，10%的插件使用了發(fā)送短信的權限。所以，在某種程度上說，目前市場上的所有主流廣告插件都存在隱私權限濫用的問題。此外，在上述10款廣告插件中，有8款會收集用戶的地理位置信息，7款會收集WiFi列表信息，4款會收集安裝應用列表信息，3款會收集電話號碼信息。所有廣告插件均會全部收集用戶的五類個人隱私信息：敏感隱私信息、手機唯一標識、聯(lián)網相關信息、手機硬件配置信息和軟件環(huán)境信息。

　　這也就意味著手機用戶的地理位置、手機號碼、應用列表、手機聯(lián)網方式以及硬件軟件信息都會被插件廠商獲取。這些信息可以讓插件廠商向特定的應用推廣廣告，但同時，手機用戶的手機使用習慣、什么時間去過什么地方等隱私信息也會泄露，不法分子完全可以將手機轉換為追蹤設備，可謂觸目驚心。

　　權限一開放用戶隱私就被出售

　　既然手機APP可以向他人傳送信息，那么權限被開放后，我們的隱私被傳送到哪兒了呢?“要看到隱私去哪兒了，必須通過后臺代碼來分析!”360手機安全專家潘巨敏告訴記者，為了清楚地看到隱私的去向，他做過一次實驗，就是將手機連接上電腦，同時開始下載軟件。他找了一款軟件安裝完成后，發(fā)現(xiàn)其后臺立即顯示出一連串代碼數(shù)據，其中包括通訊錄中的手機號碼等數(shù)據。“安裝運行完成后，這款軟件就開始偷偷在后臺上傳跟功能絲毫不相關的手機號等信息，這些信息最終的去處是遠端的黑客服務器。”也就是說，遠端的黑客服務器在得到這些數(shù)據后，可以在用戶毫不知情的情況下，下載更多惡意軟件，“遠端的服務器上可以任意查看你的信息內容，包括銀行賬戶、密碼等。”

　　“一般泄露出來的個人信息會被用來分析，當然不排除通過地下產業(yè)進行流轉，用于推廣或發(fā)送廣告信息等。”360手機安全專家朱翼鵬告訴記者，一旦涉及用戶隱私的權限對某個應用放開，就等于把隱私毫無保留地貢獻給應用開發(fā)商。一些流氓軟件可能直接賣掉用戶手機里的資料，或者榨取更隱私的信息，比如銀行賬戶等。而目前手機應用過度申請甚至是濫用權限的情況非常嚴重，開發(fā)者為了更多地接受廣告，往往將插件廠商建議的權限全部聲明在應用中。而過度聲明則會導致在某個應用出現(xiàn)安全漏洞時，廣告插件獲取的隱私權限都可以被攻擊，導致手機用戶的隱私被非法獲取。

　　因此，裝軟件時，手機用戶一定要注意觀察軟件權限，手機惡意廣告插件多通過篡改正常軟件來作惡，如一個連連看游戲，出現(xiàn)了發(fā)短信、訪問相冊等與應用不相關的敏感權限，就帶有惡意性質了;手機安全軟件可以對權限進行關閉，用戶可以定期使用安全軟件對手機進行檢測，及時對應用程序申請的不必要權限進行管理限制。

　　62%的流量費用或被廣告插件所耗

　　手機APP不僅賣我們的信息，還強推廣告、干擾用戶和消耗流量。上述報告指出，某些廣告插件除了會在應用中顯示各種類型的廣告外，還會通過私自添加瀏覽器標簽、私自添加短信記錄、私自創(chuàng)建快捷方式等方法來強制向用戶推送廣告。手機廣告插件主要通過全系統(tǒng)插屏廣告和頻繁推送通知欄廣告干擾用戶。

　　廣告插件消耗用戶流量分為兩個方面：一是用戶在下載帶有廣告插件的應用時，需要為廣告插件消耗的流量買單;二是運行帶有廣告插件的應用時所下載的廣告數(shù)據會消耗手機流量。

　　以一款手電筒應用為例，這款手電筒的安裝文件大小約為2.9M，而將該應用中的所有廣告插件都去除后重新生成的文件僅為1.1M，二者相差了1.8M，有廣告插件的手電筒程序是沒有廣告插件的手電筒程序的2.6倍。換個角度來看，就是當我們去應用商店下載這款手電筒程序時，實際上約62%的流量都浪費在了廣告插件上。