以熱門手機(jī)游戲“神廟逃亡”為例，騰訊手機(jī)管家針對在Google Play上下載的官方正版Temple Run(“神廟逃亡”)、含廣告插件版Temple Run(以下簡稱”神廟逃亡”)、被植入了病毒代碼的偽 “神廟逃亡”三個版本的軟件權(quán)限讀取情況進(jìn)行了對比研究，結(jié)果統(tǒng)計發(fā)現(xiàn)，官方正版的“神廟逃亡”沒有讀取隱私權(quán)限；而含廣告插件的“神廟逃亡”讀取了手機(jī)號、GPS、IMEI和IMSI、拍照、瀏覽器書簽、彈通知欄通知共6項權(quán)限；被打包了“病毒代碼”的偽“神廟逃亡”則讀取了11項權(quán)限，在廣告插件類“神廟逃亡”讀取的6項權(quán)限的基礎(chǔ)上，還獲取了聯(lián)系人、通話記錄、發(fā)送短信、撥打電話這4項用戶核心隱私權(quán)限，用戶的關(guān)鍵隱私遭受嚴(yán)重威脅。
■“隱私”背后的商業(yè)牟利
這些被泄露的用戶隱私，變現(xiàn)的渠道包括用戶隱私信息的出售，以及自身的廣告推廣。而獲得用戶隱私信息的買家，則可能用于垃圾短信、騷擾甚至詐騙電話等，或者為廣告公司牟利。
陸兆華稱，由于收集地理位置、設(shè)備識別信息、本地手機(jī)號可面向固定而穩(wěn)定的手機(jī)用戶群精準(zhǔn)匹配與投放相應(yīng)的廣告，并進(jìn)行有效的用戶消費(fèi)行為分析，符合部分急功近利的廣告商的利益訴求，APP開發(fā)者也可以因此而獲取廣告分成，因而獲取這類信息成為某些不正規(guī)廣告商與APP開發(fā)者共同的核心利益。
而與此同時，廣告插件類APP讀取聯(lián)系人、通訊錄等核心隱私的現(xiàn)象也大規(guī)模存在。
聯(lián)想移動終端事業(yè)部軟件產(chǎn)品經(jīng)理陳宇對《第一財經(jīng)日報》表示，對第三方應(yīng)用開發(fā)者來說，他們希望調(diào)用的用戶權(quán)限越多越好。
調(diào)用用戶權(quán)限越多，就越了解用戶信息，越接近ROM(存放手機(jī)固件代碼的存儲器，近似于操作系統(tǒng))的價值，其商業(yè)價值就越大。
通過查看一款手機(jī)應(yīng)用調(diào)用了哪些權(quán)限，如果這些權(quán)限不是拿去出售而是自用，也可以大致了解該應(yīng)用未來可能涉及的一些商業(yè)模式。
本報記者發(fā)現(xiàn)，某知名手機(jī)輸入法應(yīng)用讀取的用戶權(quán)限包括5種，分別是：獲取短信內(nèi)容、獲取聯(lián)系人、獲取通話記錄、手機(jī)定位以及獲取手機(jī)識別碼。
據(jù)該軟件一名內(nèi)部人士稱，“獲取手機(jī)識別碼”基本是每一個手機(jī)應(yīng)用都會調(diào)用的權(quán)限，主要為了獲取該手機(jī)的型號來進(jìn)行應(yīng)用適配，以及本地手機(jī)號碼作為登錄賬戶；而“獲取短信內(nèi)容”，是為了方便讓輸入法做到快捷輸入；“獲取聯(lián)系人”是為了導(dǎo)入用戶的好友聯(lián)系人來優(yōu)化詞庫，也是為了方便用戶在手機(jī)上的便捷輸入；而“手機(jī)定位”則是為了擴(kuò)充輸入法應(yīng)用基于用戶流量的商業(yè)模式，比如你用輸入法敲打“餐館”這個詞，輸入法可能會基于你所在的地理位置來推薦附近的餐廳。
但上述人士對一款輸入法應(yīng)用為何要“獲取通話記錄”則未做更多解釋。據(jù)調(diào)查，調(diào)用“獲取通話記錄”權(quán)限的熱門應(yīng)用還包括百度地圖、微信、手機(jī)QQ等。
金山安全反病毒工程師李鐵軍對《第一財經(jīng)日報》表示，一些應(yīng)用調(diào)用“獲取通話記錄”權(quán)限主要是為了獲悉用戶的通話狀態(tài)，在用戶來電話時，軟件會采取相應(yīng)的動作。例如，音樂類應(yīng)用，當(dāng)用戶接電話時，需要暫停音樂播放。而一些語音類應(yīng)用也可能會調(diào)用該權(quán)限，但如果是其他種類應(yīng)用調(diào)用該權(quán)限的目的就不好說了。
還有一些應(yīng)用還調(diào)取了“發(fā)送短信”的權(quán)限。例如，天氣類工具應(yīng)用墨跡天氣，可能是出于功能上對天氣服務(wù)的短信推送需要。而其他的一些應(yīng)用調(diào)取該權(quán)限，也可能是需要通過發(fā)送短信來認(rèn)證注冊。但在申請得到了該權(quán)限后，第三方應(yīng)用未來會否涉足非法行為，這就依賴于監(jiān)管了。
為了獲得收益，一些應(yīng)用商店在熱門軟件中植入惡意廣告和病毒木馬，并通過應(yīng)用軟件升級來切換成自己開發(fā)的“偽應(yīng)用”的事情也屢有發(fā)生。此外，今年1月，通過MDK后門程序，控制者可以隨時竊取并上傳用戶短信內(nèi)容、私人照片和通訊錄，并在后臺悄悄下載大量軟件，也會消耗大量手機(jī)流量。
陳宇表示，目前一些對外宣傳可以屏蔽第三方應(yīng)用權(quán)限的安全軟件， 也并非能做到真正地屏蔽。例如調(diào)用“獲取手機(jī)定位”權(quán)限的應(yīng)用，如果安全軟件直接屏蔽掉該功能可能導(dǎo)致用戶無法啟動該應(yīng)用，而一些安全軟件的做法就是通過給該應(yīng)用輸出一些虛擬的地理位置信息，來達(dá)到保護(hù)用戶隱私的目的。
為了能更多地獲取用戶信息，一些手機(jī)應(yīng)用干脆繞開安全軟件直接與手機(jī)硬件廠商合作。
有要求匿名的業(yè)內(nèi)人士對記者表示，這是因為，在PC端，由于微軟開放了Admin權(quán)限(用戶管理者權(quán)限)，因此一些桌面客戶端可以將該權(quán)限拿走，而屏蔽競爭對手的客戶端，于是有了3Q大戰(zhàn)的爆發(fā)；但在手機(jī)移動端，只有手機(jī)硬件廠商才有基于Android系統(tǒng)的用戶管理者權(quán)限(ROOT)，而其他的第三方應(yīng)用包括第三方基于Android系統(tǒng)之上的ROM開發(fā)商都沒有該權(quán)限，因此手機(jī)硬件廠商享有最高的用戶安全級別。
去年6月，工信部推出《關(guān)于加強(qiáng)移動智能終端進(jìn)網(wǎng)管理的通知》(征求意見稿)，提出要對提供APP的第三方平臺實(shí)行備案制，對APP應(yīng)用實(shí)行實(shí)名制。但也有觀點(diǎn)認(rèn)為，對數(shù)以百萬的APP應(yīng)用，備案制顯然難以操作，并給開發(fā)者帶來額外成本。保護(hù)用戶隱私已經(jīng)成為移動互聯(lián)網(wǎng)普及的待解難題。
(作者：趙楠 劉佳)