好好看看谁在让你“裸泳”

热点围观

2012年3月5日第9期

在移动互联网蓬勃发展的时代，APP成为耀眼的明星，是用户追逐的对象。可你知道吗，一些表面正大光明的APP正背着你偷偷窃取隐私，不信？请看董师傅的研究！

戳穿不良APP的伪装

由于工作需要，董师傅平时也要经常检查APP的安全性，其中就包含鉴定APP是否在收集用户的隐私。鉴定的流程如下：在手机中安装APP，在安装时留意该APP索取了哪些权限，这些权限是否超出了它的需求范围，如果超出了再利用反汇编工具IDA和Java Decomplier，分析APP的代码，确定它是不是真的有问题。光说不练假把式，我们来看两个真实案例（Android平台）。

小水滴（游戏类）

小水滴是一款可爱的趣味休闲游戏。在安装时，该程序会先向用户索要两个权限：你的位置和你的个人信息（图1）。一款休闲游戏需要这两个敏感权限吗？不需要！因此，该程序就有涉嫌收集用户隐私的嫌疑。

不过索要权限并不意味着该程序就有相应的行为。继续鉴定吧！用专业工具（IDA和Java Decomplier）分析该程序，没有多久就发现了端倪，该程序运行时会上传数据，其中“-500.0 -500.0”就是调用的GPS信息。

到此，董师傅可以确定地说，小水滴游戏存在窥探手机用户个人隐私的行为。

手电筒（软件类）

手电筒是一款比较实用的辅助工具（开/关闪光灯、调节闪关灯亮度），且版本众多。董师傅随意下载一个版本，在安装时该程序索要网络通信和手机通话权限。看到这里，大家是不是感到非常奇怪：调节闪光灯需要联网吗？需要通话吗？

既然有了疑惑，就要深入研究。在用专业工具（IDA和Java Decomplier）分析后，该程序的真面目就浮出水面了：原来该程序运行后，读取了用户的手机号、服务商、国家代码、IMEI码等信息，并进行字符串格式化重组，再上传到远方的服务器。

以上两个案例，仅仅是沧海一粟，网上收集用户个人隐私的APP还有很多。董师傅收集了一些下载量较大的问题APP，供大家参考，看到这样的APP请谨慎下载。

小贴士：新版QQ手机管家推出了APP权限查看和管理功能，用户可以直接手动关闭APP不该索取的权限。

广告一直在尾随你

除了APP在收集用户的隐私外，互联网上的广告联盟也一直在干这种勾当。我们在网页上看到的广告，绝大部分不是该网站自己的广告，而是由广告联盟提供的，例如谷歌广告联盟、百度广告联盟等。网站站长通过调用代码的方式将广告联盟的广告显示在自己的网站上，从而收取一定的费用。

广告联盟怎么知道广告的效果呢？怎么精准投放广告呢？当然需要了解用户的个人隐私。广告联盟背后有庞大的统计系统，可以记录网民的IP地址、所在的地区，甚至是显示器分辨率（广告联盟想知道：你从哪里来，你在网页待了多久，你关注了哪些内容，你接下来会去哪里等）。

可以说，网民要保护上网隐私，就是要拒绝广告联盟的偷窥和记录。怎么知道自己被哪些广告联盟尾随了，以及如何阻止它们？请接着往下看！董师傅在IE 9浏览器做了一个实验。点击IE9 浏览器右上角的“工具”→“安全”→“追踪保护”，在“管理加载项”窗口中点击“追踪保护”，“在您的个人列表”上点右键，选择“启用”。

接着，随意访问几个网站，然后再进入IE 9的个人跟踪保护列表，点击“刷新”按钮，可以看到追踪保护功能阻止了三个广告联盟的请求（图2），在右侧会出现stat，ads等词汇，这代表着请求页面跟广告（含个人隐私统计）有关系。看到了吧，网上有无数眼睛盯着你的隐私。

好好看看 谁在让你“裸泳”

好好看看谁在让你“裸泳”