手机隐私被窃取·看看谁在让你“裸泳”

在移动互联网蓬勃发展的时代，APP成为耀眼的明星，是用户追逐的对象。可你知道吗，一些表面正大光明的APP正背着你偷偷窃取隐私。

戳穿不良APP的伪装

使用APP时，也经常检查APP的安全性，其中就包含鉴定APP是否在收集用户的隐私。鉴定的流程如下：在手机中安装APP，在安装时留意该APP索取了哪些权限，这些权限是否超出了它的需求范围，如果超出了再利用反汇编工具IDA和Java Decomplier，分析APP的代码，确定它是不是真的有问题。光说不练假把式，我们来看两个真实案例（Android平台）。

小水滴（游戏类）

小水滴是一款可爱的趣味休闲游戏。在安装时，该程序会先用户索要两个权限：你的位置和你的个人信息。一款休闲游戏需要这两个敏感权限吗？不需要！因此，该程序就有涉嫌收集用户隐私的嫌疑。

不过索要权限并不意味着该程序就有相应的行为，这就好比绝大多数坏人都会纹身，但纹身的人不一定要都是坏人。继续鉴定吧！用专业工具（IDA和Java Decomplier）分析该程序，没有多久就发现了端倪，该程序运行时会上传数据，其中“-500.0 -500.0”就是调用的GPS信息。

到此，可以确定的说，小水滴游戏存在窥探手机用户个人隐私的行为。

APP索取敏感权限

代码显示APP会记录GPS的信息并上传

手电筒（软件类）

手电筒是一款比较实用的辅助工具（开/关闪光灯、调节闪关灯亮度），且版本众多。随意下载一个版本，在安装时该程序索要网络通信和手机通话权限。看到这里，大家是不是感到非常奇怪：调节闪光灯需要联网吗？需要通话吗？

既然有了疑惑，就要深入研究。在用专业工具（IDA和Java Decomplier）分析后，该程序的真面目就浮出水面了：原来该程序运行后，会读取了用户的手机号、服务商、国家代码、IMEI码等信息，并进行字符串格式化重组，再上传到远方的服务器。

代码显示APP会读取手机号码并上传

以上两个案例，仅仅是沧海一粟，网上有收集用户个人隐私的APP还有很多。我们收集了一些下载量较大的问题APP，供大家参考，看到这样的APP请谨慎下载。

广告一直在尾随你

除了APP在收集用户的隐私外，互联网上的广告联盟也一直在干这种勾当。我们在网页上看到的广告，绝大部分不是该网站自己的广告，而是由广告联盟提供，例如谷歌广告联盟、百度广告联盟、CNZZ广告联盟等。网站站长通过调用代码的方式将广告联盟的广告显示在自己的网站上，从而收取一定的费用。

广告联盟怎么知道广告的效果呢？怎么精准投放广告呢？当然需要了解用户的个人隐私。广告联盟背后有庞大的统计系统，可以记录网民的IP地址、所在的地区，甚至是显示器分辨率（广告联盟想知道：你从哪里来，你在网页待了多久，你关注了哪些内容，你接下来会去哪里等）。

可以说，网民要保护上网隐私，就是要拒绝广告联盟的偷窥和记录。怎么知道自己被哪些广告联盟尾随了，以及如何阻止它们？请接着往下看！董师傅在IE 9浏览器做了一个实验。点击IE9 浏览器右上角的“工具”按钮→“安全”→“追踪保护”，在“管理加载项”窗口中点击“追踪保护”→“在您的个人列表”上点右键，选择“启用”。

启用IE 9追踪保护功能

接着，随意访问了几个网站，然后在再进入IE 9的个人跟踪保护列表，点击“刷新”按钮，可以看到追踪保护功能阻止了三个广告广告联盟的请求，在右侧会出现stat，ads等词汇，这代表着请求页面跟广告（含个人隐私统计）有关系。看到了吧，网上有无数眼睛盯着你隐私。

追踪到广告联盟

APP索取的敏感权限

就像上面提到的，很多APP在安装时获取了不该获取的权限，这样一来，用户身边就会出现很多潜在的安全威胁。这样的权限都有哪些了？下面，以Android为例，谈谈APP安装说索取的敏感权限背后潜藏的风险。

·电话呼叫

凡是会使用手机呼出功能的APP，都会需要这个权限。换而言之，一款铃声APP、一款游戏APP就不应该涉及该权限。

潜在危害：自动拨打收费的声讯电话

·发送短信

类似Handcent、Chomp这类短信APP需要用到该权限，一些通过短信分享音频、图片的APP也可能会用到该权限，出此之外的其他APP不应该用到该权限，特别是免费游戏APP（一些通过短信注册收费的游戏APP可能会该权限）。

潜在危害：偷偷发送短信订阅收费服务

·你的个人信息

这个权限涉及读取联系人数据、日历活动、浏览器的历史记录和收藏书签等，一般来说，系统优化APP、地图APP、输入法APP、浏览器APP、数据同步管理APP、以及跟通讯相关的APP会要求该权限，一些国外的社交网站的APP也会读取联系人数据（这些APP主要存在一些改版机中）。其他的APP不应该用到该权限。

潜在危害：窃取个人隐私

·你的位置

如果APP本身嵌入了基于地理位置推送的广告，或者具有地图功能（包含地理查询），那么它可以要求拥有该权限，否则该APP越权了。

潜在危害：泄露个人地理位置信息

·网络通信

如果一款APP是不带广告的单机版，也没有任何附加内容，就不需要该权限。

潜在危害：消耗流量、偷偷下载恶意代码

需要注意的是，如今的很多APP都要访问SD卡中的内容，因此APP访问SD卡的权限大家可以不用关注。总的来说，一款软件要谋求它不应该拥有的权限，就意味着可能有潜在的风险，大家在安装时要提高警惕。