手机广告插件吃流量偷隐私 存高危安全漏洞
每月订购足量的网络流量总是不够用,手机好端端总会跳出广告提醒,功能单一的App安装包却很占内存,手机没用多久就又烫又卡……看上去手机好像中毒了,杀毒软件又没查出问题。如果你遇到这种情况,很可能是App里面的广告在“偷”走流量和电量。最近,360公司推出《2014年App广告插件安全研究报告》,通过对10款正规厂商广告插件的分析,发现一定程度上均涉及滥用权限、推送广告、躲避检测等不良行为,哪怕无需联网的App在一分钟内也能消耗369K广告流量,理论上来说,只需一天就能消耗掉500M以上的流量。
广告插件一晚耗光电量
“我每天都会将手机放在床头,这样闹铃才会吵醒我,不过几天前放在床头的手机没电了,结果我上班就迟到了。我一开始认为是忘记充电了,但是接连几天,手机一晚上就没电了,总是蹦出很多广告,还不能消除,让我很崩溃。”张先生认为手机中毒了,用杀毒软件彻底检查了一遍,除了几个App显示含有广告插件之外,并无中毒情况。他将查出含有广告插件的App逐一删除,以此来寻找耗电的“元凶”。最终当他删除了一款VPN (虚拟专用网络)代理App后,手机瞬间“清净”了,耗电发热、广告弹出的现象再也没有出现过。“这款App是在正规的应用商店里下载的,当时看到有网友评论有广告,但我觉得免费软件有一点广告很正常,不影响使用就好,但没想到后果这么严重。”张先生建议,这种胜似中毒的广告插件也应该纳入管理范围之内。
记者下载了张先生所提及的VPN软件,发现它调用了手机里15项权限,其中3项安全权限和4项隐私权限,仔细查看后让记者大吃一惊,其中“修改系统设置”会导致恶意应用破坏系统设置,“在其它应用之上显示内容”则允许提醒窗口占据整个屏幕,还可以修改或删除USB储存设备中的内容、查阅敏感日志数据、直接下载文件而不显示通知、还可以防止手机休眠……其中很多权限都会被恶意利用,不仅耗电,还会偷走流量和泄露隐私。
10款测试插件均滥用权限
很显然,张先生并非唯一遭遇广告“攻击”的人,新发布的《2014年App广告插件安全研究报告》揭示了广告插件中的“无间道”。该报告针对当前安卓平台1000 款热门应用中最流行的10款正规厂商广告插件进行了一次全面的安全性分析,安全分析内容主要包括安全漏洞与风险分析、用户信息收集状况分析、权限使用状况分析三个方面。
结果不仅发现其中有3款插件存在安全漏洞,而且在用户信息收集状况分析方面,所有10款广告插件均涉及收集用户敏感隐私信息、联网相关信息、手机硬件配置信息等的情况;另外,在滥用权限方面“全军覆没”;广告插件还存在强制推送广告、干扰用户、消耗流量、躲避检测等不良行为。
报告也指出,App中单纯实现广告功能其实只需要最基本的网络权限就完全够用了,但测试的10款广告插件总共使用了26项权限,最多的一款使用了13项权限,平均每款插件使用了9.6项权限,100%的插件使用了读取电话状态的权限,70%的插件使用了获取用户地理位置的权限,20%的插件使用了拨打电话的权限,10%的插件使用了发送短信的权限。
所以在某种程度上说,目前市场上的所有主流广告插件,都存在滥用权限的问题,其中46.2%的权限与用户信息收集有关,而其他的权限用于实现广告厂商的一些非正常行为,如秘密拨打电话、发送短信、手机开机自启动广告、全系统插屏等。
业内人士告诉记者,应用程序滥用权限会给手机安全带来巨大的隐患,一个应用程序声明的权限越多,意味这个程序一旦被攻击成功,黑客获取的系统权限也越多,给系统造成的风险也就越大。
广告随意插屏、无法卸载
“现在的广告插件都很坏的,发现广告后我根本就不知道是哪个软件弹出的,只能挨个去试。”张先生一语点开了不少广告插件的“潜规则”。
该报告提及,手机广告插件干扰用户主要包含两种方式:全系统插屏广告和频繁推送通知栏。全系统插屏方式可以使广告在任意应用中插屏,比如你正在看电子书,即使电子书应用不带广告插件,全系统插屏广告也可以将广告插到你阅读的页面里。而频繁推送也会采用匿名推送方式,致使用户也无法卸载包含此广告插件的应用。
除了影响用户正常使用外,偷走流量也是广告插件的劣迹之一。报告测试了一款无需联网的手电筒App,安装软件大小为2.9M,但是工程师将插件删去重新生成安装文件后仅为1.1M,也就是说,我们下载这款程序时有约62%的流量都浪费在了广告插件上。在继续对这款App的流量测试中,手电筒App本身无需网络,所以所有的流量均为广告流量,经过测试,打开手电筒App一分钟时间内,就消耗了上行流量13K,下行流量356K,即总消耗369K,如果连续打开App一整天,就能消耗518M流量。
[专家支招]
如何避免手机广告插件?360工程师告诉记者,首先要保证从可信站点下载手机软件,另外安装软件时要注意观察软件权限。一般来说,手机恶意广告会比正常软件多出数个敏感高危权限,比如一个单机游戏却出现了发短信、访问相册等与安装应用不相关的敏感权限,就带有明显的恶意性质了。最后,安装带有广告拦截功能的手机安全软件也很有必要。