Browsed by
月份:2014年12月

正规APP存泄隐私风险,360呼吁开发者注意安全规范

正规APP存泄隐私风险,360呼吁开发者注意安全规范

360互联网安全中心近期研究发现一些正规的手机软件在读取用户的通讯录和短信内容后,会进行明文上传或简单可逆加密上传,这会导致手机用户个人隐私信息存在泄露风险。360呼吁正规手机APP开发者要重视和规范软件开发行为,对用户手机中的隐私数据做到“非必要不上传,上传即加密”,以防被中间人劫持攻击造成用户的隐私泄露。 360互联网安全中心分析发现,读取并上传手机用户通讯录和短信内容的软件大体分为三种:第一种,窃取隐私类的手机恶意程序;第二种,正规软件越轨使用隐私权限,违规上传通讯录和短信;第三种,由于软件自身功能需要某些用户信息,但在上传信息时无加密、或加密方式过于简单,极易被中间人攻击,泄露用户隐私。 手机软件滥用隐私权限的行为已经被多次曝光。一旦用户在安装软件过程中,“默认”获取手机号、访问联系人、读取位置等等权限,就会出现通讯录被违规上传,个人偏好、交际特点被“监视”。手机软件开发商的“无间道”根本不给用户选择的权利:要么开放权限,要么取消安装。而大多数手机用户要么缺乏安全意识,要么专业知识不足无法判断,只能无奈接受这些可疑的权限。 权限被开放后,手机用户的隐私数据到哪儿去了? 360手机安全专家通过后台代码分析发现,