二是手機(jī)上儲存的信息可被應(yīng)用軟件輕易復(fù)制和傳送。據(jù)王曉陽介紹,智能手機(jī)對短消息、通話記錄、通訊錄等信息的儲存沿襲了傳統(tǒng)手機(jī)的存儲方式,任何軟件只要能訪問手機(jī),就可以提取用戶信息,因此,這些信息能被軟件輕易復(fù)制和傳送。而在筆記本電腦中,即便惡意軟件侵入,也未必能馬上找到存儲隱私信息的文件夾。
三是智能手機(jī)安全管理機(jī)制的天然缺陷。在軟件安裝時,用戶必須滿足所有的權(quán)限申請,同意一次就意味著運(yùn)行過程中的永遠(yuǎn)授權(quán),用戶無法獲知其獲得的權(quán)限是否合理使用,對軟件內(nèi)敏感信息的傳播更是毫不知情。
四是安卓系統(tǒng)完全開放導(dǎo)致應(yīng)用軟件供應(yīng)方良莠不齊。王曉陽解釋說,安卓系統(tǒng)是開源平臺,對于軟件開發(fā)商沒有統(tǒng)一認(rèn)證和規(guī)范管理、沒有進(jìn)入門檻也沒有懲罰機(jī)制——在實驗中,課題組就發(fā)現(xiàn)部分程序并非由原開發(fā)者提交給商城,而是由第三方的開發(fā)者對原始程序進(jìn)行了再次封裝,嵌入了其他代碼,并因此造成軟件使用者的隱私泄露。
而且安卓采用應(yīng)用商城進(jìn)行程序發(fā)布的模式,他們結(jié)合自身商業(yè)特性,構(gòu)建了眾多的應(yīng)用商城,以聚集移動互聯(lián)網(wǎng)用戶——僅在國內(nèi)就有上百家第三方應(yīng)用商城,但是這些應(yīng)用商城缺少有效的應(yīng)用程序?qū)彶闄C(jī)制和檢測工具,無法及時對已上架的大量應(yīng)用進(jìn)行審查和分析。而且國內(nèi)關(guān)于保護(hù)用戶隱私信息的法律法規(guī)還不完善,無法對應(yīng)用商城的運(yùn)營進(jìn)行約束。
更重要的是,王曉陽認(rèn)為,關(guān)于隱私信息的商業(yè)利益鏈已初步形成,移動廣告商、惡意扣費(fèi)、移動網(wǎng)銀支付、用戶信息交易等均是利益鏈上的環(huán)節(jié)。
國家和公眾都應(yīng)引起重視
據(jù)統(tǒng)計,在全球安卓系統(tǒng)的安全威脅中,中國大陸地區(qū)以26.7%的比例高居首位;據(jù)McAfee提供的安全風(fēng)險報告,2012年第一季度惡意程序增長1200%。而美國等西方國家已經(jīng)開始研究移動互聯(lián)網(wǎng)的安全隱患和應(yīng)對方法。
王曉陽認(rèn)為,我國也應(yīng)盡快重構(gòu)移動互聯(lián)環(huán)境下的國家信息安全總體戰(zhàn)略,加強(qiáng)相應(yīng)領(lǐng)域的科技布局,進(jìn)行最前沿的科技攻關(guān)。
在法律規(guī)范方面,王曉陽認(rèn)為,我國應(yīng)盡快確定移動終端隱私數(shù)據(jù)分級、應(yīng)用程序收集和使用隱私數(shù)據(jù)的規(guī)范、應(yīng)用程序開發(fā)者認(rèn)定、安卓系統(tǒng)的安全機(jī)制和應(yīng)用商城發(fā)布應(yīng)用程序的審核等方面的國家安全技術(shù)標(biāo)準(zhǔn),建立應(yīng)用程序的安全性檢測與測評機(jī)制,加強(qiáng)對應(yīng)用商城運(yùn)營商與程序開發(fā)商(者)的監(jiān)督管理。并在這些標(biāo)準(zhǔn)的基礎(chǔ)上,制定相應(yīng)的法律法規(guī)與管理辦法,明確告知開發(fā)者和運(yùn)營商孰可為,孰不可為。
此外,還應(yīng)從國家信息安全的角度出發(fā),加強(qiáng)移動互聯(lián)網(wǎng)時代用戶隱私安全保護(hù)方面的知識普及,尤其應(yīng)強(qiáng)化移動終端使用者的分級管理和對高等級用戶的數(shù)據(jù)保護(hù)。
王曉陽也建議智能手機(jī)用戶加強(qiáng)自我防護(hù):通過正規(guī)渠道下載軟件;軟件安裝時嚴(yán)控系統(tǒng)權(quán)限授予;必要時,采用物理隔絕的方式,“實在沒有辦法的時候,又想玩憤怒小鳥,又要用網(wǎng)上銀行,就用兩個手機(jī)”。(新華網(wǎng))