手机游戏沦为新毒窝 窃取隐私更危险

发布时间：2014-04-24 作者：

    随着下载高峰期的到来，潜伏在手机游戏APP上的各种威胁也日益显现。根据腾讯移动安全实验室发布的《2013年5月手机安全报告》显示，手机用户正遭受游戏类APP带来的各种烦恼：广告不停弹出，流量无故消耗，莫名被扣费、过度读取隐私权限……


   
　　 作者  叶丹 

    如今，“玩手机”成为了不少年轻人的“主旋律”，而在各种智能手机日益普及的今天，用手机来玩也成为了一种时尚。但是随着下载高峰期的到来，潜伏在手机游戏APP上的各种威胁也日益显现。根据腾讯移动安全实验室发布的《2013年5月手机安全报告》显示，手机用户正遭受游戏类APP带来的各种烦恼：广告不停弹出，流量无故消耗，莫名被扣费、过度读取隐私权限......

    这种情况在Android系统的移动设备上表现尤为突出，据金山手机毒霸发布2013第1季度Android手机安全报告显示。2013年前3个月，金山手机毒霸捕获的Android病毒数就是2012年全年的3倍；腾讯移动安全实验室从电子市场合作伙伴提供的上线前检测的Android软件包中发现近50%的游戏软件存在风险!

“打包党”恶意篡改埋隐患

    由于Android系统的开放性和Android应用商店的监管缺失，目前国内Android应用程序被不法应用商店或开发者进行二次封装、加入恶意代码的行为在国内颇为泛滥。此种行为的操作者被业内称为“打包党”，那些被“打包党”恶意篡改后的手机游戏往往会对用户造成扣费、流量消耗、读取隐私、弹广告等多种伤害。

    据腾讯移动安全实验室监测，“打包党”针对手机游戏二次打包篡改，一般通过植入病毒代码或者广告插件的方式来攫取利润。打包植入广告的情况尤其普遍。据统计，在随机抽取的75642个游戏软件包中，包含了广告插件的软件包数达到44。3%的比例，为33535个。其中含BANNER广告的游戏软件包数为28758个，占比85。75%，占据最大比例；含积分墙广告的游戏软件包数达20015个，占比为59。68%；包含通知栏广告的游戏软件包为17459，占比52%。

    由统计数据可以看出，手机游戏目前正成为广告插件植入的重灾区。在广告类型中，总体而言，通知栏、积分栏、BANNER广告呈现均衡化分布的格局。许多APP开发商对于盈利模式还在进行持续的探索，在没有找到更好的盈利模式之前，应用内置广告仍然是最直接的收入来源。另一方面，迫于短时营收压力，部分游戏APP开发商、打包党会与移动广告平台签署协议，在应用中内置广告代码，甚至是直接嵌入恶意广告代码，借助移动广告分成来实现快速盈利变现之目的。这也是遭遇篡改的手机游戏大肆泛滥的最重要原因。

游戏“越界”窃取隐私更危险

    据金山手机毒霸最近监测发现，已有近500款热门Android游戏被植入恶意扣费代码，其中不乏连连看、捕鱼达人秀、泡泡龙、地下城勇士、塔防战争、雷电等大家所熟知的Android游戏。保守估计，这些被植入扣费代码的安卓游戏安装在约10万部Android手机上。

    然而手机游戏“藏毒”的危害还不仅仅是吸费、弹出广告那么简单，不少被恶意篡改的手机游戏还将窃取个人隐私作为了盈利的手段之一。据腾讯移动安全实验室报告的数据显示，目前窃取隐私已经成为排名前十大广告插件类游戏APP的主要目的。腾讯安全专家分析发现，大量Android手机游戏存在在非功能必要情况下调用过多权限的情况，在游戏类APP读取隐私权限的比例中，读取本机手机号、读取设备识别、读取地理位置分别以40。99%、28。96%、28。58%位居前三。打开录音器和读取通讯录分别占比11。63%、9。76%；读取短信、打开手机摄像头、读取通话记录、读取浏览器书签等分别占比9。40%、6。78%、6。3%、4。13%。与游戏APP读取隐私权限相比，含广告插件的游戏类APP在获取用户地理位置比例上远远高于前者。

    和在手机游戏中内置广告插件的行为相比，手机游戏病毒对个人隐私的窃取后果更加可怕，它不仅能够通过和移动广告平台商合作来进行精准广告推广的合作分成，甚至还能直接盗取用户的手机银行、电商账户等重要信息，并通过钓鱼网站、诈骗短信等对手机用户造成更加直接或者更加重大的经济损失。

倒卖个人隐私已成地下产业链

    手机游戏APP的个人隐私窃取如此猖獗，其背后的个人隐私信息地下产业链无疑是最大的“推手”。据瑞星发布的《瑞星2012年中国信息安全综合报告》显示，近年来，隐私信息逐渐成为不法分子的生财之道，并在网上大量买卖。瑞星安全专家指出，“一套隐私信息可以反复售卖，所以这种生意一本万利，诱惑性极大”。黑客利用社会工程学原理及许多现代化手段，大量套取用户信息，然后将这些信息卖给“下家”，而“下家”则利用自己手上的资料，群发短信或者邮件推销这些隐私信息。同时，他们还会在网上公开发布广告，使用搜索引擎或者聊天工具也可以搜索到他们。

    瑞星安全专家还表示，收到垃圾短信和骚扰电话并不是个人隐私信息泄露带来的最严重的后果。定向诈骗、冒名申请电话卡或信用卡、甚至利用合法车主的信息伪造“套牌车”等，都将严重影响网民的正常生活，使网民遭受难以估计的巨大损失。

    对此，国家有关部门高度重视，于2012年底颁布了相关法律对互联网隐私信息泄露问题进行治理，保护能够识别公民个人身份和涉及公民个人隐私的电子信息。但就目前执行状况而言，效果并不理想。业内人士表示，移动互联网应用行业渠道多元、技术水平要求较高等特点对相关执法行动和人员提出了较高的要求，而且不断变化、更新的窃取手法也需要管理部门的响应效率进一步提升。因此，虽然政策立法已经对保护互联网隐私信息提供了保障，但真正落到实处，还有很长的路要走。



原文标题：手机游戏沦为新毒窝窃取隐私更危险

原文来源：法邦网

（立法网  何赟）