APP“陷阱”
原标题:APP“陷阱”
编者按: 随着Android、iPhone等智能手机的流行,智能手机的第三方应用程序APP处于高速增长阶段,并受到越来越多消费者的追捧。但在众多让人炫目的APP应用背后,却隐藏着许多陷阱。他们利用APP应用掌握的庞大客户信息,如用户的姓名、生日、手机号码、通信录、地理位置、短信等,赚取着你所不知道的高额回报,而你,却正成为买单者。
那么,问题来了,这些APP是通过什么手段对用户的信息进行获取?而这背后又隐藏什么样的利益链条?21世纪经济报道记者试图通过案例还原一些陷阱和其背后的利益诉求。
本报记者曹晟源上海报道
我国移动互联网发展已经进入全民时代。截至2014年6月,中国网民规模达6.32亿,其中,手机网民规模5.27 亿,互联网普及率达到46.9%。在网民上网设备中,手机使用率达83.4%,超越传统PC整体80.9%的使用率,移动终端已经成为一种重要的媒介,占据了人们越来越多的时间,成为用户日常生活不可分割的一部分。
与此同时,大数据是互联网乃至移动互联网时代的标志之一。正是由于大数据在当下和未来市场中能够带来的包括经济上的价值,所以一些APP开发商开始将目光着眼于大数据的收集,利益也就从此而来。
安全专家陆兆华在接受媒体采访时就这样表述:“由于收集地理位置、设备识别信息、本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告,并进行有效的用户消费行为分析,符合部分急功近利的广告商的利益诉求,APP开发者也可以因此而获取广告分成,因而获取这类信息成为某些不正规广告商与APP开发者共同的核心利益。”
实际上,撇开不法的APP应用不谈,目前市面上出现的包括游戏、生活、教育等各类的APP应用程序都在尽可能调用收集用户尽可能多的权限,这样做的背后就是这些APP开发商将会越来越了解用户的信息,当达到一定的程度之后其商业价值也就会成倍放大。
隐秘的信息收集
像往常一样,小李在自己的安卓手机上打开几个经常浏览的应用商店,开始挑选时下最热门的手机游戏。在浏览了几家应用商店均未发现自己中意的APP游戏后,他选择将自己此前下的“QQ单机斗地主”重新下载。
小李将“单机斗地主”的关键词输入到应用商店的搜索条中,跳出来许多斗地主的应用软件,一款名为“单机斗地主”的APP应用排在下载量首位,在浏览了图标和自己此前下的游戏没太大差别之后,小李选择了下载,并且在下载安装时也忽略了权限提示。
但是当小李打开这款应用时才发现,这款游戏图标和名称都和自己此前玩的那款游戏极为相似,唯一一点不同就是会强制跳出广告,时不时还有诱导安装其他APP应用的图标弹出。如果手误点进去的话,就必须要看十几秒的广告,或是直接跳转到其他APP应用的下载页面。
小李所不知道的是,在打开这些看似不花钱的广告时,自己的一些隐私信息也许正在被传到云端。
周小姐在一次户外活动上,看到有人在手机上使用一款手电筒的APP应用,使用过后发现十分方便,回家之后在应用商店中找到多款手电筒的APP应用,并下载了一个制作较为美观的。
下载完成的安装过程中,周小姐和小李一样,对于提示的权限一扫而过,快速安装了这款APP应用。正因为周小姐的忽视,一款需要取得用户的GPS位置权限的手电筒应用被安装到了她的手机中。
一般情况下一款以位置交友为主要目的APP应用,它需要获得用户的GPS权限,那也是合情合理的。而一款手电筒或者类似的单机类的APP应用,通常没有必要去取得用户的GPS位置权限。
也许有人会说,很多APP在软件本身被开发设计的时候,已经考虑到APP自身更新的需求,这样开发者会将软件自动提示升级的功能加入到软件内。因此,很多APP都在安装的时候需要获得用户手机的互联网访问权限。
但是这种APP应用有着威胁隐私的嫌疑,这也极大增加了个人手机的风险程度。
上述APP应用主要还是来自于一些电子市场应用商店、各种手机论坛或者是有心人在别人手机中特意种下。
事实上,一些软件会以各种名目要求用户上传个人信息或者开放隐私权限,山寨软件尤甚。在获取用户成本逐渐上涨过程中,小型APP开发团队在制作各种软件时,尽可能用各种方式强行或是暗中获取用户信息。
规模较大的应用厂商收集用户个人信息的行为也在进行。毕竟收集用户信息有利于其产品的推广。但是上述的行为仅仅局限在正规厂家的部分产品中,同时在收集的过程中,正规厂商总会或多或少对信息的用途进行提示,并且对于其安全性给予一定的保证。
但无论是谁,获取信息的目的都指向了利益。
大数据的借口
“一个很简单的案例,在应用商店下载一款很普通的五子棋游戏,这样一个小游戏就可能会提示需要定位权限(是为了方便游戏联网)、需要访问手机麦克风(开启游戏内的语音功能)、同步通讯录(联网和朋友一起玩,顺便推送给用户的朋友圈),如果用户注册账号那手机号肯定必不可少。”互联网安全人士张勇向记者介绍,“一个很简单的小游戏,可能不到1分钟的时间就已经收集到了上述多种信息。有提示算是有良心的,相当部分APP应用在用户下载好之后就已经默默开启了权限,上传用户的信息。”
不过也并不是所有的信息目前都能够转化成商业利益。这些从收集用户处调用的权限信息,一些开发商会进行自用,而这个目的实际上也是为了转化成未来可能出现的商业模式。
收集用户信息是一方面,另一方面APP的应用大多都是免费,如何解决开发和推广成本让开发商绞尽脑汁。
在此背景下,随着智能终端的迅速普及,以移动互联网为载体的移动广告迎来了迅猛发展。根据艾媒咨询《2013-2014 年中国移动广告平台行业观察报告》数据显示,2013 年中国移动广告平台市场整体规模为25.9亿元,同比增长144.3%,2014 年将达到50.1 亿元,到2018 年的市场规模有望达到227.1 亿元。移动广告市场的快速增长导致国内涌现出上百家移动广告平台,他们主要依靠在移动应用中集成广告插件,收取广告主的展示费来盈利。这些广告平台大小不一,良莠不齐,他们提供的广告插件没有统一的行业标准,给移动安全带来了一定的风险和隐患。
“许多用户很大几率都会不小心点进APP应用中的插件广告,而有的是强制性广告,较多广告商都是靠着点击和浏览量来收费的。一般情况下都没有什么问题,但是遇到钓鱼的广告,用户手机上的信息很可能在极短的时间内就会泄露。”张勇坦言。
360互联网安全中心将手机用户信息分为以下五类:敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息和软件环境信息。为了能有针对性地投放广告,广告插件一般都会收集很多用户信息,其中包含不少隐私信息,从而导致用户隐私泄露。
获取这些信息可以让插件厂商向特定的应用推广广告,比如向游戏应用推广其他游戏,向翻译软件推广英语教学机构等等。