360互联网安全中心日前对最流行的10款正规厂商广告插件进行了一次全面的安全性分析,结果发现十款APP广告插件均涉及收集用户隐私信息、滥用隐私权限的情况,还存在消耗手机流量、躲避安全软件检测等行为。专家建议,使用手机时要慎点广告插件。
360互联网安全中心对10款主流广告插件分析发现,有3款插件存在两种比较危险的安全漏洞。一种安全漏洞会导致广告插件在自动更新过程中,可能会下载并安装被篡改过的更新包或恶意更新包,进而使用户手机感染木马病毒并面临安全威胁。
另一种安全漏洞更为危险,不法分子利用此漏洞,甚至可以在手机用户观看广告的同时将手机中的文件、通信录、短信、账号等私密信息窃走。
在测试的10款广告插件中,100%的插件使用了读取电话状态的权限,70%的插件使用了获取用户地理位置的权限,20%的插件使用了拨打电话的权限,10%的插件使用了发送短信的权限。
所有广告插件均会全部收集用户的五类个人隐私信息:敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息和软件环境信息。这就意味着,手机用户的上述隐私信息都会被插件厂商获取。这些信息可以让插件厂商向特定的应用推广广告,但同时,手机用户的手机使用习惯、什么时间去过什么地方等隐私信息也会泄露。
“目前手机应用过度申请甚至是滥用权限的情况非常严重,开发者为了更多接受广告,往往将插件厂商建议的权限全部声明在应用中。”360手机安全专家表示,这会导致在某个应用出现安全漏洞时,广告插件获取的隐私权限都可以被攻击,导致手机用户的隐私被非法获取。
专家建议,手机用户在安装软件时,注意观察软件权限,手机恶意广告插件多通过篡改正常软件来作恶,如一个连连看游戏,出现发短信、访问相册等与应用不相关的敏感权限,就带有恶意性质了。
某些广告插件除了会在应用中显示各种类型的广告外,还会通过私自添加浏览器标签、私自添加短信记录、私自创建快捷方式等方法来强制向用户推送广告。