移动应用的数据收集会否比恶意软件的威胁更大?

在近几年，功能日益强大的智能手机和其他移动设备开始进入企业环境，安全专家经常担心移动恶意软件也会随之增加，正如十多年前在电脑领域所看到的那样。但根据最新的报告显示，这种担忧在很大程度上不切实际，因为移动应用的数据收集对企业和用户构成更大的威胁。

应用分析供应商Appthority在本月发布的关于移动应用信誉的报告中，详细介绍了Android和iOS移动平台中目前前100名免费应用和前100名付费应用的数据收集情况。Appthority公司通过在测试环境中对所有400个应用运行静态、动态和行为应用分析来收集了报告中的这些数据。

在Google Play应用商店的前100位免费Android应用中，80%会收集唯一设备标识符(UDID)或者IMEI，而82%的应用会进行某种形式的定位跟踪，另外30%访问用户的地址簿。虽然苹果经常吹捧iOS是比Android更安全的注重隐私的平台，但Appthority的统计数据并没有显示出这一点。在App Store的前100位免费应用中，超过一半的应用涉及相同的UDID和位置跟踪，26%还访问用户的地址簿。

该公司发现，即使是付费应用，数据收集也很普遍。例如，在前100位付费Android应用中，65%使用UDID信息，49%收集位置数据，还有14%访问地址簿。而在iOS方面，28%使用UDIF，24%收集位置数据，8%访问地址簿。

相比较而言，在分析的400款应用中，Appthority并没有找到一个移动恶意软件的实例。该公司指出，只有4%的应用包含恶意软件，因为评估会对进入iOS App Store的所有应用执行严格的手动安全审查过程，而谷歌也使用各种技术来扫描Google Play应用中的恶意软件。

“大家都知道移动恶意软件，”Appthority总裁Domingo Guerra在接受采访时表示，“但不是每个人都知道这些其他问题。”

数据收集的风险

Guerra表示，移动应用的数据收集会给企业和用户带来很多风险，这些风险可能最初不是很明显。例如，如果用户同步其企业Outlook账户到个人智能手机，该设备可能可以访问企业地址簿，其中包含很多重要客户的联系方式。如果收集这种地址簿信息的应用受到攻击，攻击者就可以利用这些信息来发送垃圾邮件到这些联系人，收集敏感企业来点的拨入详细信息，读取日历中的附件等。

除政府之外，大多数企业并没有非常担心位置追踪数据，但如果攻击者可以获取关键管理人员的位置，他们可能会利用这些信息，根据到有关企业的访问来预测合并或收购消息。Guerra还提到了一个著名事件，美国士兵在Twitter上分享了自己到达伊拉克基地的照片，该照片通过地理标记包含地理位置的详细信息，这导致叛乱分子对美军基地发动炮弹攻击，摧毁了基地的直升机。

虽然移动应用的这些行为值得我们关注，但Guerra表示，另外一个同样大的风险来自于这些所收集的数据的最终目的地：广告网络。该报告发现，在免费的应用中，73%的Android应用和32%的iOS应用允许广告网络收集数据。即使是在付费应用中，仍然有38%的Android应用和16%的iOS应用传送数据到广告网络，在这种情况下，用户甚至可能不会意识到这种数据收集做法，这种做法属于开发者的网站上张贴的隐私政策之外。

移动广告网络的盛行带来很多风险，攻击者自己可以伪装成广告网络，直接搜集用户数据，破坏广告网络的软件开发工具包和渗透应用，或者干脆瞄准世界各地十几个广告网络存储的巨大的数据收集库。

“因此，从开发人员的角度来看，我们承载的数据越多，我们约有可能成为攻击目标，这正是广告网络的情况，”Guerra表示，“现在，大多数应用都有多个广告网络，这让情况变得更加严重，即使是开发人员本人可能都不知道所有这些数据去向哪里。从攻击者的角度来看，他们甚至不需要寻找最流行的广告网络，而是找到最薄弱的广告网络，就可以获取大量数据。”