一款壁紙軟件居然會讀取通訊錄，一款游戲軟件還能悄悄撥打用戶電話——手機下載安裝應(yīng)用軟件如今已是尋常事，但要當(dāng)心了：有可能“引狼入室”。5月13日，騰訊移動安全實驗室發(fā)布今年一季度手機安全報告，顯示手機用戶的通訊錄、短信、賬號密碼、位置信息等核心隱私正成為惡意軟件竊取目標(biāo)。日趨流行的手機支付，安全性亦因此遭遇嚴(yán)峻挑戰(zhàn)。

惡意軟件與病毒瞄準(zhǔn)安卓平臺

2013年3月，一款名為“游戲殺手”的病毒，短時間內(nèi)就感染了641款游戲軟件，影響超過20萬手機用戶。這款軟件正是在安卓操作系統(tǒng)上運行的。報告顯示，手機惡意軟件與手機病毒進一步增長，安卓系統(tǒng)已成為手機病毒肆虐的主要平臺。

騰訊此次發(fā)布的報告顯示，一季度，基于騰訊手機管家產(chǎn)品服務(wù)的騰訊移動安全實驗室截獲病毒包樣本總數(shù)為97367個，環(huán)比增長52%，其中在安卓系統(tǒng)截獲病毒樣本包數(shù)占比95%。而據(jù)第三方調(diào)研報告的估算，目前安卓系統(tǒng)約占市場的70%左右，蘋果iOS操作系統(tǒng)占20%—30%。

業(yè)內(nèi)專家介紹，蘋果手機使用的iOS操作系統(tǒng)是封閉式系統(tǒng)，相對穩(wěn)定，不開放源代碼。安卓系統(tǒng)則是徹徹底底的開放，任何一個獲取了安卓系統(tǒng)源代碼的機構(gòu)或者個人都可以對系統(tǒng)進行修改和優(yōu)化，手機用戶可以通過多方渠道安裝自己喜歡的應(yīng)用，而不是必須安裝通過官方驗證或者從官方應(yīng)用市場下載的軟件。這一優(yōu)越性同時也帶來了安全隱患。

據(jù)了解，安卓手機病毒來源以電子市場與手機論壇為主。國內(nèi)部分電子市場缺乏針對山寨或惡意軟件的精準(zhǔn)識別能力，許多制毒者或制毒機構(gòu)抓住審核缺陷與安全漏洞，上傳惡意軟件或?qū)⒗墴衢T軟件二次打包植入惡意代碼，可輕易繞過數(shù)字簽名的審核機制，快速感染海量用戶群。

71%手機軟件讀取用戶隱私

目前，手機應(yīng)用軟件（APP）讀取用戶隱私的現(xiàn)象嚴(yán)重性進一步凸顯。

據(jù)介紹，騰訊移動安全實驗室抽取了近470萬個軟件包，統(tǒng)計發(fā)現(xiàn)有讀取用戶隱私權(quán)限相關(guān)操作的軟件比例達(dá)到71%，也就是有超過333萬個軟件包同時申請了隱私權(quán)限，且含有讀取用戶隱私權(quán)限相關(guān)操作的代碼。

在這333萬個軟件包中，讀取設(shè)備識別信息與本機手機號的占61.75%與28.33%；讀取地理位置信息的占28.27%；讀取通訊錄的占10.29%，讀取短信的占4.22%；打開手機攝像頭與錄音器的分別占4.15%與3.75%；讀取通話記錄的占2.86%；讀取瀏覽器書簽的占7.93%。

專家分析，并非所有針對用戶隱私權(quán)限的讀取都不合理，主要取決于其目的是否在功能必須的范疇之內(nèi)。安全軟件、系統(tǒng)管理軟件、通訊軟件、社交軟件等針對用戶的通訊錄等隱私讀取是在合理權(quán)限內(nèi)；但是，如果一款游戲軟件或壁紙軟件需要讀取用戶通訊錄和短信，肯定屬于越權(quán)。

而在APP越權(quán)讀取隱私現(xiàn)象中，某些不法應(yīng)用開發(fā)者為了牟取利潤，往往山寨某些知名應(yīng)用，將其官方APP拆解后，在里面嵌入廣告插件甚至惡意代碼，這部分開發(fā)者被稱之為“打包黨”。含惡意廣告插件類APP會給用戶造成資費消耗、隱私泄露等多重危害。

比如，一款含廣告插件的游戲APP“神廟逃亡”，可讀取手機號、地理位置、拍照、瀏覽器書簽等多項權(quán)限；而被打包了“病毒代碼”的偽“神廟逃亡”還進一步獲取了聯(lián)系人、通話記錄、發(fā)送短信、撥打電話這4項用戶核心隱私權(quán)限。

讀取用戶隱私往往和牟利掛鉤。據(jù)業(yè)內(nèi)人士分析，收集地理位置、設(shè)備識別、本地手機號等信息后，可精準(zhǔn)投放廣告，并進行有效的用戶消費行為分析，符合部分廣告商的利益訴求，軟件開發(fā)者也可因此分成。

手機支付，當(dāng)心病毒竊財

目前，越來越多的智能手機用戶習(xí)慣于用手機支付轉(zhuǎn)賬，手機支付安全問題隨之而來。專家認(rèn)為，手機病毒被內(nèi)置到支付類、網(wǎng)購等應(yīng)用程序之中變得普遍，這類病毒一旦啟動，會伺機竊取用戶賬號信息。

據(jù)統(tǒng)計，今年一季度，移動互聯(lián)網(wǎng)上首次出現(xiàn)了手機支付銀行客戶端被感染的情況。一款手機支付病毒“洛克蠕蟲”首次感染了中國建設(shè)銀行的手機客戶端，通過二次打包的方式把惡意代碼嵌入銀行APP，未經(jīng)用戶允許私自下載軟件并安裝，還會安裝惡意子包，進一步竊取銀行賬號及密碼，繼而盜走用戶賬號中的資金。

手機安全專家付亮分析，與電腦支付系統(tǒng)相比，手機支付平臺本身并沒有更大風(fēng)險，關(guān)鍵在于手機應(yīng)用環(huán)境和用戶的手機使用習(xí)慣。比如，很多用戶習(xí)慣于在手機上設(shè)置默認(rèn)密碼，每次自動登錄，這就給惡意軟件和病毒留下了可乘之機。

專家建議，對普通用戶來說，要保護個人信息和隱私安全，最好從正規(guī)渠道購買手機。許多水貨手機往往在出貨前就已經(jīng)刷機或者內(nèi)置了各種流氓軟件。同時，不要點擊不明網(wǎng)址鏈接，從正規(guī)安全的渠道下載應(yīng)用，在論壇里下載軟件之前最好先瀏覽用戶評價，使用可靠的手機安全軟件，定期體檢和殺毒。

付亮尤其提醒，安裝軟件時一定要知道自己安裝的是什么，不能糊里糊涂，安裝完畢后檢查軟件權(quán)限，關(guān)閉或者刪除不必要的功能，及時監(jiān)控惡意軟件的過度權(quán)限要求和后臺私自聯(lián)網(wǎng)等惡意行為。