Carrier IQ仅是冰山一角，预装Android应用存在不安全因素

最近，
\nCarrier IQ泄露用户隐私的重大安全隐患令众多手机用户绷紧了神经。继10月初
\nHTC多部手机爆出安全隐患，移动设备的隐私安全问题再度成为大家关注的焦点。然而，实际的情况比想象的更糟。Carrier IQ事件揭发不过数日，北卡罗莱纳州立大学的研究者
\n最新发布的一份研究报告紧接着告诉我们又一个坏消息——预装Android应用存在不安全因素，可能泄漏个人隐私数据。

研究团队挑选了来自Android阵营几大重要厂商的8部手机作为安全测试对象，分别是 HTC的Legend, EVO 4G和 Wildfire S，摩托罗拉的Droid和Droid X，三星的Epic 4G，以及Google嫡系Nexus One和Nexus S。测试中，研究团队十分惊讶地发现：测试设备中的基于授权的安全机制存在严重漏洞，恶意预装应用获取系统级优先权后，可以在未经用户授权的情况下轻易访问手机中的各类数据，用户的个人隐私自然也不能幸免。

研究人员将发现的隐私泄漏情况分为两类：显式泄漏与隐式泄露。危害更大的是显示泄漏。在这种情况下，无需任何授权，恶意应用就可以直接通过公用接口调取其他应用内的数据。如果显示泄漏的方式走不通，过程相对复杂的隐式泄漏依旧可以“曲线窃密”。恶意应用只需从某一授权应用中继承它的
\n数字证书，再用这张一模一样的数字证书去请求数据。隐式泄漏造成的危害相对较小，但潜在的威胁不容忽视，被盗用的数字证书很可能会影响到那些正常应用的运行。

随后，研究人员又增加了安全测试的机种。在测试的13种Android手机中，有11种手机的预装应用可以通过显示泄漏方式获取用户的个人数据。其中，HTC的Evo 4G的表现最为糟糕，发现了多达8项的显式泄漏。有些不安全的预装应用甚至可以代替机主发送短信，删除手机内存储数据，调取录音通话记录，上传地理位置信息等。

值得注意的是，这次安全测试的对象仅限于预装Android应用。这些危险的预装应用已足以让Android用户的隐私暴露得一干二净，何况那些通过Android市场下载安装而未被曝光的恶意应用呢？
\nCarrier IQ事件中运营商的角色已经让我们不得不怀疑手机中预装应用的安全性。尽管运营商信誓旦旦地表示，安装某些预装应用仅是“为了更好的改善用户服务”，但是我们能安心吗？

对于这场愈演愈烈的移动设备隐私安全风暴，我们将持续关注并及时送上相关报道。

via
\nARS