近日,知名信息安全厂商卡巴斯基实验室安全专家发表博文,分析手机应用广告安全问题。文中指出智能手机用户经常使用一些免费的手机应用,但是,完全将这类应用称为免费应用并不合理,因为用户相当于通过观看广告,为应用付费。通过广告,应用开发者既可以盈利,还能够将应用服务推广给更多的用户使用,看起来是一个双赢的情况。
目前,安卓平台和iOS平台下很多应用的广告行为已经越界,超出了普通应用应该收集的数据范围,甚至有盗取用户隐私之嫌。针对这一情况,卡巴斯基实验室对应用广告现状进行了分析后指出,常见的手机应用广告形式如下:
广告条——目前最常用的广告手段,很多经常使用免费应用的用户都经常能在应用界面中看到这类广告。它一般位于应用界面的上方,利用位置服务发送具有针对性的广告内容。
推送式消息——这类消息来自远程服务器的推送。值得注意的是,推送不同于“请求”,请求是设备本身向服务器索取内容。一般情况下,推送消息会通过任务栏提示。
表格/登录式广告——这类广告在用户启动应用时出现,并且经常会占据整个屏幕,并要求用户登录,或获取更多广告详情。
内容锁定——有些内容只有用户在同广告内容互动后才能够使用。例如,需要用户注册登陆,获取更多广告内容,或者输入自己的电子邮件地址。
应用展示墙——在应用中,如游戏中,展示多个应用列表,吸引用户点击使用这些来自同一个广告网络上的应用。
应用图标创建——用户一旦使用了某一应用,会在桌面屏幕上生成其他应用的图标链接,这类手段,以往经常在PC软件中使用。
这些应用的广告功能是如何工作的呢?一般情况下,应用中附带的广告代码是采用SDK或其他软件开发工具插入到应用代码中的。一般都是在现有的应用代码上,插入一段专门用于实现广告功能的代码块。
广告代码是否有风险?答案是可能有。因为这取决于应用开发者选择了什么样的广告网络。很多情况下,广告代码只会在应用上添加一些让人觉得碍眼的广告内容,但是也有少数广告网络的SDK的做法非常过分,会收集用户大量隐私数据,其中包括:手机IMEI码、IMSI码、设备类型、系统版本信息、国家代码、所使用的语言、设备越狱状态、用户地理位置信息甚至电话号码等。此外,还有一些SDK可以提供能够收集用户行为的图标,用户点击图标后的行为,都会被记录。目前,Google声称这类应用并没有违反安卓在线商店的协议条款,所以仍然在线上供用户下载使用。
这些被收集的信息,可以被用来进行更精准的广告投放。即使应用开发者选择了正规的广告商进行应用广告的投放,仍然可以收集大量用户个人数据,有些广告代码甚至可能获取用户的各种隐私数据如手机号码、地理位置信息、电子邮件地址、浏览器收藏夹、浏览历史等等,甚至还会追踪用户的一举一动。要知道,即使警察需要收集如此详细的数据,还需要出示证件或搜查令,为何广告商就可以如此肆无忌惮?
鉴于此,卡斯巴基建议广大用户在选择和下载手机应用时,尽量选择正规应用开发商的产品,不要随便安装来历不明的应用。安装时,留意应用的权限请求。另一方面,希望Google和苹果能够进一步加强针对移动应用的监管,避免有类似恶意行为的应用通过在线商店发售。最后,还要呼吁应用开发者和应用广告商自律,在尊重用户知情权和隐私权的前提下,开发出更多更优秀的应用。