大学研究员揭示Android广告软件隐私风险

　　根据北卡罗来纳州立大学(North Carolina State University)的研究人员的最新报告，一些包含广告软件的Android应用程序常常会暴露用户的个人信息。该研究揭示了Android应用程序广告库如何挖掘不必要的数据。

　　广告库包含于许多免费的Android应用程序中，允许广告商访问移动设备上所载的信息。与来自达姆施塔特工业大学(Technical University Darmstadt)的德国研究小组一起进行的研究表明，那些数据对广告的正常运行通常是无用的。

　　该研究小组审查了十万个来自Google Play的应用程序，Google Play就是之前的Android Market(译者注：北京时间2012年3月7日，谷歌将把其出售应用、视频、音乐、电子图书及其他数字产品的在线商店Android Market更名为Google Play Store)，而广告库就包含在这些应用程序中。在所选择审查的应用程序中，52.1%的程序共包含了一百种不同的Android广告库。

　　题为《移动设备程序广告不安全暴露分析》(Unsafe Exposure Analysis of Mobile In-App Advertisements)的报告中声明道，“我们的研究结果表明，大多数现有的广告库会收集私人信息。”私人信息可能是任何数据，比如用户的电话号码、设备上的浏览器书签。

　　广告常被Android开发者用在免费的移动应用程序中，以赚取利润。Android广告软件已被安全专家和隐私权的拥护者认定为一个潜在的问题。很多用户不介意被显示广告，以换取一个免费的应用程序，但专家们表示，如果用户知道这些广告与应用程序本身具有相同的访问权限，那他们使用时可能就会重新考虑了。

　　研究人员表示，尽管对一个应用程序甚至是一个广告商来说，访问智能手机的GPS定位可能是必要的，但我们很难理解为什么广告商要访问用户的电话号码、呼叫记录、联系人，或设备上的其他应用程序列表。

　　“此外，”该报告还详细地描述，“其它的一些广告通过利用一个不安全的机制进一步直接读取和运行互联网上的代码，这会导致严重的安全风险。”

　　根据研究，有五个被识别的广告库具有一个共同的功能，即允许它们在运行时加载代码，这是非常危险的。

　　报告指出，“结果显示，这些广告库实际上是不可能进行静态分析的;一时兴起时，这些代码是可以被更改的。例如，一个恶意的或被盗用的广告网可以控制其广告库下载僵尸网络的净负荷或根漏洞。”

　　据报道，在研究过程中发现了一个特殊的情况，谷歌提取和加载了可疑的净负荷。有七个被发现含有广告库的应用程序从Android Market中删除了。这一行动显示了这些隐私问题的严重性。

　　“这些结果清楚地表明，需要更好地规范Android应用程序中广告库的集成方式，”该报告称。