iPhone应用正偷你的信息编辑本段回目录
最近一项研究显示,超过半数的iPhone应用获取和分享了可以用来跟踪用户的唯一编号,而且是在用户不知情的情况下。
维也纳科技大学(Technical University of Vienna)博士生曼纽尔•伊格尔(Manuel Egele)和其他三名研究人员调查出了超过1400个iPhone应用是如何处理用户数据的。其中仅有一小部分公然泄露隐私:有36个应用在未告知用户的情况下访问手机地理位置信息;另有5个未经许可便从用户地址簿里收集数据。这一研究结果将会在二月初的网络及分布系统安全研讨会(Network and Distributed System Security Symposium)上公布。
然而,超过半数被调查的iPhone应用获取了设备串号——一个用以标识特定手机的40位的十六进制数字。超过750个被调查应用使用了某种跟踪技术。在大约200个案例中,开发人员找出了一种获取设备串号的方法;而其他应用则使用这一功能来发送广告或跟踪软件库。伊格尔的研究结果将会在二月初的网络及分布系统安全研讨会上公布。
“这对于那些不能合法创建用户档案的公司有着潜在的用途,”伊格尔说,“标识符串号虽不与用户名绑定,但你可以把它与某个Facebook帐号相关联,那将带给你许多用户信息,多数情况下包括他们的真实姓名。”
最近刚刚庆祝过其100亿应用程序下载的苹果公司对应用进行了审核并且要求开发者在获取用户数据前要得到授权。然而,外界对苹果是如何审核每个应用的却一无所知。
iPhone安全专家、独立安全评估公司(Independent Security Evaluators)首席分析师查理•米勒(Charlie Miller)说:“你无法确切了解这些应用会做些什么——他们并非来自强大的研发团队,而是来自普通人。”iPhone使用所谓的“沙箱”来自动限制程序的行为,但这些限制不是非常严格,意味着获取个人信息并不困难。米勒说:“它们的确在沙箱中运行,但那是一个相当宽松的沙箱。”
这四位研究者分析了苹果应用商店里825款免费软件以及另外582款来自Cydia源的软件。Cydia源是一项为已经把苹果安全措施从iPhone上移除的用户提供软件的服务。这一过程便是我们所熟知的“越狱”。
伊格尔和他的同事们将侵犯隐私定义为程序在没有征求许可的情况下从手机读取敏感数据(地址信息、电话号码、电子邮件帐户信息)并经由互联网向外发送。研究人员无法发现用户是否是被欺骗而给与许可的。
“我们提出的对隐私的定义是不想让来自移动设备的敏感数据被获取而用户却不知情,”伊格尔说,“但我们无法判断这是不是恶意的。”
研究人员开发了一款软件以测试每个程序的功能并判断它是否获取和传送了敏感信息而未告知用户。他们还必须破解这类应用是如何仅靠有限信息工作的。
研究中一个有趣的现象:来自应用程序商店的应用比来自未受监管的Cydia源的应用更有可能偷窥用户数据。
米勒说苹果应该改进它的应用审核流程。“对于这一问题没有简单的解决方案,但拥有一个中央数据交换中心(像苹果)是最好的解决方式”他说,“但是目前,苹果可能并没有把它做好。”
iPhone严重漏洞 锁屏密码可轻松绕过编辑本段回目录
国外黑客发现了iOS 4.1新版中的一个严重漏洞,iPhone在处理紧急呼叫时再次出现可绕过锁屏PIN的问题,实现方法如下:
1.在PIN输入屏幕点击紧急呼叫按钮;
2.随意输入一些号码,例如#1337并拨打;
3.当您看见红色的“结束通话”按钮后,按下右上角锁屏键;
4.拨号盘出现,您还可以阅读本机的所有联系人,并相应打开邮件等信息。
绕开密码后进入此界面
该漏洞测试已经通过,苹果的技术部门在24-48小时内估计会对此有所反应。
联通版iPhone陷偷流量漩涡:数据流量半夜猛增编辑本段回目录
每经记者 陈未临 发自上海
得益于iPhone的热销,中国联通3G用户迅猛增长。但傍上了苹果的联通,近日却遭到“偷流量”质疑。
近日,《每日经济新闻》接连收到中国联通用户投诉,称“中国联通版iPhone有不合理产生数据流量的嫌疑”。记者经调查后了解到,自去年11月至今,类似投诉曾先后在浙江、广东、上海、北京等地出现过。据不完全统计,中国电子商务协会等有关部门收到的投诉案例加上网上的投诉帖已有约10条。
数据流量半夜猛增
“我上网,流量你说了算,我又搞不懂你的计费系统,没办法提出质疑。但在我没有上网的时候,你帮我记下数据流量,还一次就计费两百多,这就欺人太甚了!”
10月14日,上海的联通版iPhone用户成永(化名)在下班途中习惯性地用自己的iPhone3GS上了一会儿开心网和新浪微博,之后又用iPhone打开了中国联通网上营业厅10010.com网页,准备看下本月还有多少流量可以使用。“本来是闲着没事查一下,没想到查出了大问题”。
成永打开当月手机账单页面后发现,本月的数据可用流量已为零。“我使用的是联通286元每月的3G套餐,套餐内的数据流量有1G,前两个月都是月尾频繁下东西才用完的,怎么这个月这么快就用完了。”
成永当时以为是联通的系统出问题了,因为之前也有因系统问题显示错误的情况。但是当他回家再次用电脑查询时,页面不但显示套餐内数据流量用完,更多了两百多元的套餐外流量。
成永于是查询了自己的数据账单详情,结果发现,套餐内的最后一次上网记录发生在10月12日的凌晨零点52分。从当天凌晨2点开始,成永的iPhone就开始产生套餐外的数据流量了,资费总计金额高达200多元的套餐外数据流量均产生在当天凌晨2点16分到6点47分这段时间。
“我可以肯定当天凌晨没有上网,而是在睡觉。出现这样的情况,除了iPhone出问题和联通计费系统存在问题,我想不出别的原因。”成永说。
在看到这份莫名其妙的账单明细后,成永立即拨打了上海联通的10010服务热线,结果联通客服却建议他“继续使用,等流量费超过500元,就按80元结算,不超过500元,就按照账面显示计费”。
对于客服的答复,成永感到很不解:“为什么要我用到超过500元,而且为什么超过了500元就可以按照80元结算?是不是联通后台可以任意操作客户的流量以及随意计费?”
面对成永的上述质疑,上海联通10010客服工作人员表示联通的流量计算没有问题。而苹果上海浦东零售店的客服在得知成永联通版iPhone的上述流量问题后表示,除非成永使用手机电视等视频业务,不然不可能产生这么大的流量。
由于没有别的维权方法,目前,成永正依据联通客服人员的建议,按照自己的上网习惯使用iPhone。“这两天iPhone没有产生大的流量,但我总是担心,万一月底前哪一天联通的系统又‘偷掉’我很多的流量,我要怎么办?”成永说。
成网友投诉热点
成永当前的担心,并非个别现象。早在成永遇到流量问题之前,浙江、广东等地的联通版iPhone用户就已经提出了相同的怀疑。
今年9月24日,浙江金华的王先生在中国电子商会主办的3·15消费电子投诉网上投诉“使用iPhone后数据流量疯涨”。
据王先生叙述,他是今年9月18日起使用8G版联通版iPhone3G的,且所用软件应用都是到营业厅下载使用的,没有通过盗版软件进行“越狱”。但到9月24日发现,他的iPhone开始莫名其妙产生数据流量。
王先生在联系中国联通客服10010热线后,被告知超套餐流量7M多,产生费用75.56元。王先生介绍,他使用的资费套餐是5元包30M流量的,他在家使用iPhone时基本上都是用WiFi,而且浏览网页时采取的还是比较不耗流量的WAP方式,所以他对30M数据流量这么快用完感到很疑惑。
网友“tobloveme”疑似被“偷流量”遭遇要早于成永和王先生,他早在去年7月15日就曾到威锋网论坛发帖,叙述自己 “被联通莫名扣费100元”。
据tobloveme叙述,他使用的是iPhone3G,虽然当时联通版iPhone还未上市,但因为水货iPhone的3G制式是联通所运营的WCDMA,所以办理了联通的3G手机卡。没想到,才使用10天,tobloveme就收到了一张数据流量费高达500元的手机账单。账单显示,他的数据流量费集中发生在7月9日凌晨3点,内容为“GPRS互动视界WAP”。可tobloveme表示,“我根本不知道什么是互动视界,更不要说使用了。
为了搞清楚什么是“互动视界”,tobloveme后来又用联通的3G卡浏览了IT168、猫扑、新浪等多个网站,结果网上清单显示的全是 “GPRS互动视界WAP”。
tobloveme表示,“从清单上看不出我这个月至今总共用了多少流量,只能看到每次的流量,而且是以字节为单位。换句话说,就是不知道从什么时候开始,我要为超出的流量付0.01元/KB的费用。”
除了上述案例以外,在通信人家园、威锋网论坛等iPhone用户和爱好者聚集的网络论坛上,投诉“联通版iPhone偷流量”的帖子也屡见不鲜。
那么,“偷流量”究竟是不是联通版iPhone的通病呢?真正在“偷”流量的,究竟是苹果iPhone,还是中国联通呢?
联通保持沉默
根据“手机中国”网站在今年1月做的一份iPhone3GS手机上网流量测试报告,以3GS版iPhone为例,使用QQ等IM软件20分钟所用流量大概为发送113K、接收340K,费用大概在0.13元左右;而使用iPhone自带股票浏览软件,浏览4只股票信息所用数据流量大概为发送181K、接收863K,费用大概为0.3元左右;而使用Safari等浏览器浏览新浪和搜狐www网页,浏览4则新闻所用的数据流量大概为发送526K、接收2.3M,费用大概为1元左右。报告指出,由于iPhone的邮件应用是实时更新的,且无法关闭,如果用户邮箱内未读邮件较多,则会产生较大数据流量。
而网友aikkdd于10月13日根据自己的使用体验表示,“iPhone4跑流量大概是一天12M、一个月360M,也就是500元每月的水平”。
面对用户“偷流量”的质疑,联通选择了沉默。《每日经济新闻》就此事以电子邮件形式向联通方面提出采访问题,中国联通集团公司方面截至发稿前还未有正面回应。
去年5月17日,中国联通的3G业务正式投入试商用。当时中国联通曾以“透明的”计费模式作为3G业务的一大卖点。中国联通强调,在增值业务的计费上,该公司引入了独特的是M/T模式。在该模式中,M即对视频、歌曲等多媒体内容的计费单位,为1元;T即对新闻、邮件文字等文本内容的计费单位,为0.2元。具体收费则是按照看一段视频或下载一首歌曲收N个M,下载一篇文字小说收取N个T的模式。
