資安公司芬安全(F-Secure)日前公布臺灣今年上半年Android手機最常見的10大手機病毒,芬安全亞洲區資安顧問吳樹謙表示,超過5成(51%)惡意App是各種病毒與惡意程式,超過4成(41.9%)惡意App則是一種使用者不想安裝的非必要程式,也稱之為PUA(Potentially Unwanted Application)程式,往往會蒐集使用者不必要的資訊。

PUA程式以獲得使用者同意為由,蒐集不必要資訊

吳樹謙表示,在手機上的各種惡意程式,只要可以判定是任何一款病毒的原生或變種,包括各家資安公司提供的手機防毒軟體,都可以直接刪除相關的惡意程式,但是,對資安公司而言,最難處理的反而是這4成的PUA程式。

許多PUA程式,在使用者安裝前的最終用戶許可協議(End-user license agreement,EULA)中,透過密密麻麻的文字規範,往往會隱含該程式將蒐集使用者哪些資訊。但吳樹謙指出,一般使用者往往都沒有詳細閱讀後,便直接勾選同意;因為,若是勾選不同意,則無法安裝該App。「若進一步研究這些PUA程式所蒐集的資訊,往往早就超過這個應用程式所需要使用的資訊範圍。」他說。

他以在Google Play發現的一個手電筒App為例,這個App提供的是照明的服務,但是,這個App卻會蒐集使用者所在的位置的GPS資訊。吳樹謙質疑地說:「一個手電筒的App,為什麼需要蒐集使用者的GPS資訊呢?蒐集該項資訊的目的為何?」

不只有手電筒的App蒐集不必要的資訊,吳樹謙也發現到,近期有許多手機遊戲的App,除了使用者的資訊外,甚至還額外取得更多不必要的資訊,像是手機的IMEI號碼(形同手機身分證,可以知道是哪一個手機廠牌和型號)、手機使用者的GPS位址和相關的時間資訊等。

為了確保使用的App沒有蒐集不必要的資訊,除了可以在Android手機上,查詢每個App所使用的權限外,芬安全也推出免費的F-Secure App Permission,可以檢查Android手機上每一個App所使用的權限;另外,賽門鐵克推出付費版的諾頓行動安全產品,則有一個應用軟體(APP)顧問功能,可以顯示哪些App具有潛在風險供使用者參考。


Advertisement

更多 iThome相關內容