移動網際網路時代，移動應用內儲存的個人隱私資料資訊愈加豐富，在這個極具誘惑力的市場中，利益驅使之下違規操作層出不窮，非法竊取使用者隱私氾濫成風。

近日，360安全大腦監測到，在金融類移動軟體中，存在一批具有隱祕拍照行為的軟體魚目混珠，以提供借貸服務之名，悄無聲息進行隱私非法收集行為，隱私安全如履薄冰。

靜默偷拍+明文上傳，非法獲取使用者隱私“手段”再升級

據360安全大腦監測資料顯示，截至今年6月中旬，共發現信用袋、給你花、唄唄花等9款軟體，捕獲90個樣本。相比以往，這9款軟體“偷盜”手段略有不同，除了非法收集使用者敏感通訊資料外，還會嘗試對使用者面部影象進行靜默偷拍與上傳。

軟體名稱與功能

經深入分析發現，這類借貸軟體都用了同樣的操作手法，常規啟動登陸頁面，然後停留輸入資訊，最後登入主頁面，在這個過程中進行“偷拍”，悄無聲息獲取個人資訊。

圖1 信用袋登入頁面

這類軟體都藉助了開源的無預覽拍照工具AndroidHiddenCamera進行靜默偷拍，使用者開啟登入介面後，這款工具便會開啟“非法之路”，先檢測手機機型，然後根據機型呼叫前置或後置攝像頭，最後進行靜默拍照，也不會發出提示音與閃光，輕鬆躲避使用者感知。

當然，手機型號不同，也決定了選擇不同。該類軟體在靜默拍照時首選前置攝像頭偷拍使用者面部影象，只有檢測到某些具有升降攝像頭的特定機型才會使用後置攝像頭，例如OPPO k3、VIVO x27等。而針對具有升降攝像頭的手機，這類軟體會避開採集面部影象，以免攝像頭升起讓使用者有所察覺，達到偷拍目的。

檢測機型確定攝像頭型別

靜默拍攝的圖片名稱為a.jpg，儲存在使用者手機SD卡中以軟體名全拼命名的資料夾下，如“信用袋”的圖片儲存路徑為/sdcard/xinyongdai/camera/a.jpg。如果路徑下有同名檔案存在不會進行覆蓋。當用戶身份認證成功後，該圖片會被私自上傳至指定伺服器，可謂是不費吹灰之力實現一樹百穫。

手法二：明文上傳，敏感資料被“盜取”

值得一提的是，除偷拍使用者面部影象外，這類借貸軟體毫無限制、“掃蕩式”地採集使用者的各種敏感通訊與網路資料，包括使用者簡訊、通話記錄、通訊錄、接入網路等，進行非法收集與明文上傳。

使用者登入成功後必須先完成多重認證才能進行借款操作，藉助認證，這類軟體乘機收集使用者簡訊、通話記錄與安裝軟體列表，並將這些個人敏感資訊連同認證時上傳的身份證照片一併明文傳送至指定伺服器。

主功能介面與認證頁面

在這一環節，與身份認證同步進行的隱私非法收集與明文上傳過程同樣讓使用者無任何感知，且在首頁、認證頁與個人頁都看不到隱私宣告，環環相扣，不留痕跡，其賊心不言而喻。

溯源追蹤“一鍋端”，多款借貸軟體暴露“狼子野心”

360安全大腦溯源分析發現，該類軟體中部分軟體的隱私回傳伺服器域名xinxinshuju.com，可以確定非法收集使用者隱私的目標單位——湖南新薪時代信用服務有限公司。據該公司官網業務與官方介紹，其主要從事海外金融APP開發。

圖3 新薪時代公司官網

除“給你花”、“信用袋”、“唄唄花”等9款具有靜默拍照行為的軟體外，還有5款為該公司非法收集使用者隱私的軟體，這些軟體同樣都是借貸軟體，雖然沒有整合靜默拍照功能，但同樣存在使用者無感知的隱私非法收集行為。

移動軟體濫用隱私仍難自持

對標“紅線”共耕指尖安全“責任田”

自移動金融行業興起至今，360安全大腦始終對金融類軟體隱私收集保持著高度關注，截至此次新薪時代信用服務有限公司事件的披露，共發現上千款有著隱私不當收集行為的金融類軟體，其中以借貸軟體為主。金融類軟體出於業務風控特性，往往需要採集部分使用者資料，但無剋制不受限採集與靜默採集現象卻在金融類軟體中氾濫。

可見，在大資料與個人隱私邊界模糊的時代，五花八門的軟體早已成為狼豺虎豹爭相搶奪的“潘多拉之盒”，借貸軟體中招僅是惡意軟體許可權濫用的冰山一角，因此，強烈的監管風暴也隨之颳起。

在立法層面，《網路安全實踐指南——移動網際網路應用基本業務功能必要資訊規範》、《App違法違規收集使用個人資訊行為認定方法》先後出臺，明確了未公開收集使用規則；未明示收集使用個人資訊的目的、方式和範圍等6項認定準則，包含31種場景。

當然，面對此種現狀，企業、使用者、應用市場與安全廠商等都應在相關法律法規“紅線”之內，承擔社會責任，共同保護隱私安全。

l 企業應嚴格遵守相關法律法規的規定獲取隱私授權與進行隱私採集，對自身作為第三方或有其他第三方參與的場景，按規定明確彼此責任與義務並嚴格執行，做到使用者隱私規範採集、合理使用、謹慎共享；

l 使用者作為隱私竊取APP最終受損方，應謹慎授予隱私許可權和許可隱私宣告，儘可能從可信應用市場下載APP，安裝並及時更新防毒軟體；

l 應用市場作為APP渠道方，必須對隱私類APP稽核上架嚴格把關，從市場源頭控制可能威脅使用者隱私安全的APP進入市場；完善舉報制度，及時控制問題APP繼續傳播；

l 安全廠商應結合新技術完善檢測機制，儘快發現存在隱私不規範採集行為的APP，並協助相關部門、應用市場、企業等參與方共同控制問題APP進一步傳播。

360烽火實驗室

360烽火實驗室，致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。

作為全球頂級移動安全生態研究實驗室，360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。

實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全資料和頑固木馬清除解決方案的同時，也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務，全方位守護移動安全。