在近幾年，功能日益強大的智能手機和其他移動設備開始進入企業環境，安全專家經常擔心移動惡意軟件也會隨之增加，正如十多年前在電腦領域所看到的那樣。但根據最新的報告顯示，這種擔憂在很大程度上不切實際，因為移動應用的數據收集對企業和用戶構成更大的威脅。

應用分析供應商Appthority在本月發布的關于移動應用信譽的報告中，詳細介紹了Android和iOS移動平臺中目前前100名免費應用和前100名付費應用的數據收集情況。Appthority公司通過在測試環境中對所有400個應用運行靜態、動態和行為應用分析來收集了報告中的這些數據。

在Google Play應用商店的前100位免費Android應用中，80%會收集唯一設備標識符（UDID）或者IMEI，而82%的應用會進行某種形式的定位跟蹤，另外30%訪問用戶的地址簿。雖然蘋果經常吹捧iOS是比Android更安全的注重隱私的平臺，但Appthority的統計數據并沒有顯示出這一點。在App Store的前100位免費應用中，超過一半的應用涉及相同的UDID和位置跟蹤，26%還訪問用戶的地址簿。

該公司發現，即使是付費應用，數據收集也很普遍。例如，在前100位付費Android應用中，65%使用UDID信息，49%收集位置數據，還有14%訪問地址簿。而在iOS方面，28%使用UDIF，24%收集位置數據，8%訪問地址簿。

相比較而言，在分析的400款應用中，Appthority并沒有找到一個移動惡意軟件的實例。該公司指出，只有4%的應用包含惡意軟件，因為評估會對進入iOS App Store的所有應用執行嚴格的手動安全審查過程，而谷歌也使用各種技術來掃描Google Play應用中的惡意軟件。

“大家都知道移動惡意軟件，”Appthority總裁Domingo Guerra在接受采訪時表示，“但不是每個人都知道這些其他問題。” 數據收集的風險 Guerra表示，移動應用的數據收集會給企業和用戶帶來很多風險，這些風險可能最初不是很明顯。例如，如果用戶同步其企業Outlook賬戶到個人智能手機，該設備可能可以訪問企業地址簿，其中包含很多重要客戶的聯系方式。如果收集這種地址簿信息的應用受到攻擊，攻擊者就可以利用這些信息來發送垃圾郵件到這些聯系人，收集敏感企業來點的撥入詳細信息，讀取日歷中的附件等。

除政府之外，大多數企業并沒有非常擔心位置追蹤數據，但如果攻擊者可以獲取關鍵管理人員的位置，他們可能會利用這些信息，根據到有關企業的訪問來預測合并或收購消息。Guerra還提到了一個著名事件，美國士兵在Twitter上分享了自己到達伊拉克基地的照片，該照片通過地理標記包含地理位置的詳細信息，這導致叛亂分子對美軍基地發動炮彈攻擊，摧毀了基地的直升機。

雖然移動應用的這些行為值得我們關注，但Guerra表示，另外一個同樣大的風險來自于這些所收集的數據的最終目的地：廣告網絡。該報告發現，在免費的應用中，73%的Android應用和32%的iOS應用允許廣告網絡收集數據。即使是在付費應用中，仍然有38%的Android應用和16%的iOS應用傳送數據到廣告網絡，在這種情況下，用戶甚至可能不會意識到這種數據收集做法，這種做法屬于開發者的網站上張貼的隱私政策之外。

移動廣告網絡的盛行帶來很多風險，攻擊者自己可以偽裝成廣告網絡，直接搜集用戶數據，破壞廣告網絡的軟件開發工具包和滲透應用，或者干脆瞄準世界各地十幾個廣告網絡存儲的巨大的數據收集庫。

“因此，從開發人員的角度來看，我們承載的數據越多，我們約有可能成為攻擊目標，這正是廣告網絡的情況，”Guerra表示，“現在，大多數應用都有多個廣告網絡，這讓情況變得更加嚴重，即使是開發人員本人可能都不知道所有這些數據去向哪里。從攻擊者的角度來看，他們甚至不需要尋找最流行的廣告網絡，而是找到最薄弱的廣告網絡，就可以獲取大量數據。”