移動(dòng)社交通信類應(yīng)用的漏洞問題研究

劉純麗，丁祥偉

移動(dòng)社交通信類應(yīng)用的漏洞問題研究

劉純麗1，2，丁祥偉2

（1.池州學(xué)院文學(xué)與傳媒學(xué)院，安徽池州247000；2.安徽永祥地產(chǎn)評(píng)估咨詢有限公司，安徽池州247000）

智能移動(dòng)終端以其豐富的功能應(yīng)用，為人們?nèi)粘Ｌ幚韨€(gè)人信息提供了便捷，尤其是其社交通信類應(yīng)用相對(duì)于傳統(tǒng)的短信息服務(wù)及計(jì)算機(jī)終端應(yīng)用具有較高的性價(jià)比廣泛被接受。同時(shí)基于移動(dòng)終端的社交通信類應(yīng)用為了增加用戶黏度，滿足用戶網(wǎng)絡(luò)世界與現(xiàn)實(shí)世界交融的通信需求，均提供了“添加手機(jī)聯(lián)系人”功能，文中提出了該功能能夠?qū)崿F(xiàn)大規(guī)模收集目標(biāo)用戶個(gè)人信息資料；建立了對(duì)上述漏洞的原型系統(tǒng)，并搭建了實(shí)驗(yàn)平臺(tái)進(jìn)行了包含大規(guī)模數(shù)據(jù)的實(shí)驗(yàn)，同時(shí)基于兩款社交通信類應(yīng)用的整合分析，以及對(duì)數(shù)據(jù)的一致性和真實(shí)性分析，并提出了可行的漏洞防御方案。

移動(dòng)社交通信類應(yīng)用；智能移動(dòng)終端網(wǎng)絡(luò)；隱私泄漏；手機(jī)聯(lián)系人；安全防御

DOI：10.13420/j.cnki.jczu.2015.06.014

1　引言

近年來，隨著智能移動(dòng)終端的普及，基于移動(dòng)互聯(lián)網(wǎng)和手機(jī)終端的各類應(yīng)用迅速發(fā)展。而其中，基于移動(dòng)終端的即時(shí)通信社交應(yīng)用程序（移動(dòng)社交通信類應(yīng)用，下同），利用移動(dòng)終端本身的蜂窩移動(dòng)通信網(wǎng)絡(luò)或互聯(lián)網(wǎng)的無線通信網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的發(fā)送與接收。與傳統(tǒng)的計(jì)算機(jī)終端即時(shí)通信相比，能更好體現(xiàn)即時(shí)通信的碎片化時(shí)間特點(diǎn)，實(shí)現(xiàn)移動(dòng)即時(shí)通信常態(tài)［1］。用戶在使用移動(dòng)社交通信類應(yīng)用時(shí)，為了與真實(shí)世界的好友實(shí)現(xiàn)準(zhǔn)確快速的通信，在注冊(cè)的賬號(hào)信息中，會(huì)提供諸如姓名、性別、年齡、職業(yè)、地址等真實(shí)的個(gè)人信息資料。此外，同一用戶在使用各種網(wǎng)絡(luò)應(yīng)用時(shí)，會(huì)相互綁定相關(guān)資料（譬如手機(jī)號(hào)碼等），這意味著同一用戶的信息資料將會(huì)在多個(gè)服務(wù)器之間形成關(guān)聯(lián)，這將增加用戶個(gè)人信息資料被他人竊取的風(fēng)險(xiǎn)［2］。

為了能夠更好的將社交通信類應(yīng)用與移動(dòng)終端更緊密的結(jié)合，很多移動(dòng)社交通信類應(yīng)用都實(shí)現(xiàn)了手機(jī)通訊錄匹配添加好友的功能。

2　相關(guān)問題描述

2.1手機(jī)通訊錄匹配功能

移動(dòng)社交通信類應(yīng)用為了使應(yīng)用直接融入到手機(jī)中，方便用戶找尋好友，提高用戶對(duì)新應(yīng)用的依賴度，將手機(jī)通訊錄匹配功能設(shè)為其標(biāo)配。

使用手機(jī)通訊錄功能需要兩個(gè)步驟：第一，將應(yīng)用賬號(hào)與手機(jī)號(hào)碼綁定；第二，用戶允許應(yīng)用程序上傳手機(jī)通訊錄或者手機(jī)通訊錄的特征信息。至此，手機(jī)通訊錄就被應(yīng)用程序上傳到應(yīng)用程序服務(wù)器端，應(yīng)用程序賬號(hào)就可以使用手機(jī)通訊錄功能瀏覽或者添加好友。該功能的使用是在假設(shè)用戶與其手機(jī)通訊錄的聯(lián)系人之間存在真實(shí)世界的社交關(guān)系，向用戶推薦手機(jī)通訊錄聯(lián)系人賬號(hào)信息不會(huì)造成安全風(fēng)險(xiǎn)。本文通過分析發(fā)現(xiàn)手機(jī)通訊錄匹配添加好友功能在帶來方便的同時(shí)，也帶來了用戶隱私泄漏的潛在隱患。

2.2惡意使用手機(jī)通訊錄匹配功能描述

用戶a的手機(jī)通訊錄表示成聯(lián)系人的集合Ca，其中每個(gè)聯(lián)系人都包含一個(gè)二元組的數(shù)據(jù)（name，pn），name和pn分別表示該聯(lián)系人的姓名和手機(jī)號(hào)碼。應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)中存儲(chǔ)了用戶的所有信息，表示為｛id，pn，profile｝，其中ID表示用戶的賬號(hào)，pn表示與該賬號(hào)綁定的手機(jī)號(hào)碼，profile表示用戶的個(gè)人資料。用戶a在激活通訊錄匹配功能之后，形成了用戶賬號(hào)和用戶手機(jī)號(hào)碼的綁定。第一步，攻擊者b偽造一個(gè)通訊錄Cb，由于手機(jī)號(hào)碼組成具有一定的規(guī)律，偽造的通訊錄手機(jī)號(hào)碼可以是攻擊者感興趣的號(hào)碼、也可以是隨機(jī)號(hào)碼或者特殊號(hào)碼，且姓名與手機(jī)號(hào)碼可以無關(guān)。第二步，攻擊者將通訊錄Cb與自己注冊(cè)的賬號(hào)綁定，這樣該通訊錄就上傳到應(yīng)用程序服務(wù)器，之后服務(wù)器返回與通訊錄中手機(jī)號(hào)碼綁定的賬號(hào)信息和資料。

2.3隱私泄漏威脅分析

帳號(hào)是用戶在網(wǎng)絡(luò)世界的通行證，具有唯一性的特性。本文探討的利用移動(dòng)社交通信類應(yīng)用的手機(jī)通訊錄匹配功能獲取用戶帳戶資料具有以下的潛在威脅：（1）攻擊者通過以上方法可以獲取用戶帳號(hào)的相關(guān)個(gè)人資料和手機(jī)號(hào)碼。收集到的大量活躍手機(jī)號(hào)碼，結(jié)合個(gè)人資料，可以較為全面的分析用戶相關(guān)信息，進(jìn)行定向廣告投放，增加了廣告的投放收益。（2）攻擊者通過本文提到的方法從不同應(yīng)用程序獲得同一用戶的多份資料，并進(jìn)行整合，攻擊者可以全面掌握該用戶的資料，為進(jìn)一步進(jìn)行網(wǎng)絡(luò)詐騙提供可能。

3　實(shí)現(xiàn)方法

本節(jié)首先介紹移動(dòng)社交通信類應(yīng)用獲得用戶資料的方法步驟，然后基于此方法步驟介紹實(shí)現(xiàn)的具體細(xì)節(jié)。

3.1資料獲得整合分析

利用移動(dòng)社交通信類應(yīng)用的手機(jī)通訊錄匹配功能獲得手機(jī)通訊錄號(hào)碼相關(guān)信息的流程圖如圖1所示。在實(shí)現(xiàn)了使用手機(jī)通訊錄匹配功能之后，對(duì)返回的資料進(jìn)行深入的整合分析，形成完整的用戶信息資料數(shù)據(jù)庫(kù)。

圖1　流程圖

整合涉及到同一用戶同一開發(fā)商開發(fā)的的多個(gè)不同應(yīng)用的帳戶資料進(jìn)行的。分析是考慮到目標(biāo)用戶注冊(cè)的個(gè)人信息的非真實(shí)性而進(jìn)行的目標(biāo)用戶資料的一致性和真實(shí)性進(jìn)行分析。

3.1.1數(shù)據(jù)整合當(dāng)前對(duì)于很多大型應(yīng)用開發(fā)商來說，為了獲得更多客戶，通常旗下會(huì)有多款應(yīng)用，同時(shí)與其它應(yīng)用開發(fā)商合作運(yùn)營(yíng)，允許這些應(yīng)用共用同一賬號(hào)登錄。對(duì)用戶來說更加方便對(duì)各個(gè)應(yīng)用賬號(hào)的管理，提升網(wǎng)絡(luò)使用范圍。例如，騰訊公司不僅允許用戶使用QQ登錄其旗下的另一款應(yīng)用微信賬戶，同時(shí)與其它開發(fā)商合作建立應(yīng)用市場(chǎng)聯(lián)盟，允許使用QQ賬號(hào)登錄合作伙伴的應(yīng)用。這就意味著應(yīng)用市場(chǎng)聯(lián)盟的各應(yīng)用之間共享用戶的賬戶信息資料，針對(duì)共享賬號(hào)登錄的各應(yīng)用返回的數(shù)據(jù)進(jìn)行整合，可以獲得更加準(zhǔn)確且全面的個(gè)人信息資料。

3.1.2數(shù)據(jù)分析目前應(yīng)用開發(fā)商為了滿足用戶對(duì)于移動(dòng)社交通信類應(yīng)用的不同社交需求，支持多種添加好友的渠道。為了促進(jìn)用戶與好友之間的通信交流，使用手機(jī)通訊錄匹配功能或其它現(xiàn)有應(yīng)用的好友聯(lián)系人方式添加好友，用戶會(huì)傾向于使用真實(shí)的數(shù)據(jù)信息希望個(gè)人信息資料能夠被朋友看到；滿足用戶通過相近地理位置發(fā)掘新朋友，通過相關(guān)技術(shù)進(jìn)行地理位置定位添加好友，用戶處于防范意識(shí)則不填或錯(cuò)填相關(guān)資料。基于以上情況，在分析不同應(yīng)用的數(shù)據(jù)資料時(shí)，需要對(duì)用戶數(shù)據(jù)信息進(jìn)行一致性和真實(shí)性分析。

一致性分析是指對(duì)于同一用戶的不同應(yīng)用的共有字段進(jìn)行判斷，如果內(nèi)容完全匹配或者部分匹配，則認(rèn)定用戶該字段數(shù)據(jù)一致或相似。那么就可以判定該用戶資料信息具有一定的真實(shí)性。當(dāng)然如果用戶在各應(yīng)用平臺(tái)均采用虛擬的信息，則無法判定信息的真實(shí)性。

3.2實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)

本文利用移動(dòng)社交通信類應(yīng)用的漏洞實(shí)現(xiàn)了大規(guī)模竊取用戶信息資料的原型系統(tǒng)，該系統(tǒng)由手機(jī)通信錄偽造模塊、數(shù)據(jù)信息提取模塊和數(shù)據(jù)信息分析模塊三部分組成。手機(jī)通信錄偽造模塊完成自動(dòng)產(chǎn)生大量標(biāo)準(zhǔn)格式通訊錄的手機(jī)號(hào)碼的任務(wù)，考慮到手機(jī)的處理能力，通訊錄的規(guī)模是實(shí)驗(yàn)成功與否的前提。數(shù)據(jù)信息提取模塊實(shí)現(xiàn)從移動(dòng)終端將社交通信類應(yīng)用返回的一系列賬戶資料數(shù)據(jù)提取出來，是實(shí)驗(yàn)的核心，需要考慮到移動(dòng)終端系統(tǒng)的權(quán)限機(jī)制等保護(hù)機(jī)制。最后一個(gè)模塊是數(shù)據(jù)信息分析模塊，實(shí)現(xiàn)對(duì)獲得的數(shù)據(jù)信息分析處理的功能，具體內(nèi)容會(huì)在第4節(jié)闡述。

本文的原型系統(tǒng)將基于最為流行的移動(dòng)終端系統(tǒng)Android系統(tǒng)實(shí)現(xiàn)。同時(shí)Android系統(tǒng)的開源性［3］，也為本文的實(shí)驗(yàn)系統(tǒng)的實(shí)現(xiàn)提供了很好的環(huán)境。

Android系統(tǒng)的權(quán)限機(jī)制是用戶數(shù)據(jù)信息提取實(shí)驗(yàn)面臨的最大挑戰(zhàn)，該機(jī)制拒絕應(yīng)用程序數(shù)據(jù)從外部直接訪問。為了解決這個(gè)問題，本文通過動(dòng)態(tài)監(jiān)控應(yīng)用程序訪問接口（Android API）提取目標(biāo)應(yīng)用的用戶數(shù)據(jù)信息。圖2顯示了實(shí)驗(yàn)原型設(shè)計(jì)，數(shù)據(jù)信息模塊位于Android系統(tǒng)框架層。通過修改Android系統(tǒng)相關(guān)代碼，如settext（）函數(shù)實(shí)現(xiàn)屏幕顯示數(shù)據(jù)的調(diào)用，sentevent DB命令使用戶數(shù)據(jù)信息能夠自動(dòng)保存。

圖2　實(shí)驗(yàn)設(shè)計(jì)圖

4　實(shí)驗(yàn)數(shù)據(jù)及分析

本節(jié)闡述依托移動(dòng)社交通信類應(yīng)用微信的手機(jī)通信錄和QQ通信錄匹配功能進(jìn)行實(shí)驗(yàn)過程，并獲得相應(yīng)賬戶數(shù)據(jù)信息進(jìn)行結(jié)果分析。在實(shí)驗(yàn)過程中，實(shí)驗(yàn)數(shù)據(jù)會(huì)觸及到用戶隱私，因此在開展試驗(yàn)工作前需要考慮如何更加有效的保護(hù)獲取的用戶數(shù)據(jù)。在此前開展的研究中，很多研究人員都遇到了同樣的問題［4-5］。對(duì)于實(shí)驗(yàn)過程中獲取的真實(shí)數(shù)據(jù)，在此做出申明：第一，不向任何與此實(shí)驗(yàn)無關(guān)的個(gè)人或機(jī)構(gòu)提供實(shí)驗(yàn)獲取的用戶數(shù)據(jù)；第二，作者不會(huì)對(duì)獲取的用戶數(shù)據(jù)進(jìn)行進(jìn)一步的攻擊。

4.1微信應(yīng)用數(shù)據(jù)分析

本應(yīng)用是針對(duì)移動(dòng)社交通信類應(yīng)用微信的手機(jī)通訊錄匹配功能進(jìn)行的數(shù)據(jù)分析。實(shí)驗(yàn)環(huán)境設(shè)置如下：Ubnutu13.10系統(tǒng)，微信應(yīng)用（Android版本5.0）運(yùn)行在Android模擬器版本4.4。

根據(jù)實(shí)驗(yàn)的步驟安排，第一步是偽造備用手機(jī)通訊錄，偽造的備用通訊錄包含用戶姓名和手機(jī)號(hào)碼，手機(jī)號(hào)碼采用中國(guó)大陸地區(qū)的國(guó)際區(qū)號(hào)+86與11位數(shù)字組成本實(shí)驗(yàn)偽造的手機(jī)號(hào)碼模塊號(hào)碼段為：+861385660至+861385669。

配置3.2節(jié)闡述的原型系統(tǒng)，并在模擬器上注冊(cè)一個(gè)微信賬號(hào)。首先將微信賬號(hào)綁定用于測(cè)試的手機(jī)號(hào)碼，并使用手機(jī)通訊錄匹配功能，接著導(dǎo)入偽造的手機(jī)通訊錄文件。接著按照2.2節(jié)所述的手機(jī)通訊錄匹配功能描述，在應(yīng)用中會(huì)獲得一系列與偽造的手機(jī)號(hào)碼綁定微信賬號(hào)及相應(yīng)的賬戶數(shù)據(jù)信息。通過數(shù)據(jù)信息提取模塊記錄這些數(shù)據(jù)信息，形成初步的用戶數(shù)據(jù)資料，包括手機(jī)號(hào)碼和微信賬戶。其中微信賬戶信息包括用戶名、地區(qū)、個(gè)性簽名、社交資料（與微信賬號(hào)綁定的手機(jī)號(hào)碼）。

表1　微信返回用戶賬戶的數(shù)量分布

本實(shí)驗(yàn)共偽造了50000個(gè)手機(jī)號(hào)碼，微信的添加手機(jī)聯(lián)系人匹配成功9265個(gè)微信賬戶信息資料，實(shí)驗(yàn)的微信用戶率達(dá)到18.53%，與23.56%的中國(guó)相關(guān)調(diào)查機(jī)構(gòu)的數(shù)據(jù)基本一致。在返回的數(shù)據(jù)資料中，用戶名是必填的，因此完整率為100%；由于是通過手機(jī)號(hào)碼查詢的微信用戶，因此首先該微信用戶綁定了手機(jī)號(hào)碼，社交資料的完整率也是100%。而所在地區(qū)和個(gè)性簽名屬于選填資料，完整率如表2所示。

表2　選填資料字段完整率

4.2多應(yīng)用數(shù)據(jù)整合分析

多應(yīng)用整合分析是針對(duì)同一公司旗下的多款應(yīng)用進(jìn)行數(shù)據(jù)整合分析，以此方式獲得更加全面的用戶帳戶信息資料［6］。騰訊作為目前國(guó)內(nèi)社交通信類應(yīng)用的最大開發(fā)商，旗下的QQ和微信也是使用面最大的兩款應(yīng)用。

圖3　數(shù)據(jù)整合流程圖

接下來通過具體的實(shí)例闡述數(shù)據(jù)整合分析的原理步驟，考慮到個(gè)人隱私，將使用星號(hào)代表隱藏部分?jǐn)?shù)字或文本數(shù)據(jù)。第一步，選取數(shù)據(jù)庫(kù)中的一條記錄，手機(jī)號(hào)碼“138******08”，微信ID“q57*****25”。微信ID后面使用沒有任何關(guān)聯(lián)的9位數(shù)字，考慮到微信與QQ的相關(guān)性，推測(cè)后9為數(shù)字可能是QQ號(hào)碼。為了進(jìn)一步驗(yàn)證，通過QQ軟件的查找功能，輸入這9位數(shù)字，成功找到一位用戶，“查看用戶資料”面板顯示了該用戶性別、姓名、出生日期、照片等相關(guān)資料。最后，在QQ軟件的找回密碼服務(wù)面板，顯示的密保手機(jī)部分的號(hào)碼數(shù)字（出于安全考慮，只顯示部分部分?jǐn)?shù)字，其余部分用星號(hào)代替）與綁定的手機(jī)號(hào)碼一致，進(jìn)一步確定該用戶真實(shí)存在。這樣，完成了一次完整的用戶數(shù)據(jù)信息資料的整合，獲得了該用戶的全面?zhèn)€人資料數(shù)據(jù)。具體流程圖如圖3所示。

綜上可見，利用應(yīng)用的通訊錄匹配功能的漏洞，利用綁定的手機(jī)號(hào)碼獲得了微信賬號(hào)，通過多應(yīng)用的數(shù)據(jù)整合，獲取了目標(biāo)用戶的全面詳細(xì)的個(gè)人資料。同時(shí)在這個(gè)過程中需要一定的人工分析，提高數(shù)據(jù)整合的效率。

4.3一致性和真實(shí)性分析

對(duì)于微信和QQ兩個(gè)應(yīng)用中，會(huì)返回部分相同字段信息，如用戶昵稱、所在地、個(gè)性簽名（個(gè)人說明）、用戶姓名，而對(duì)于同一用戶，這些字段信息可能一致也可能存在矛盾。根據(jù)3.1.2的方法將對(duì)這些數(shù)據(jù)進(jìn)行一致性和真實(shí)性分析。

圖4　用戶姓名真實(shí)性比較

首先針對(duì)用戶昵稱和所在地去進(jìn)行一致性和真實(shí)性分析，結(jié)果發(fā)現(xiàn)，在微信和QQ兩款應(yīng)用中的這一項(xiàng)內(nèi)容一致性達(dá)到61.56%。由此可見使用該應(yīng)用的用戶絕大部分已經(jīng)將網(wǎng)絡(luò)世界和現(xiàn)實(shí)世界的交流是交織在一起的，用戶昵稱反應(yīng)的應(yīng)該是現(xiàn)實(shí)生活的昵稱，所在地區(qū)也具有一定的真實(shí)性。其次針對(duì)微信的個(gè)性簽名與QQ的個(gè)人說明，有34.05%的用戶在這兩個(gè)應(yīng)用中描述的相近或相同，那么在一定程度上，可以反映出該用戶的一定個(gè)人信息，也可能為進(jìn)一步攻擊提供依據(jù)。最后，針對(duì)用戶姓名，結(jié)果發(fā)現(xiàn)微信的用戶昵稱與QQ的用戶姓名有28.73%的用戶是相近的（相同字符數(shù)占到較短用戶姓名的50%以上）。針對(duì)用戶姓名的真實(shí)性分析通過匹配中華人民共和國(guó)的戶籍管理辦法中關(guān)于姓名結(jié)構(gòu)完成的。在匹配過程中如果第一個(gè)字符屬于中文姓名的常用“姓”，則認(rèn)定該用戶姓名具有一定的真實(shí)性，結(jié)果發(fā)現(xiàn)超過一半的人在至少在一個(gè)應(yīng)用中使用了真實(shí)姓名。

對(duì)于獲取的數(shù)據(jù)進(jìn)行一致性與真實(shí)性分析是對(duì)數(shù)據(jù)信息整合中最為關(guān)鍵的一部，對(duì)于獲取的真實(shí)數(shù)據(jù)具有較高的利用價(jià)值，如垃圾短信的推送、網(wǎng)絡(luò)欺詐和攻擊等。

5　相關(guān)防御方案

移動(dòng)社交通信類應(yīng)用的手機(jī)通訊錄匹配功能的原理是用戶將手機(jī)通訊錄通過網(wǎng)絡(luò)上傳并保存在服務(wù)器端，然后服務(wù)器程序通過比對(duì)，將與通訊錄中手機(jī)號(hào)碼綁定的應(yīng)用賬號(hào)及相關(guān)資料返回給用戶。在這個(gè)功能應(yīng)用中，需要四個(gè)前提條件：（1）手機(jī)用戶的號(hào)碼具有唯一性；（2）應(yīng)用服務(wù)器端保存并匹配手機(jī)號(hào)碼與應(yīng)用賬號(hào)的對(duì)應(yīng)關(guān)系；（3）應(yīng)用服務(wù)器端返回與手機(jī)號(hào)碼對(duì)應(yīng)的應(yīng)用的相關(guān)信息；（4）應(yīng)用服務(wù)器端允許批處理手機(jī)通訊錄匹配的功能實(shí)現(xiàn)，從而為規(guī)?；@取信息提供可能。在以上條件中，（1）是實(shí)現(xiàn)移動(dòng)通信所必須滿足的條件，（2）是實(shí)現(xiàn)手機(jī)通訊錄匹配功能必須滿足的條件，這兩個(gè)條件我們沒有辦法限制，否則就無法使用手機(jī)通訊錄添加好友；（3）即使不能實(shí)現(xiàn)，攻擊者也可以實(shí)施小規(guī)模的攻擊，通過增加攻擊頻率獲取數(shù)據(jù)信息。綜上所述，我們只能針對(duì)條件（3）提出可行的防御方案，具體如下：（1）增加用戶對(duì)于信息可見性的設(shè)置選項(xiàng)，以保證用戶對(duì)于個(gè)人信息的公開程度的設(shè)定；（2）對(duì)于手機(jī)通訊錄推薦好友時(shí)，考慮到手機(jī)號(hào)碼的隱私性，只推薦滿足用戶和目標(biāo)用戶雙方的手機(jī)通訊錄都存儲(chǔ)對(duì)方號(hào)碼條件的用戶，可以通過服務(wù)器匹配兩個(gè)應(yīng)用賬戶提交的手機(jī)通訊錄中的移動(dòng)通信號(hào)碼實(shí)現(xiàn)，這樣也可以有效保障用戶的賬戶信息的安全性。

6　結(jié)論

本文通過以微信為例，對(duì)移動(dòng)終端中使用的社交應(yīng)用的添加手機(jī)聯(lián)系人功能進(jìn)行了原型分析和實(shí)驗(yàn)，揭示了其存在的安全漏洞隱患，該隱患為攻擊者提供了大量的個(gè)人資料信息提供了可能。針對(duì)目前用戶的多個(gè)應(yīng)用共用同一賬戶的情況，本文通過整合數(shù)據(jù)獲取了用戶更加詳細(xì)的資料，并對(duì)獲取的用戶信息資料進(jìn)行了真實(shí)性和一致性分析。實(shí)驗(yàn)結(jié)果顯示，用戶在移動(dòng)社交通信類應(yīng)用中傾向于填寫真實(shí)數(shù)據(jù)，以此擴(kuò)充真實(shí)世界的交往。最后，在分析的基礎(chǔ)上提出了可行的防御策略。對(duì)于移動(dòng)社交通信類應(yīng)用的手機(jī)通訊錄添加聯(lián)系人功能提出了限制返回的資料的建議，避免大批量的自動(dòng)攻擊。

［1］中國(guó)通信學(xué)會(huì).移動(dòng)社交［EB/OL］.［2013-12-25］.http：//baike. baidu.com/view/4180234.

［2］王璐，孟小峰.位置大數(shù)據(jù)隱私保護(hù)研究綜述［J］.軟件學(xué)報(bào)，2014（4）：693-698.

［3］王戴鈺.基于Android平臺(tái)移動(dòng)社交網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)［D］.大連：大連海事大學(xué)，2014.

［4］Balduzzi M，Platzer C，Holz T，et al.Abusing social networks for automated user profiling［C］//Proceedings of the Recent Advances in Intrusion Detection.Ottawa，Canada，2010：422-441.

［5］Jakobsson M，Johnson N，F(xiàn)inn P.Why and how to perform fraud experiments［J］.IEEE Security and Privacy，2008，6（2）：66-68.

［6］程瑤，應(yīng)凌云，焦四輩，等.移動(dòng)社交應(yīng)用的用戶隱私泄漏問題研究［J］.計(jì)算機(jī)學(xué)報(bào)，2014（1）：87-99.

［責(zé)任編輯：桂傳友］

TP311

A

1674-1102（2015）06-0041-04

2015-07-26

劉純麗（1983-），女，安徽石臺(tái)人，池州學(xué)院文學(xué)與傳媒學(xué)院講師，安徽永祥地產(chǎn)評(píng)估咨詢有限公司工程師，研究方向?yàn)橐苿?dòng)安全及隱私問題。