智慧型手機能讓你下載安裝一些有趣、實用的 App 或軟體，不過請注意，有些 App 可能沒有你想像中的安全，可能的隱憂有二：取得你儲存在手機裡的資訊，並透過手機連網把你的資訊傳送出去。

聽起來很可怕吧？但還不只如此，有些惡意的 App 或軟體還會讓你陷入下列的安全危機：

• 你的對話可能會在不知不覺中被監聽或錄音。
• 你的文字訊息、郵件和網站流量可能會被監控或紀錄。
• 儲存在你手機的資料，像是通聯記錄、照片和影片等，都可能被他人取得或複製出去。
• 你存在手機或手機本身設定的密碼都可能被竊取，再用這些密碼登入你的線上帳戶。
• 追蹤你的所在地點，即使你把手機關機，也還是找得到你。

當智慧型手機的市佔率越來越高，惡意的 App 開始對廣大用戶造成嚴重的威脅。在《華爾街日報》一篇名為〈你的App正在監視你〉（Your Apps Are Watching You）的報導中，他們測試了一些在 iPhone 和 Android 上很受歡迎的 App，發現在他們所測試的 101 個 App 中，有 56 個會未經使用者許可將手機的識別碼傳送出去，有 47 個會將使用者的所在地傳出，還有 5 個會把使用者的年齡、性別或其他個人資料傳到許多公司的伺服器去。另外，也有個「App基因組計畫」的報告指出，Android Market 中有 28% 的 App、Apple 的 App Store 有 34% 的免費 App 有能力取得使用者所在地的資料，而前者有 7.5%、後者則有 11% 的 App 能夠得到使用者的聯絡人。

一般來說，很難辨明哪些 App 是安全的，因為這些「入侵」的行為可能都不會對使用者造成任何的干擾，所以難以察覺，像是把使用者位置資料傳到廣告主伺服器等等。對於想保有高度隱私權和網路安全需求的使用者來說，其實防不勝防。

以下有六大建議，可以幫助提升使用 App 的隱私與安全性：

一、你的手機有哪些功能是 App 能夠存取的？

手機作業系統其中一項功能就是加強安全規範。安全規範的訂定，可以限制 App 只能存取手機的哪些功能。舉例來說，只有被標示為可信任的 App，才被授予網路連線的權限，同時不需經由使用者同意就能上傳或下載資料。

安全規範有時候可從 App 的開發者能否清楚辨識來看，舉例來說，開發者有沒有在官方為自己的 App 註冊，並透過信用卡支付註冊的費用。

不同的手機作業系統，增加安全規範的方式也不太一樣，接下來將依不同的系統平台概略介紹：

Android：在Android 系統上，若無直接請求使用者授予權限，則 App 就沒有任何方式能夠存取手機的功能。App 開發者必須要預先說明該 App 將會使用到的所有手機功能，而這些說明會在你下載或安裝該 App 時出現，如果你拒絕這些請求，安裝即會失敗。

iPhone：在 iPhone 上，所有從 App Store 下載的 App 都被認為是可信任的，而且不需從使用者那邊請求授予特別權限來存取手機的功能。除非 iPhone「越獄」了，否則 App 是無法從 App Store 之外的來源端安裝的。雖然 App Store 有一定的認可流程，但卻不會檢查原始碼，而且理論上，要在 App 裡要藏惡意程式其實並不困難。

黑莓機（Blackberry）：在黑莓機上，App 的權限授予由三件事決定。首先，企業安全政策，這會導致某些 App 被強迫安裝或禁止安裝。再者，開發者是否有為該 App 註冊，有無黑莓機母公司 Research In Motion（RIM）的 App 開發證明。最後，使用者決定是否授予權限。

如果一款 App 被使用者認為是可信任的，則其能夠存取該手機大部分的功能，包括連網、SMS 和地點等，且不需要再請求授予權限一次。被認證過的 App 可以存取額外的功能（加密方式與識別資訊，例如手機門號與 SIM 卡號碼）。

Java手機：像是 NokiaS40 和 S60 系列的「功能手機」（有別於智慧型手機，目前通常是指非使用 Android、iPhone OS、Symbian 或 Windows Mobile 的作業系統，卻具有多媒體應用功能的手機），上頭的 App 又可分成三類。首先，可信任的 App 都是由手機製造商或行動網路營運商所開發，通常在你拿到手機的時候就已內建其中，這類的 App 不需請求授予權限就可以存取手機的功能。其二，可識別的第三方應用程式，開發者會花大概 200 美元給類似 Verisign 的認證公司，對自己的識別碼進行認證，證明這個程式是來自於開發者，是有效力並可信任的；這些 App 必須請求授予權限來存取裝置的功能，但在安裝之後，使用者或許能夠將之設定為「每次詢問」或「永遠授權」。第三，不可識別的第三方 App，程式沒有認證簽章，因此當它們需要存取裝置功能時，每次都必須請求授予權限。

在這四種作業系統之中，Android 提供給使用者關於 App 權限相關的資訊最多，並且會強制讓所有在裝置上運行的 App 都這麼做。相較之下，iPhone 則提供極少的這類資訊給使用者，而是仰賴 App Store 的認證方式來排除具有潛在威脅的 App。黑莓機和 Java 功能手機，則為行動營運商和手機製造商端在 App 認證這方面賦予特權，但是也提供了一些資訊並賦予使用者控制權，來決定是否授予權限給這些 App。

二、這款 App 需要用到哪些手機功能？是否跟其所授予權限的請求相符？

在 Android 手機上，在安裝 App 的時候，你會被問到它所請求授予的權限是什麼，舉例來說，像是存取你的所在地或使用手機連網功能。當 App 需要存取 Java 手機時，手機會提示你授予權限，而黑莓機則允許你在安裝時個別設定權限，或一次授權給所有可信任的 App。

無論權限如何設定，你都應該密切注意某款 App 請求授予權限的手機功能是什麼。像是 FourSquare 這種適地性（location-based）的社會網絡服務，顯然就需要存取你的位置，但大多數的遊戲就不需要。同樣地，也要注意那些沒有任何理由就要求你授予連網權限的 App。

當然了，也有可能某款 App 以看似合理正當的目的，像是需要存取連網功能的聊天應用程式，向你請求授予權限，但實際上卻將獲得的權限用在不好的地方。當你決定是否安裝某款 App 時，這種可能性應該要被仔細衡量。

三、開發者是誰？

雖然無從保證，但知道是誰開發了某款 App，可以多少讓你知道風險可能為何。在安裝 App 前，先上網做些功課會比較保險。舉例來說，你可以試著搜尋看看開發者的名字和他們的網站，看起來是否合法？或任何有關該款 App 的部落格、論壇文章或新聞，或是開發者其他 App 的評價如何？是否提及了一些安全上的疑慮？

當然，如果你擔心開發者的名聲或技術品質不好，就準備找其他的替代選擇吧。

四、使用者怎麼看？

很多人用的 App 不代表它確實可以信任。雖然你認識的所有人都在用某款 App，沒用好像有點跟不上時代的潮流，但並不是每個人都具有相同程度的危機意識或安全需求。同前所提及的建議，找 App 的相關評論來看看，使用者社群成員所提供的良好、詳細且有憑有據的回應，可以讓你對自己的選擇更有信心。相反地，如果使用者社群看來沒有特別關注該款 App 安全性和隱私的問題，這也可能意味著問題其實都還未被發現。

五、原始碼是公開的嗎？

對於開始原始碼軟體的倡議者來說，開放性—具體來說，就是能夠讓公眾取得並檢閱的原始碼—是不可妥協的必要安全條件。如果每個人都可以檢閱原始碼，那麼可想而知，裡頭的惡意程式便較為無所遁形；至於安全性的疑慮，如果每個人都可以提出自己的原始碼來解決的話，可能就可以快速地解決問題。而實際上，對於 App 來說，前者比起後者更為重要。這是因為，以開發人員的立場來看，App 比起整個作業系統來說，有個額外的優勢，那就是 App 的程式是自己一包，像一個自給自足的小天地，所以開發人員只要專注在 App 本身即可，程式若有問題，也可以假設問題不會超出這個範疇；如此一來，也就比起系統更容易鎖定問題。

六、你的資料儲存和傳輸方式安全嗎？

即使是沒有惡意程式的 App，可能也會因為它們沒有安全地儲存或傳送你的資料，讓你擔負風險。這在你使用 App 來進行較私密的通訊時，尤其重要。由於評估 App 安全性時會涉及技術上的複雜度，你不妨去尋找網路上的評論，求助開發者或使用者社群，或詢問專家審查 App 的原始碼（前提是，如果它是公開的！）。

有兩點你必須要特別注意：首先， App 是否將較為敏感的資料儲存在加密的檔案中，像是密碼、聯絡人詳細資訊或私人訊息？運用的加密技術為何？有多容易會被人破解？第二，App 所使用的是否為加密通訊協定（Hypertex Transfer Protocol Security，HTTPS），或其他可加強安全性的協定？

結語

資料來源：

• Are Your Apps Trustworthy? 6 Questions to Ask