手機App安全嗎

文 程建軍

手機App安全嗎

文 程建軍

每天，無數(shù)的智能手機在運用數(shù)量龐大的軟件App，并且不斷有新的App應運而生。然而這些已與我們生活須臾不可分，記錄著我們隱私和信息的軟件App，是否安全？

問題App遭查處曝光

工信部公布29款問題手機App

11月15日，工信部發(fā)布《關于電信服務質(zhì)量的通告》稱，2016年第三季度，12321網(wǎng)絡不良與垃圾信息舉報受理中心共接到不良手機應用有效舉報350544件次，同比上升205.8%，環(huán)比上升35.4%，通過“安全百店”聯(lián)動機制，聯(lián)合應用商店、安全檢測廠商對其中存在問題的1057款不良手機應用進行了下架處理。

工信部組織對50家手機應用商店的應用軟件進行技術檢測，發(fā)現(xiàn)違規(guī)軟件29款（詳見文末表格），涉及違規(guī)收集使用用戶個人信息、惡意“吸費”、強行捆綁推廣其他無關應用軟件等問題。組織對三家基礎電信企業(yè)和168家增值電信企業(yè)399項業(yè)務進行抽查，發(fā)現(xiàn)11項增值業(yè)務存在問題，涉及資費提示不清晰、業(yè)務內(nèi)容更新不及時、業(yè)務內(nèi)容與名稱不符、業(yè)務無法使用等，目前已督促整改。

廣東公安機關曝光17款問題App

2016年9-10月份，廣東省公安機關繼續(xù)大力開展移動互聯(lián)網(wǎng)應用安全檢測工作，發(fā)現(xiàn)了17款問題App，并通報了相關發(fā)布平臺對存在安全問題的App進行核查處置。

據(jù)了解，“會跳的湯姆貓”“悅悅?cè)諝v”“英語一點通”“暴力摩托狂暴版”“登山賽車2”“狂暴飛車”“激情快播”“彩虹泡泡龍”等17款App存在惡意扣費、破壞用戶數(shù)據(jù)、強行捆綁推廣應用軟件等突出安全問題，涉及7230手游網(wǎng)、百度手機助手、PC6下載站、魅族應用商店、安貝市場、快虎市場、新浪網(wǎng)、金山手機助手、天天游戲中心等15個App發(fā)布平臺。目前，公安機關已通報相關發(fā)布平臺對存在安全問題的App進行核查處置。

App存在的主要問題

1.在用戶不知情或未授權(quán)的情況下，通過隱蔽手段屏蔽用戶短信.欺騙用戶點擊等手段，訂購各類收費業(yè)務或使用移動終端支付，導致用戶經(jīng)濟損失，具有惡意扣費行為。

2.在用戶不知情的情況下，強行捆綁推廣應用軟件，侵犯用戶知情權(quán)和選擇權(quán)，造成用戶資費消耗。

3.捆綁惡意廣告插件，強行推送廣告，私自下載推廣軟件，干擾手機正常使用造成用戶流量損失。

4.包含危險行為代碼，后臺靜默下載推廣軟件，造成用戶流量損失。

5.在用戶不知情的情況下，后臺私自訂購各類收費業(yè)務或使用移動終端支付，并刪除運營商短信等行為，導致用戶經(jīng)濟損失，具有惡意扣費行為。

鑒于此，特給消費者的兩點提醒：

1.通過正規(guī)渠道下載手機App，提醒廣大用戶提高防范意識，在連接免費WiFi，掃描二維碼、點擊網(wǎng)站鏈接以及回復驗證碼等操作之前務必確認其來源，謹慎操作，通過正規(guī)渠道下載手機App等軟件，避免個人信息泄露和上當受騙。

2.更換手機號后及時解綁、注銷、變更在更換手機號時，應立即將與該號碼關聯(lián)的銀行卡以及網(wǎng)絡支付、網(wǎng)盤、社交軟件等賬號進行解綁.注銷或變更，避免造成財產(chǎn)損失。

最不能容忍的五類手機App問題

2016年3月份，360手機助手發(fā)布了一份《2015安卓App安全研究報告》，報告中對2015年用戶最不能容忍的手機安全問題做了歸納。

惡意扣費、隱私泄漏、誘騙欺詐、流氓行為以及破壞系統(tǒng)是用戶最不能容忍的五類手機App的惡意行為。報告數(shù)據(jù)顯示，在用戶最不能容忍的手機安全問題當中，惡意扣費風險占比最多，達到41%，其次是用戶隱私泄露問題，占比33%。從這兩項用戶關注的手機安全問題來看，突顯出的根本矛盾在于是否能給用戶造成直接或間接的經(jīng)濟損失。

惡意扣費：41%的用戶無法容忍

隨著移動支付產(chǎn)業(yè)的發(fā)展，手機App本身的安全程度也在加強。但是手機木馬病毒可以通過攔截用戶的個人信息從而竊取用戶錢財。在這一點上，體現(xiàn)出用戶對于手機App安全行的顧慮，同時也體現(xiàn)了對于手機安全軟件.應用商店安全的需求。

惡意扣費的現(xiàn)象時有發(fā)生，毫不夸張地說，山寨/盜版App的目的，即是對手機進行扣費，不法分子伺機斂財。因此，惡意扣費也成為惡意App的主要目的。

隱私泄漏：33%的用戶無法容忍

隱私泄漏作為排名第二的用戶最不能容忍的手機App問題，也是繼惡意扣費之后最為突出的手機App的問題之一。

一般來說，山寨App中通常帶有病毒，這類App會對用戶的財產(chǎn)和隱私造成嚴重的侵害。報告數(shù)據(jù)顯示，木馬類盜版應用占比最高，為71%；其次是廣告類占比26%。而木馬類惡意盜版App行為中，隱私竊取類木馬就占了43.61%。

誘騙欺詐：16%的用戶無法容忍

需要指出的是，具有誘騙欺詐類惡意行為的手機App在木馬類惡意盜版App行為分類中所占的比例并不高，只有0.33%，但因為用戶遭遇手機詐騙往往與短信詐騙，電話詐騙等詐騙行為聯(lián)動，因此，“一朝被蛇咬，十年怕井繩”。

誘騙欺詐的目的，仍然是將手機用戶的錢財視為主要目標。

流氓行為：8%的用戶無法容忍

流氓行為的范圍則較為寬泛，譬如偷跑流量、永不關閉以及持續(xù)聯(lián)網(wǎng)等均屬于這一范疇。持續(xù)聯(lián)網(wǎng)導致流量費用大增，而無法徹底關閉則會導致手機越用越慢，且十分耗電。

用戶對于流氓行為深惡痛絕的同時，也一定程度上反映出某種無可奈何。

破壞系統(tǒng)：2%的用戶無法容忍

值得一提的是，有2%的用戶對系統(tǒng)破壞類惡意行為無法容忍，這一比例不高的原因在于大多數(shù)手機用戶并不了解何為“破壞系統(tǒng)”。實際上，真正具有“破壞系統(tǒng)”功能的惡意App并不多，只占了木馬類惡意盜版App行為分類的0.07%，這是因為一旦App將手機系統(tǒng)破壞了，那么它就什么數(shù)據(jù)都得不到，可以說是百忙一場。

業(yè)內(nèi)人士指出，傳統(tǒng)意義上的手機安全威脅均來自于手機病毒和惡意程序。但是現(xiàn)在手機App應用數(shù)量龐大，安全威脅也向多元化發(fā)展。騷擾電話和騷擾短信的產(chǎn)生原因并不排除是由惡意程序泄漏了用戶的個人信息而造成的。所以隨著智能手機的普及，用戶對于手機安全的知識也應當加強，以避免造成不必要的損失。

黑客盯上App安全漏洞

自2014年12月起，上海市徐匯公安分局網(wǎng)安支隊陸續(xù)接報了4起涉及手機軟件App的案件，其中既有新興的創(chuàng)業(yè)公司，也有涉外的知名企業(yè)。這些案件有著相似之處：網(wǎng)絡黑客都是利用網(wǎng)上已有的各類“測試”軟件“攻”開手機App軟件的“后門”。這些手機App的安全漏洞會給人們帶來三方面危害：“造成使用移動支付的損失；造成信息資料、個人隱私的外泄；還可能導致軟件崩潰影響正常使用?！?/p>

徐匯網(wǎng)安民警選取市場上有一定影響力的手機軟件App，運用網(wǎng)上已有的各類軟件進行測試，結(jié)果發(fā)現(xiàn)至少10%的手機軟件App存在不同程度的安全問題。盡管他們已將測出來的安全漏洞一一告知相關公司并進行“堵漏”，但在互聯(lián)網(wǎng)時代，有層出不窮的手機軟件，就會有層出不窮攻擊這些軟件的軟件。

App后門開了 企業(yè)毫不知情

2015年5月，香港某知名電視臺的電視劇大陸版權(quán)發(fā)布方發(fā)現(xiàn)，明明晚上八點才在電腦、手機上與電視臺同步播出的電視劇集，居然在下午就已經(jīng)提前在網(wǎng)上公開了。

按照傳統(tǒng)的辦案思路，嫌疑人很可能是掌握獨家資源的“內(nèi)鬼”。但這是互聯(lián)網(wǎng)時代——一切皆有可能。最終的結(jié)果的確令人吃驚，嫌疑人竟然只是兩名熱衷網(wǎng)上追劇的“發(fā)燒友”。

一般來說，電視臺白天時會將當天電視劇內(nèi)容上傳至服務器，此后大陸公司會提前做好視頻鏈接，待晚上電視臺播出時同步推出。

這兩名嫌疑人發(fā)現(xiàn)手機播放存在漏洞，通過黑客軟件可以分析出視頻鏈接格式。通過對這些鏈接格式規(guī)律的總結(jié)，兩人嘗試著改變鏈接內(nèi)容，生成20個鏈接離線下載，居然真的成功下載了部分未播放的新劇集。

2015年1月，上海一家彩票代理網(wǎng)站發(fā)現(xiàn)后臺被人惡意轉(zhuǎn)賬達140萬余元。鮑珍榮和同事們調(diào)查發(fā)現(xiàn)，問題正是出在這家公司的網(wǎng)絡支付移動端口——這些黑客在彩票代理網(wǎng)站注冊賬戶后充值1元，然后利用黑客手段將賬戶金額篡改為10萬元，除少部分購買彩票外，大部分套現(xiàn)。

“被攻擊的網(wǎng)站后臺支付代碼是明碼傳輸，沒有加密，黑客們正是利用了這一漏洞?！滨U警官回憶，當時這伙人在彩票網(wǎng)站的App上一共篡改了7次后臺數(shù)據(jù)，第一筆5000元，最后一筆高達88萬元，總計140余萬元。一周之后彩票網(wǎng)站方才察覺異常。

而徐匯公安在對犯罪嫌疑人的調(diào)查中發(fā)現(xiàn)，受害者不止這一家彩票網(wǎng)站。一家知名電影票代理網(wǎng)站，被這伙不法分子采取類似的辦法，通過手機App買下價格為數(shù)十元的電影票后改為0.01元支付，再加價賣出，先后騙取價值160余萬元的電影票。而警方也發(fā)現(xiàn)部分掌握全國院線的手機App公司同樣存在風險，及時將情況反饋給這家位于廣東的公司。

2015年4月下旬，徐匯區(qū)一金融類手機App服務器忽然非正常死機。經(jīng)過查找，警方找到違法嫌疑人，他想測試一批手機號是否已在該手機App上注冊過，以便獲取這些信息后向其他金融機構(gòu)進行推銷。于是他通過一個黑客軟件，輸入一定號段，讓這一手機App自動比對這一號段的號碼。由于同時運行數(shù)十萬號碼，服務器負荷過大死機，這才被發(fā)現(xiàn)。

“利用手機App來違法的趨勢非常明顯?！毙靺R公安分局網(wǎng)安支隊2014年年底接報的篡改彩票網(wǎng)站移動支付端數(shù)據(jù)案還是上海首例，而一些公司很可能尚未發(fā)現(xiàn)已受到不法侵害。

傳統(tǒng)的電腦網(wǎng)頁因發(fā)展較早，企業(yè)采取的防范措施已相對完善。相比之下，手機App這一新興互聯(lián)網(wǎng)方式仍然存在較為明顯的安全漏洞——不光警方測試出部分國內(nèi)新興企業(yè)開發(fā)的手機App存在安全隱患，現(xiàn)有資料表明就連國外一些知名大型企業(yè)開發(fā)的手機App也曾出現(xiàn)過安全問題。

手機App的隱患來自何處

一方面有系統(tǒng)原因，如安卓系統(tǒng)的源代碼是公開的，這就為一些不法分子分析源代碼帶來便利條件；另一方面則是開發(fā)者原因，因部分代碼編寫不規(guī)范，一些語法本身就存在問題，因此讓不法分子有可乘之機。此外，安卓系統(tǒng)的應用商店數(shù)以百計，這些應用商店對上架App的審核標準不一，而分發(fā)營收又是這些商店的收入來源之一。

一些業(yè)內(nèi)人士建議，政府部門可以通過購買服務的方式為創(chuàng)業(yè)型企業(yè)提供手機App的基礎安全性能檢測，如果涉及更專業(yè)的安全檢測則通過市場化方式進行。

安全性能常被忽略

與部分手機App開發(fā)運行公司接觸之后，鮑警官認為：“企業(yè)安全意識不強是主要原因?！痹谝黄鹗謾C游戲敲詐案中，鮑警官和同事特別詢問該公司是否進行過內(nèi)部安全測試，對方表示“為了搶占市場，只考慮運營問題，沒考慮安全問題，就著急推出了”。盡管目前市場上已有專門的網(wǎng)絡安全性能測試公司，但總體數(shù)量不多。

在如今創(chuàng)新創(chuàng)業(yè)的大旗下，開發(fā)手機App是一個準入門檻較低的方式。在這些手機App設計之初，大家考慮的首先是用戶的需求與體驗，以及人氣累計后可能爭取到的風險投資，至于手機App的安全性能，大多數(shù)時候被看作“理所當然，按部就班”的一部分，很少專門對此進行分析并提出對策。相比之下，傳統(tǒng)企業(yè)產(chǎn)品進入市場前都會有內(nèi)部審核，但當下一些企業(yè)開發(fā)手機App時卻省略掉了。

在一些法律界人士看來，手機App仍然是企業(yè)的“產(chǎn)品”，對于產(chǎn)品的安全性能，第一責任人是企業(yè)，然后是監(jiān)管部門，如果最終案發(fā)再由公安部門介入打擊。

作為“最后一環(huán)”上的民警，鮑珍榮認為：“前端做一定比后端做更好。”他說，手機App犯罪大多數(shù)情節(jié)輕微，但是會對互聯(lián)網(wǎng)造成巨大損失。隨著互聯(lián)網(wǎng)技術的發(fā)展，此類犯罪的破案難度和成本將越來越高：“互聯(lián)網(wǎng)犯罪讓跨境犯罪成本更低，更容易隱藏真實的方位，之前的案件中還有嫌疑人通過數(shù)據(jù)將自己的行蹤層層掩蓋，把互聯(lián)網(wǎng)上的自己和現(xiàn)實中的自己完全‘剝離’，連轉(zhuǎn)賬用的銀行卡都是從銀行買來的‘黑卡’。”

2016年三季度檢測發(fā)現(xiàn)問題的應用軟件名單序號應用商店軟件名稱版本所涉問題化妝小貼士V142331068 5983.194.71 1安卓園強行捆綁推廣其他無關應用軟件記事本V1.0 BT種子超級搜索神器V10.0極速WIFI萬能鑰匙-連網(wǎng)神器V22.0愛聽廣播劇V4.0.6 2百度手機助手寶石連線3 V1.58手機鈴聲大全V4.0.6英語聽力大全V4.0.4 3綠色資源網(wǎng)查開房V6.2.3強行捆綁推廣其他無關應用軟件西瓜影音高清版V5.0強行捆綁推廣其他無關應用軟件UU電話V3.5.4 4安卓商店未經(jīng)用戶同意，收集、使用用戶個人信息網(wǎng)易通省錢電話V1.0.0多功能手電筒V7.8.6 5 360手機助手強行捆綁推廣其他無關應用軟件加密記事本V8.0.1 Forever Drive（永恒飛車）V1.07 6小米應用商店Striker Soccer Euro 2012 Pro（Q版足球歐洲杯）強行捆綁推廣其他無關應用軟件V1.6.1 7優(yōu)億市場消滅星星積分版V1.0.0.3惡意“吸費”別踩白板2016多模式版V1.1強行捆綁推廣其他無關應用軟件8豌豆莢萌鼠蹦蹦跳V2.0.0.2惡意“吸費”挑戰(zhàn)大腦V2.0.1強行捆綁推廣其他無關應用軟件空中急救V2.0.6未經(jīng)用戶同意，收集、使用用戶個人信息Light eye protection（屏幕護眼燈）V9.0強行捆綁推廣其他無關應用軟件10 2345手機應用寶庫9蜂助手酷炫來電閃V1.0強行捆綁推廣其他無關應用軟件11天翼空間喜邦V1.0用戶不知情的情況下，自動向外發(fā)送短信12第一應用冷漠與微笑V2.0強行捆綁推廣其他無關應用軟件13應用酷開心消消砰-2016 V1.0.9惡意“吸費”14綠茶軟件園老爸曾是小偷V2.82強行捆綁推廣其他無關應用軟件15魅族應用中心忍者：卷軸大戰(zhàn)V1.3強行捆綁推廣其他無關應用軟件16琵琶網(wǎng)胎教音樂盒子V4.0.6強行捆綁推廣其他無關應用軟件