近日,一個(gè)被命名為“DowginCw”的病毒通過(guò)插件的形式藏身多款熱門(mén)游戲應(yīng)用———“明星公主換裝小游戲”、“瘋狂小寶石”等,最近兩月已偷偷控制了國(guó)內(nèi)數(shù)十萬(wàn)手機(jī)設(shè)備。目前,它仍“存活”在多個(gè)應(yīng)用商店中,日均感染量近萬(wàn)臺(tái)。如果不慎感染,將帶來(lái)惡意扣費(fèi)、破壞系統(tǒng)等問(wèn)題,還可能讓你的手機(jī)變成“僵尸機(jī)”。
如果你遇到過(guò)以下幾種情況之一:在安裝和運(yùn)行了一款A(yù)PP后,設(shè)備自動(dòng)捆綁或不停下載其他惡意應(yīng)用、手機(jī)頻繁卡頓、手機(jī)剛充值就莫名其妙欠費(fèi)了,那么你的手機(jī)有可能安裝了惡意APP。
根據(jù)通信行業(yè)標(biāo)準(zhǔn)《移動(dòng)互聯(lián)網(wǎng)惡意程序描述格式》,具有惡意扣費(fèi)、信息竊取、遠(yuǎn)程控制、惡意傳播、資費(fèi)消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為等八種惡意行為之一,即被認(rèn)定為惡意APP。一經(jīng)檢測(cè)發(fā)現(xiàn),這些惡意APP將會(huì)出現(xiàn)在工信部每個(gè)季度公布的應(yīng)用軟件黑名單里。近日,南都記者統(tǒng)計(jì)近三年工信部公布的466款不良應(yīng)用軟件發(fā)現(xiàn),超過(guò)八成的APP存在強(qiáng)制捆綁推廣其他應(yīng)用軟件的問(wèn)題,惡意吸費(fèi)和違規(guī)收集用戶信息的合計(jì)占比約16%。
“風(fēng)云直播”三年內(nèi)5登黑榜
“注意!這些APP太流氓了,趕緊卸載!”
2017年11月中旬,工信部公布了今年第三季度檢測(cè)發(fā)現(xiàn)問(wèn)題的不良應(yīng)用軟件名單,其中就包括三款存在惡意吸費(fèi)行為的APP,分別是在XP系統(tǒng)之家上線的“部落沖突”(V1.0.0.2)和生存游戲2(V1.0.0.2),以及PC軟件下載站提供的“球球大作戰(zhàn)”(V3.0.0.7)。
據(jù)南都記者了解,工信部定期會(huì)對(duì)手機(jī)應(yīng)用商店的APP進(jìn)行技術(shù)檢測(cè),并公布每個(gè)季度的黑名單。
近日,南都記者統(tǒng)計(jì)近三年被曝光的不良APP,發(fā)現(xiàn)共有466款上榜。2015年一季度發(fā)現(xiàn)的不良應(yīng)用軟件最多,達(dá)到82個(gè),最近一次是2017年三季度,共計(jì)公布了31款不良應(yīng)用軟件。
從榜單看,有384個(gè)APP涉及“強(qiáng)行捆綁推廣其它應(yīng)用軟件”的問(wèn)題,占總數(shù)的82%.APP的這一“流氓行為”給用戶帶來(lái)的直觀感受是,比如剛下載一個(gè)用來(lái)錄音的APP,安裝后發(fā)現(xiàn)多出三四個(gè)游戲APP.而這些不明下載而來(lái)的APP又可能存在新的安全隱患。
在這些因捆綁其它應(yīng)用而被曝光的APP中,所涉及的類型眾多,包括系統(tǒng)工具、游戲娛樂(lè)和教育文化類。南都記者對(duì)比發(fā)現(xiàn),一些名稱里帶有“ROOT”和“Wi-Fi鑰匙”的APP頻繁出現(xiàn)在黑名單中。需要當(dāng)心的是,手機(jī)一旦ROOT后,即被獲取最高權(quán)限,就容易被惡意軟件破壞,而通過(guò)工具破解Wi-Fi密碼,連上不明網(wǎng)絡(luò),更是泄露個(gè)人信息的主要途徑之一。
南都記者統(tǒng)計(jì)發(fā)現(xiàn),一款叫“風(fēng)云直播”的APP,從2015年二季度開(kāi)始,連續(xù)4個(gè)季度在不同應(yīng)用商店檢測(cè)中都發(fā)現(xiàn)這個(gè)問(wèn)題,共被5次點(diǎn)名曝光,涉及5個(gè)不同版本。是工信部公布的APP黑名單中上榜次數(shù)最多的一款。
此外,還有3款名為“GO桌面”、“百度手機(jī)助手”、“胎教音樂(lè)盒子”的APP,3次上榜。其中知名度最高的當(dāng)屬“百度手機(jī)助手”。數(shù)據(jù)顯示,2015年的一季度和下半年,“百度手機(jī)助手”因?yàn)?ldquo;強(qiáng)制捆綁推廣其它應(yīng)用軟件”被曝光3次。所涉及的版本包括V6.2.0、V6.5.1和V6.7.0,而應(yīng)用的來(lái)源正是百度官網(wǎng)。南都記者注意到,目前“百度手機(jī)助手”可供用戶下載的最新版本是V8.0,沒(méi)有出現(xiàn)在工信部公布的黑名單上。
此外,APP過(guò)度收集用戶信息的現(xiàn)象嚴(yán)重,在被曝光的不良APP中,“未經(jīng)用戶同意,收集、使用用戶個(gè)人信息”占比8%,共有36款。其中多數(shù)是通訊類的應(yīng)用軟件,比如2016年三季度,在安卓商店檢測(cè)中發(fā)現(xiàn)問(wèn)題的“網(wǎng)易通省錢(qián)電話”(V1.0.0)和“UU電話”(V3.5.4)。
南都記者統(tǒng)計(jì),在今年前三季度,被曝光存在該類問(wèn)題的APP就有6款,其中3款來(lái)自游迅網(wǎng),分別是八分音符醬(V1.0.0.4)、暴力戰(zhàn)車(chē)(V5.0.0.9)、狂野飆車(chē)(V1.0.0.3),均是游戲產(chǎn)品。剩下的3款則是在機(jī)鋒網(wǎng)上架的“野途”(V2.8.2)、九號(hào)安卓頻道提供的“我的世界”(V1.0.0.4),以及應(yīng)用匯的互伴(V2.1.6)。
通過(guò)屏蔽二次確認(rèn)短信“偷錢(qián)”
如果說(shuō)“強(qiáng)制捆綁其它應(yīng)用”和“未經(jīng)用戶同意收集使用用戶信息”較為常見(jiàn)的話,那么在用戶不知情的情況下,操控用戶手機(jī)則讓人難以想象。
南都記者注意到,有7款A(yù)PP,因會(huì)在“用戶不知情的情況下,自動(dòng)向外發(fā)送短信”而上黑名單。
此前,有細(xì)心的網(wǎng)友曾在某論壇上發(fā)帖稱,新買(mǎi)的手機(jī)只打了一個(gè)電話測(cè)試,從未發(fā)送過(guò)短信,但當(dāng)晚在運(yùn)營(yíng)商的網(wǎng)上營(yíng)業(yè)廳查費(fèi)時(shí),竟發(fā)現(xiàn)有短信費(fèi)用支出。
類似的案例并不少見(jiàn),南都記者今年3月曾報(bào)道過(guò),一名初三學(xué)生的手機(jī)頻繁被扣費(fèi),有一次短短10分鐘就收到35條短信,稱他開(kāi)通了16項(xiàng)通信業(yè)務(wù),共計(jì)被扣費(fèi)156元。
一名技術(shù)專家向南都記者分析,手機(jī)自動(dòng)發(fā)短信一般是為了訂閱無(wú)線增值業(yè)務(wù)(又稱作SP業(yè)務(wù)),所以會(huì)造成用戶手機(jī)被扣費(fèi)。
此外,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心高級(jí)工程師何能強(qiáng)告訴南都記者,靜默下載也是強(qiáng)制捆綁的一種形式。通過(guò)屏蔽二次確認(rèn)短信的惡意游戲APP會(huì)導(dǎo)致惡意扣費(fèi)。也就是說(shuō),即便在未收到短信提示的情況,用戶也可能被“偷錢(qián)”。
數(shù)據(jù)顯示,在工信部公布的違規(guī)APP總量中,惡意吸費(fèi)的應(yīng)用軟件占比達(dá)到8%.在因惡意吸費(fèi)而被曝光的35款違規(guī)APP中,基本上是游戲軟件。一款名為“開(kāi)心連連看”的APP在2015年下半年曾三次上榜,分別在優(yōu)億市場(chǎng)、應(yīng)用酷和蘇寧易購(gòu)應(yīng)用商店檢測(cè)出V2.6、V1.5.0及V3.1版本存在這一問(wèn)題。
比較特別的是,今年一、二季度,工信部公布的兩款A(yù)PP甚至存在“惡意操控用戶手機(jī)”的問(wèn)題,分別是IT貓撲網(wǎng)的“千尋免流”(V3.1.3)和金山手機(jī)助手的“開(kāi)心連連看”(V1.6.0)。另外,2015年一季度有移動(dòng)應(yīng)用商場(chǎng)的兩款A(yù)PP———“匆匆那年”和“撒嬌女人最好命”,被指收費(fèi)后無(wú)法獲取視頻內(nèi)容。
有網(wǎng)絡(luò)安全工程師告訴南都記者,手機(jī)被惡意操控后,好比在你家的地下室打了一個(gè)通道,有人可以通過(guò)遠(yuǎn)程發(fā)送指令,將你手機(jī)里的數(shù)據(jù)發(fā)送至服務(wù)器。如果手機(jī)因?yàn)橄到y(tǒng)漏洞被攻擊,獲取ROOT權(quán)限,那你家里的每個(gè)房間都能被訪問(wèn)了。
觀察
成本低廉、審核漏洞 不良APP可改頭換面
據(jù)南都記者了解,一旦檢測(cè)發(fā)現(xiàn)存在問(wèn)題,相關(guān)的APP都會(huì)被責(zé)令下架。根據(jù)工信部今年發(fā)布的《關(guān)于電信服務(wù)質(zhì)量通告》,通過(guò)聯(lián)合應(yīng)用商店、安全檢測(cè)廠商,已對(duì)其中存在問(wèn)題的2494款不良手機(jī)應(yīng)用進(jìn)行了下架處理。
然而,南都記者發(fā)現(xiàn),不良APP仍屢禁不止。
惡意程序5元可以買(mǎi)到
一款不良APP被下架后,經(jīng)過(guò)一番包裝可能再次上線。而要制作一個(gè)APP并非難事,所需要花費(fèi)的成本更是低廉。在APP產(chǎn)業(yè)鏈上,分布著開(kāi)發(fā)者、渠道商、廣告商、手機(jī)商和運(yùn)營(yíng)商等角色。一款不良APP背后,上述每個(gè)環(huán)節(jié)都可能存在問(wèn)題。
今年4月,南都調(diào)查手機(jī)“植入病毒”利益鏈,實(shí)測(cè)發(fā)現(xiàn)一款惡意程序5元可以買(mǎi)到,花200元可制作一款空殼APP,掛到網(wǎng)上后13天內(nèi)就有600多次點(diǎn)擊量,36人中招。
騰訊手機(jī)管家安全專家楊啟波告訴南都記者,惡意捆綁下載APP會(huì)導(dǎo)致用戶消耗流量,占據(jù)用戶手機(jī)內(nèi)存,造成手機(jī)卡頓變慢等問(wèn)題。一般惡意推廣類APP還會(huì)偷偷下載安裝第三方軟件,安裝到用戶手機(jī),賺取廣告費(fèi)用。
“現(xiàn)在互聯(lián)網(wǎng)流量倒流已形成灰色產(chǎn)業(yè)鏈。”上海市信息安全行業(yè)協(xié)會(huì)專委會(huì)副主任張威說(shuō),一款熱門(mén)游戲在坐擁大量玩家后,游戲平臺(tái)可把流量轉(zhuǎn)賣(mài)給他人,比如通過(guò)升級(jí)應(yīng)用的版本加入插件,在用戶訪問(wèn)APP的時(shí)候彈出廣告,讓用戶點(diǎn)擊直接跳轉(zhuǎn)到下載頁(yè)面。
據(jù)從事APP定制開(kāi)發(fā)3年的張珂(化名)介紹,APP在開(kāi)發(fā)上線后都需要獲取用戶,因而就有推廣需求。很多APP內(nèi)部有推薦位,一般選擇在用戶容易“點(diǎn)擊”的位置,推薦下載成功后可收取費(fèi)用。按照推廣APP類型的不同,通常平均一個(gè)下載激活費(fèi)用在10-50元,有些現(xiàn)金貸類應(yīng)用號(hào)稱一個(gè)真實(shí)用戶價(jià)格在100元以上。
另?yè)?jù)南都記者采訪了解,部分APP開(kāi)發(fā)商為了推廣,還會(huì)選擇賄賂小型的手機(jī)生產(chǎn)商,在手機(jī)硬件中預(yù)裝或自動(dòng)下載惡意程序。
部分應(yīng)用商店不做檢測(cè)
大多數(shù)APP開(kāi)發(fā)后都會(huì)提交到應(yīng)用商店發(fā)布,這樣能夠借應(yīng)用商店獲取更多的用戶,而上線一般需要經(jīng)過(guò)機(jī)器和人工的審核。
360手機(jī)助手運(yùn)營(yíng)總監(jiān)王佳增告訴南都記者,每款A(yù)PP上線之前都會(huì)經(jīng)過(guò)嚴(yán)格的檢測(cè)程序,一般分為資質(zhì)審核、安全檢測(cè)、實(shí)機(jī)測(cè)試、上線、關(guān)注反饋、定時(shí)回查。
據(jù)張珂介紹,國(guó)內(nèi)知名的第三方應(yīng)用商店和手機(jī)廠商的應(yīng)用商店,包括應(yīng)用寶、360手機(jī)助手、百度手機(jī)助手,以及小米、華為等。在開(kāi)發(fā)者將APP上傳到這些應(yīng)用商店后都會(huì)自動(dòng)進(jìn)行病毒、安全性等掃描分析,發(fā)現(xiàn)問(wèn)題應(yīng)用就無(wú)法上線。
然而,一些應(yīng)用商店的審核管理并不嚴(yán)格,部分缺乏安全檢測(cè)能力和運(yùn)營(yíng)技術(shù)支持的應(yīng)用商店甚至不做檢測(cè),就直接上架問(wèn)題APP供用戶下載。
南都記者統(tǒng)計(jì)上述被曝光的不良APP發(fā)現(xiàn),它們出自93個(gè)手機(jī)應(yīng)用商店,其中百度手機(jī)助手、應(yīng)用酷、安卓網(wǎng)和蘇寧易購(gòu)應(yīng)用商店被曝光的不良APP最多,均在20款以上。這也在一定程度上反映了,即便是知名的大型應(yīng)用商店也可能因?yàn)榘殃P(guān)不嚴(yán)而讓不良APP上架。
被曝光的不良APP不僅可以在其它應(yīng)用商店下載,而且未被下架的其它版本還可能存在問(wèn)題。南都記者發(fā)現(xiàn),2016年厲害季度,“胎教音樂(lè)盒子”(V4.06)在百度手機(jī)助手上被檢測(cè)發(fā)現(xiàn)強(qiáng)行捆綁其它無(wú)關(guān)應(yīng)用。此前,它已經(jīng)分別在“琵琶網(wǎng)”和“3533手機(jī)世界”因同樣的問(wèn)題被曝光。
12月12日,南都記者實(shí)測(cè)發(fā)現(xiàn),這款A(yù)PP4.05版本在百度手機(jī)助手仍可下載。頁(yè)面相關(guān)信息顯示,“胎教音樂(lè)盒子”的下載次數(shù)達(dá)到378萬(wàn),并被應(yīng)用商店檢測(cè)出含廣告的問(wèn)題。
聲音
專家:平臺(tái)方也需要承擔(dān)責(zé)任
一款不良APP背后,因?yàn)殚_(kāi)發(fā)者惡意“植毒”,渠道商和廣告商的捆綁操作,應(yīng)用商店的審核不嚴(yán),以及第三方網(wǎng)址鏈接的惡意傳播,都可能會(huì)令用戶最終中招。
針對(duì)不良APP的問(wèn)題,南都記者注意到,2013年,工信部聯(lián)合其他部門(mén)推出《信息安全技術(shù)公共及商用服務(wù)信息個(gè)人信息保護(hù)指南》,明確了一些APP應(yīng)當(dāng)遵循的基本原則,包括目的明確、最少夠用、公開(kāi)告知、個(gè)人同意等。
去年6月,網(wǎng)信辦發(fā)布的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》也指出,移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序提供者應(yīng)當(dāng)保障用戶在安裝或使用過(guò)程中的知情權(quán)和選擇權(quán)。未向用戶明示并經(jīng)用戶同意,不得開(kāi)啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能,不得開(kāi)啟與服務(wù)無(wú)關(guān)的功能,不得捆綁安裝無(wú)關(guān)應(yīng)用程序。
上海市信息安全行業(yè)協(xié)會(huì)專委會(huì)副主任張威建議應(yīng)加大對(duì)不良APP的整治力度,同時(shí)對(duì)APP收集信息進(jìn)行規(guī)范。他告訴南都記者,實(shí)際上,不少應(yīng)用商店對(duì)APP的審核管理還是較弱。但根據(jù)今年6月正式施行的《網(wǎng)絡(luò)安全法》要求,如果在某個(gè)應(yīng)用商店發(fā)現(xiàn)不良APP,那么平臺(tái)方也需要承擔(dān)責(zé)任。
張珂則指出,不僅要明確應(yīng)用商店的責(zé)任,還包括開(kāi)發(fā)者、手機(jī)廠商。在他看來(lái),讓手機(jī)廠商來(lái)做安全防范是避免安裝不良APP的重要方式之一。因?yàn)橛脩舭惭b一款安卓APP,需要先下載安裝包。這時(shí)手機(jī)廠商可對(duì)此進(jìn)行安全檢查,如發(fā)現(xiàn)不良APP能及時(shí)處理或給用戶風(fēng)險(xiǎn)提示。
而從用戶角度看,騰訊手機(jī)管家安全專家楊啟波建議應(yīng)避免在小型電子市場(chǎng)下載APP,也不要通過(guò)不明網(wǎng)址直接安裝,應(yīng)該選擇大型安全的電子市場(chǎng),或者直接到APP的官方網(wǎng)站下載,同時(shí)安裝專業(yè)的手機(jī)安全軟件,幫助識(shí)別各類風(fēng)險(xiǎn)應(yīng)用或惡意軟件。
張威進(jìn)一步強(qiáng)調(diào),用戶應(yīng)該養(yǎng)成“盡量給最小授權(quán)”的習(xí)慣。“你開(kāi)放的權(quán)限越多,相當(dāng)于送出了越大的禮包。”
京公網(wǎng)安備11010502034432號(hào)