牛立雄 程久龍等

不知道是不是每到新年，谷歌總是要鬧點兒事情出來。這不，剛過了新歷年，Android系統(tǒng)就陷入了臭名昭著的“吸費門”。

說來也怪，本來這“吸費”不是啥新奇事兒，旱在“山寨機”最紅火的時代，“吸費”就是司空見慣的。那時候最常見的情況是sP公司勾結(jié)“山寨機”生產(chǎn)廠家，將吸費程序內(nèi)置到手機中，然后誘導(dǎo)手機用戶點擊。但是，在Android平臺中，那些應(yīng)用程序都是用戶自己安裝上去的，它們是如何繞過層層環(huán)節(jié)，做到悄無聲息扣費的?其中到底有怎樣的利益鏈條?不知道?那就聽小西來侃一侃吧!

誰動了我們的話費

說到吸費，大家第一反應(yīng)是什么?對!就是sP(服務(wù)提供商，以下簡稱“SP”)!

我知道有很多人非常震驚：SP的爪子居然都伸到Android平臺了?其實小西也因此對sP的無孔不入“膜拜”得五體投地。不過，這也怪Android平臺太大方了，允許用戶從谷歌官方“電子市場”以外的渠道(論壇、第三方電子市場等)下載安裝軟件。這本來是最值得谷歌笑做市場，并借此強烈“鄙視”封閉的蘋果系統(tǒng)的利器，卻被一些SP公司鉆了空子。

他們組織技術(shù)人員對正規(guī)的Android應(yīng)用程序進行篡改，在其中加入惡意扣費代碼，然后將修改后的應(yīng)用程序通過各種方式推廣到用戶的手機中。用戶在下載并安裝Android應(yīng)用軟件的過程中，惡意吸費情況就會“自動”產(chǎn)生。更有甚者，他們直接在Android應(yīng)用程序中加載自動扣費軟件，在用戶不知情的情況下“自動”扣費。

所以，我們老是聽見一些Android應(yīng)用程序的開發(fā)者在論壇上嚷嚷：我開發(fā)的軟件我最清楚，怎么會有吸費的情況呢?

不過，也并不是所有的開發(fā)者都這么無辜。還有些開發(fā)者干脆直接與SP公司“合謀”。因為，Android雖然名氣打得挺響，但中國用戶上都是些習(xí)慣免費的主兒，能從Android應(yīng)用程序上獲得規(guī)模盈利的個人開發(fā)者簡直寥寥無幾。部分開發(fā)者便開始違規(guī)運作，利用sP的吸費通道牟利，并給予SP一定比例分成。

吸費利益鏈，共分四環(huán)節(jié)

侃到這里，很多人_定很納悶：Android平臺的安全防線做得挺好啊!就算有吸費行為，安裝軟件時應(yīng)該有提示啊!

小西想說，持這種觀點的人，一定非常0ut，對sP的整個環(huán)環(huán)相扣的利益鏈條實在缺乏深刻的認識啊!

第一個環(huán)節(jié)：內(nèi)置扣費代碼

在這個環(huán)節(jié)，sP會組織一批技術(shù)人員，在目前非常受歡迎的一些Android應(yīng)用程序中植入扣費代碼。其中一些程序代碼-還會進行加密處理，以免被發(fā)現(xiàn)。

第二個環(huán)節(jié)：讓用戶下載這些應(yīng)用程序

Android平臺是一個開放的系統(tǒng)，允許用戶到谷歌官方應(yīng)用程序商店“電子市場”(Google Market)以外的任何渠道下載程序，包括論壇、第三方市場等，這就給了sP們制造了機會。但是，這也是SP們最難實現(xiàn)的一個環(huán)節(jié)怎樣才能讓用戶下載這些程序，是他們最頭疼的事。于是，很多sP利用論壇及第三方市場推廣植入了扣費代碼的軟件，甚至掏錢給論壇管理員，讓他們幫忙推廣。

第三個環(huán)節(jié)：讓用戶通過“功能調(diào)用提示”

Android系統(tǒng)為了保證各個應(yīng)用程序的安全，在程序安裝之前加了一個提示環(huán)節(jié)，它會提示用戶，安裝這個程序之后會調(diào)用哪些功能，如果用戶覺得不好，可以拒絕安裝。

不過，絕大部分中國用戶早就習(xí)慣軟件的“傻瓜化”安裝，甚至養(yǎng)成了直接點“下一步”的習(xí)慣，根本不看提示。這就讓Android系統(tǒng)安全的最后一道防線被用戶主動打開了。這一個環(huán)節(jié)目前是SP們最容易實現(xiàn)的一個環(huán)節(jié)。

第四個環(huán)節(jié)：吸費

關(guān)于吸費的技術(shù)問題，推薦大家去看一個技術(shù)強人寫的《扣費軟件的運轉(zhuǎn)機制與原理解析》。簡單地說，就是吸費公司將扣費代碼植入到程序啟動的最初入口，每次在程序啟動之后都會運行?？圪M代碼在運行過程中會采集手機號碼、IMSI、ICCID和IMEI等信息，然后將這些信息悄悄發(fā)給專用的服務(wù)器。服務(wù)器收到信息后，會返回指令告訴扣費程序發(fā)送設(shè)定好的短信至指定的SP特服號碼。雖然根據(jù)運營商的要求，短信訂購增值服務(wù)要三次短信確認，但是吸費代碼直接將運營商的確認短信給回復(fù)了，用戶根本看不到提示短信，白花花的銀子也就這樣被吸走了。

誰受害?誰受益?

好了，我們分析出Android應(yīng)用程序吸費利益鏈條的四個環(huán)節(jié)，受害者和受益者也就清晰起來。

在整個利益鏈中，sP公司是直接受益者。間接受益者就多了包括借助sP通道的吸費公司，幫助其推廣的廣告聯(lián)盟，幫助其進行論壇推廣的水軍，承接推廣活動的網(wǎng)站或第三方應(yīng)用程序商店。當(dāng)然，受害者也不少，最大的受害者自然是手機用戶，其次是部分應(yīng)用程序的開發(fā)者，還有那些花錢做應(yīng)用推廣的廣告主。

據(jù)國內(nèi)一家Android社區(qū)的高層人員爆料，經(jīng)過他們反復(fù)統(tǒng)計，在最核心的sP環(huán)節(jié)，國內(nèi)至少有10家針對Android平臺的吸費SP或渠道公司。

另外，還有業(yè)內(nèi)人士說，這些被植入的惡意代碼除了吸費外，另有其他掙錢的方法。比如，一些應(yīng)用程序的開發(fā)者在花錢推廣自己的產(chǎn)品時，每有一個用戶安裝，就付一點錢給推廣平臺，惡意代碼就可以搜集用戶已經(jīng)安裝的應(yīng)用程序信息，然后發(fā)給推廣企業(yè)，從而騙取推廣費。

還有些人干脆利用這些應(yīng)用程序搜集用戶的個人隱私信息出售，真是無所不用其極。

所以，小西在考慮，以后是否要改一改過去那種一味贊Android開放，貶蘋果封閉的習(xí)慣呢?看來任何事物都如同硬幣，有其兩面性啊!