文 程建軍

手機(jī)App安全嗎

文 程建軍

每天，無(wú)數(shù)的智能手機(jī)在運(yùn)用數(shù)量龐大的軟件App，并且不斷有新的App應(yīng)運(yùn)而生。然而這些已與我們生活須臾不可分，記錄著我們隱私和信息的軟件App，是否安全？

問(wèn)題App遭查處曝光

工信部公布29款問(wèn)題手機(jī)App

11月15日，工信部發(fā)布《關(guān)于電信服務(wù)質(zhì)量的通告》稱，2016年第三季度，12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心共接到不良手機(jī)應(yīng)用有效舉報(bào)350544件次，同比上升205.8%，環(huán)比上升35.4%，通過(guò)“安全百店”聯(lián)動(dòng)機(jī)制，聯(lián)合應(yīng)用商店、安全檢測(cè)廠商對(duì)其中存在問(wèn)題的1057款不良手機(jī)應(yīng)用進(jìn)行了下架處理。

工信部組織對(duì)50家手機(jī)應(yīng)用商店的應(yīng)用軟件進(jìn)行技術(shù)檢測(cè)，發(fā)現(xiàn)違規(guī)軟件29款（詳見(jiàn)文末表格），涉及違規(guī)收集使用用戶個(gè)人信息、惡意“吸費(fèi)”、強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件等問(wèn)題。組織對(duì)三家基礎(chǔ)電信企業(yè)和168家增值電信企業(yè)399項(xiàng)業(yè)務(wù)進(jìn)行抽查，發(fā)現(xiàn)11項(xiàng)增值業(yè)務(wù)存在問(wèn)題，涉及資費(fèi)提示不清晰、業(yè)務(wù)內(nèi)容更新不及時(shí)、業(yè)務(wù)內(nèi)容與名稱不符、業(yè)務(wù)無(wú)法使用等，目前已督促整改。

廣東公安機(jī)關(guān)曝光17款問(wèn)題App

2016年9-10月份，廣東省公安機(jī)關(guān)繼續(xù)大力開(kāi)展移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全檢測(cè)工作，發(fā)現(xiàn)了17款問(wèn)題App，并通報(bào)了相關(guān)發(fā)布平臺(tái)對(duì)存在安全問(wèn)題的App進(jìn)行核查處置。

據(jù)了解，“會(huì)跳的湯姆貓”“悅悅?cè)諝v”“英語(yǔ)一點(diǎn)通”“暴力摩托狂暴版”“登山賽車2”“狂暴飛車”“激情快播”“彩虹泡泡龍”等17款A(yù)pp存在惡意扣費(fèi)、破壞用戶數(shù)據(jù)、強(qiáng)行捆綁推廣應(yīng)用軟件等突出安全問(wèn)題，涉及7230手游網(wǎng)、百度手機(jī)助手、PC6下載站、魅族應(yīng)用商店、安貝市場(chǎng)、快虎市場(chǎng)、新浪網(wǎng)、金山手機(jī)助手、天天游戲中心等15個(gè)App發(fā)布平臺(tái)。目前，公安機(jī)關(guān)已通報(bào)相關(guān)發(fā)布平臺(tái)對(duì)存在安全問(wèn)題的App進(jìn)行核查處置。

App存在的主要問(wèn)題

1.在用戶不知情或未授權(quán)的情況下，通過(guò)隱蔽手段屏蔽用戶短信.欺騙用戶點(diǎn)擊等手段，訂購(gòu)各類收費(fèi)業(yè)務(wù)或使用移動(dòng)終端支付，導(dǎo)致用戶經(jīng)濟(jì)損失，具有惡意扣費(fèi)行為。

2.在用戶不知情的情況下，強(qiáng)行捆綁推廣應(yīng)用軟件，侵犯用戶知情權(quán)和選擇權(quán)，造成用戶資費(fèi)消耗。

3.捆綁惡意廣告插件，強(qiáng)行推送廣告，私自下載推廣軟件，干擾手機(jī)正常使用造成用戶流量損失。

4.包含危險(xiǎn)行為代碼，后臺(tái)靜默下載推廣軟件，造成用戶流量損失。

5.在用戶不知情的情況下，后臺(tái)私自訂購(gòu)各類收費(fèi)業(yè)務(wù)或使用移動(dòng)終端支付，并刪除運(yùn)營(yíng)商短信等行為，導(dǎo)致用戶經(jīng)濟(jì)損失，具有惡意扣費(fèi)行為。

鑒于此，特給消費(fèi)者的兩點(diǎn)提醒：

1.通過(guò)正規(guī)渠道下載手機(jī)App，提醒廣大用戶提高防范意識(shí)，在連接免費(fèi)WiFi，掃描二維碼、點(diǎn)擊網(wǎng)站鏈接以及回復(fù)驗(yàn)證碼等操作之前務(wù)必確認(rèn)其來(lái)源，謹(jǐn)慎操作，通過(guò)正規(guī)渠道下載手機(jī)App等軟件，避免個(gè)人信息泄露和上當(dāng)受騙。

2.更換手機(jī)號(hào)后及時(shí)解綁、注銷、變更在更換手機(jī)號(hào)時(shí)，應(yīng)立即將與該號(hào)碼關(guān)聯(lián)的銀行卡以及網(wǎng)絡(luò)支付、網(wǎng)盤(pán)、社交軟件等賬號(hào)進(jìn)行解綁.注銷或變更，避免造成財(cái)產(chǎn)損失。

最不能容忍的五類手機(jī)App問(wèn)題

2016年3月份，360手機(jī)助手發(fā)布了一份《2015安卓App安全研究報(bào)告》，報(bào)告中對(duì)2015年用戶最不能容忍的手機(jī)安全問(wèn)題做了歸納。

惡意扣費(fèi)、隱私泄漏、誘騙欺詐、流氓行為以及破壞系統(tǒng)是用戶最不能容忍的五類手機(jī)App的惡意行為。報(bào)告數(shù)據(jù)顯示，在用戶最不能容忍的手機(jī)安全問(wèn)題當(dāng)中，惡意扣費(fèi)風(fēng)險(xiǎn)占比最多，達(dá)到41%，其次是用戶隱私泄露問(wèn)題，占比33%。從這兩項(xiàng)用戶關(guān)注的手機(jī)安全問(wèn)題來(lái)看，突顯出的根本矛盾在于是否能給用戶造成直接或間接的經(jīng)濟(jì)損失。

惡意扣費(fèi)：41%的用戶無(wú)法容忍

隨著移動(dòng)支付產(chǎn)業(yè)的發(fā)展，手機(jī)App本身的安全程度也在加強(qiáng)。但是手機(jī)木馬病毒可以通過(guò)攔截用戶的個(gè)人信息從而竊取用戶錢財(cái)。在這一點(diǎn)上，體現(xiàn)出用戶對(duì)于手機(jī)App安全行的顧慮，同時(shí)也體現(xiàn)了對(duì)于手機(jī)安全軟件.應(yīng)用商店安全的需求。

惡意扣費(fèi)的現(xiàn)象時(shí)有發(fā)生，毫不夸張地說(shuō)，山寨/盜版App的目的，即是對(duì)手機(jī)進(jìn)行扣費(fèi)，不法分子伺機(jī)斂財(cái)。因此，惡意扣費(fèi)也成為惡意App的主要目的。

隱私泄漏：33%的用戶無(wú)法容忍

隱私泄漏作為排名第二的用戶最不能容忍的手機(jī)App問(wèn)題，也是繼惡意扣費(fèi)之后最為突出的手機(jī)App的問(wèn)題之一。

一般來(lái)說(shuō)，山寨App中通常帶有病毒，這類App會(huì)對(duì)用戶的財(cái)產(chǎn)和隱私造成嚴(yán)重的侵害。報(bào)告數(shù)據(jù)顯示，木馬類盜版應(yīng)用占比最高，為71%；其次是廣告類占比26%。而木馬類惡意盜版App行為中，隱私竊取類木馬就占了43.61%。

誘騙欺詐：16%的用戶無(wú)法容忍

需要指出的是，具有誘騙欺詐類惡意行為的手機(jī)App在木馬類惡意盜版App行為分類中所占的比例并不高，只有0.33%，但因?yàn)橛脩粼庥鍪謾C(jī)詐騙往往與短信詐騙，電話詐騙等詐騙行為聯(lián)動(dòng)，因此，“一朝被蛇咬，十年怕井繩”。

誘騙欺詐的目的，仍然是將手機(jī)用戶的錢財(cái)視為主要目標(biāo)。

流氓行為：8%的用戶無(wú)法容忍

流氓行為的范圍則較為寬泛，譬如偷跑流量、永不關(guān)閉以及持續(xù)聯(lián)網(wǎng)等均屬于這一范疇。持續(xù)聯(lián)網(wǎng)導(dǎo)致流量費(fèi)用大增，而無(wú)法徹底關(guān)閉則會(huì)導(dǎo)致手機(jī)越用越慢，且十分耗電。

用戶對(duì)于流氓行為深惡痛絕的同時(shí)，也一定程度上反映出某種無(wú)可奈何。

破壞系統(tǒng)：2%的用戶無(wú)法容忍

值得一提的是，有2%的用戶對(duì)系統(tǒng)破壞類惡意行為無(wú)法容忍，這一比例不高的原因在于大多數(shù)手機(jī)用戶并不了解何為“破壞系統(tǒng)”。實(shí)際上，真正具有“破壞系統(tǒng)”功能的惡意App并不多，只占了木馬類惡意盜版App行為分類的0.07%，這是因?yàn)橐坏〢pp將手機(jī)系統(tǒng)破壞了，那么它就什么數(shù)據(jù)都得不到，可以說(shuō)是百忙一場(chǎng)。

業(yè)內(nèi)人士指出，傳統(tǒng)意義上的手機(jī)安全威脅均來(lái)自于手機(jī)病毒和惡意程序。但是現(xiàn)在手機(jī)App應(yīng)用數(shù)量龐大，安全威脅也向多元化發(fā)展。騷擾電話和騷擾短信的產(chǎn)生原因并不排除是由惡意程序泄漏了用戶的個(gè)人信息而造成的。所以隨著智能手機(jī)的普及，用戶對(duì)于手機(jī)安全的知識(shí)也應(yīng)當(dāng)加強(qiáng)，以避免造成不必要的損失。

黑客盯上App安全漏洞

自2014年12月起，上海市徐匯公安分局網(wǎng)安支隊(duì)陸續(xù)接報(bào)了4起涉及手機(jī)軟件App的案件，其中既有新興的創(chuàng)業(yè)公司，也有涉外的知名企業(yè)。這些案件有著相似之處：網(wǎng)絡(luò)黑客都是利用網(wǎng)上已有的各類“測(cè)試”軟件“攻”開(kāi)手機(jī)App軟件的“后門”。這些手機(jī)App的安全漏洞會(huì)給人們帶來(lái)三方面危害：“造成使用移動(dòng)支付的損失；造成信息資料、個(gè)人隱私的外泄；還可能導(dǎo)致軟件崩潰影響正常使用?！?/p>

徐匯網(wǎng)安民警選取市場(chǎng)上有一定影響力的手機(jī)軟件App，運(yùn)用網(wǎng)上已有的各類軟件進(jìn)行測(cè)試，結(jié)果發(fā)現(xiàn)至少10%的手機(jī)軟件App存在不同程度的安全問(wèn)題。盡管他們已將測(cè)出來(lái)的安全漏洞一一告知相關(guān)公司并進(jìn)行“堵漏”，但在互聯(lián)網(wǎng)時(shí)代，有層出不窮的手機(jī)軟件，就會(huì)有層出不窮攻擊這些軟件的軟件。

App后門開(kāi)了 企業(yè)毫不知情

2015年5月，香港某知名電視臺(tái)的電視劇大陸版權(quán)發(fā)布方發(fā)現(xiàn)，明明晚上八點(diǎn)才在電腦、手機(jī)上與電視臺(tái)同步播出的電視劇集，居然在下午就已經(jīng)提前在網(wǎng)上公開(kāi)了。

按照傳統(tǒng)的辦案思路，嫌疑人很可能是掌握獨(dú)家資源的“內(nèi)鬼”。但這是互聯(lián)網(wǎng)時(shí)代——一切皆有可能。最終的結(jié)果的確令人吃驚，嫌疑人竟然只是兩名熱衷網(wǎng)上追劇的“發(fā)燒友”。

一般來(lái)說(shuō)，電視臺(tái)白天時(shí)會(huì)將當(dāng)天電視劇內(nèi)容上傳至服務(wù)器，此后大陸公司會(huì)提前做好視頻鏈接，待晚上電視臺(tái)播出時(shí)同步推出。

這兩名嫌疑人發(fā)現(xiàn)手機(jī)播放存在漏洞，通過(guò)黑客軟件可以分析出視頻鏈接格式。通過(guò)對(duì)這些鏈接格式規(guī)律的總結(jié)，兩人嘗試著改變鏈接內(nèi)容，生成20個(gè)鏈接離線下載，居然真的成功下載了部分未播放的新劇集。

2015年1月，上海一家彩票代理網(wǎng)站發(fā)現(xiàn)后臺(tái)被人惡意轉(zhuǎn)賬達(dá)140萬(wàn)余元。鮑珍榮和同事們調(diào)查發(fā)現(xiàn)，問(wèn)題正是出在這家公司的網(wǎng)絡(luò)支付移動(dòng)端口——這些黑客在彩票代理網(wǎng)站注冊(cè)賬戶后充值1元，然后利用黑客手段將賬戶金額篡改為10萬(wàn)元，除少部分購(gòu)買彩票外，大部分套現(xiàn)。

“被攻擊的網(wǎng)站后臺(tái)支付代碼是明碼傳輸，沒(méi)有加密，黑客們正是利用了這一漏洞?！滨U警官回憶，當(dāng)時(shí)這伙人在彩票網(wǎng)站的App上一共篡改了7次后臺(tái)數(shù)據(jù)，第一筆5000元，最后一筆高達(dá)88萬(wàn)元，總計(jì)140余萬(wàn)元。一周之后彩票網(wǎng)站方才察覺(jué)異常。

而徐匯公安在對(duì)犯罪嫌疑人的調(diào)查中發(fā)現(xiàn)，受害者不止這一家彩票網(wǎng)站。一家知名電影票代理網(wǎng)站，被這伙不法分子采取類似的辦法，通過(guò)手機(jī)App買下價(jià)格為數(shù)十元的電影票后改為0.01元支付，再加價(jià)賣出，先后騙取價(jià)值160余萬(wàn)元的電影票。而警方也發(fā)現(xiàn)部分掌握全國(guó)院線的手機(jī)App公司同樣存在風(fēng)險(xiǎn)，及時(shí)將情況反饋給這家位于廣東的公司。

2015年4月下旬，徐匯區(qū)一金融類手機(jī)App服務(wù)器忽然非正常死機(jī)。經(jīng)過(guò)查找，警方找到違法嫌疑人，他想測(cè)試一批手機(jī)號(hào)是否已在該手機(jī)App上注冊(cè)過(guò)，以便獲取這些信息后向其他金融機(jī)構(gòu)進(jìn)行推銷。于是他通過(guò)一個(gè)黑客軟件，輸入一定號(hào)段，讓這一手機(jī)App自動(dòng)比對(duì)這一號(hào)段的號(hào)碼。由于同時(shí)運(yùn)行數(shù)十萬(wàn)號(hào)碼，服務(wù)器負(fù)荷過(guò)大死機(jī)，這才被發(fā)現(xiàn)。

“利用手機(jī)App來(lái)違法的趨勢(shì)非常明顯?！毙靺R公安分局網(wǎng)安支隊(duì)2014年年底接報(bào)的篡改彩票網(wǎng)站移動(dòng)支付端數(shù)據(jù)案還是上海首例，而一些公司很可能尚未發(fā)現(xiàn)已受到不法侵害。

傳統(tǒng)的電腦網(wǎng)頁(yè)因發(fā)展較早，企業(yè)采取的防范措施已相對(duì)完善。相比之下，手機(jī)App這一新興互聯(lián)網(wǎng)方式仍然存在較為明顯的安全漏洞——不光警方測(cè)試出部分國(guó)內(nèi)新興企業(yè)開(kāi)發(fā)的手機(jī)App存在安全隱患，現(xiàn)有資料表明就連國(guó)外一些知名大型企業(yè)開(kāi)發(fā)的手機(jī)App也曾出現(xiàn)過(guò)安全問(wèn)題。

手機(jī)App的隱患來(lái)自何處

一方面有系統(tǒng)原因，如安卓系統(tǒng)的源代碼是公開(kāi)的，這就為一些不法分子分析源代碼帶來(lái)便利條件；另一方面則是開(kāi)發(fā)者原因，因部分代碼編寫(xiě)不規(guī)范，一些語(yǔ)法本身就存在問(wèn)題，因此讓不法分子有可乘之機(jī)。此外，安卓系統(tǒng)的應(yīng)用商店數(shù)以百計(jì)，這些應(yīng)用商店對(duì)上架App的審核標(biāo)準(zhǔn)不一，而分發(fā)營(yíng)收又是這些商店的收入來(lái)源之一。

一些業(yè)內(nèi)人士建議，政府部門可以通過(guò)購(gòu)買服務(wù)的方式為創(chuàng)業(yè)型企業(yè)提供手機(jī)App的基礎(chǔ)安全性能檢測(cè)，如果涉及更專業(yè)的安全檢測(cè)則通過(guò)市場(chǎng)化方式進(jìn)行。

安全性能常被忽略

與部分手機(jī)App開(kāi)發(fā)運(yùn)行公司接觸之后，鮑警官認(rèn)為：“企業(yè)安全意識(shí)不強(qiáng)是主要原因?！痹谝黄鹗謾C(jī)游戲敲詐案中，鮑警官和同事特別詢問(wèn)該公司是否進(jìn)行過(guò)內(nèi)部安全測(cè)試，對(duì)方表示“為了搶占市場(chǎng)，只考慮運(yùn)營(yíng)問(wèn)題，沒(méi)考慮安全問(wèn)題，就著急推出了”。盡管目前市場(chǎng)上已有專門的網(wǎng)絡(luò)安全性能測(cè)試公司，但總體數(shù)量不多。

在如今創(chuàng)新創(chuàng)業(yè)的大旗下，開(kāi)發(fā)手機(jī)App是一個(gè)準(zhǔn)入門檻較低的方式。在這些手機(jī)App設(shè)計(jì)之初，大家考慮的首先是用戶的需求與體驗(yàn)，以及人氣累計(jì)后可能爭(zhēng)取到的風(fēng)險(xiǎn)投資，至于手機(jī)App的安全性能，大多數(shù)時(shí)候被看作“理所當(dāng)然，按部就班”的一部分，很少專門對(duì)此進(jìn)行分析并提出對(duì)策。相比之下，傳統(tǒng)企業(yè)產(chǎn)品進(jìn)入市場(chǎng)前都會(huì)有內(nèi)部審核，但當(dāng)下一些企業(yè)開(kāi)發(fā)手機(jī)App時(shí)卻省略掉了。

在一些法律界人士看來(lái)，手機(jī)App仍然是企業(yè)的“產(chǎn)品”，對(duì)于產(chǎn)品的安全性能，第一責(zé)任人是企業(yè)，然后是監(jiān)管部門，如果最終案發(fā)再由公安部門介入打擊。

作為“最后一環(huán)”上的民警，鮑珍榮認(rèn)為：“前端做一定比后端做更好?！彼f(shuō)，手機(jī)App犯罪大多數(shù)情節(jié)輕微，但是會(huì)對(duì)互聯(lián)網(wǎng)造成巨大損失。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，此類犯罪的破案難度和成本將越來(lái)越高：“互聯(lián)網(wǎng)犯罪讓跨境犯罪成本更低，更容易隱藏真實(shí)的方位，之前的案件中還有嫌疑人通過(guò)數(shù)據(jù)將自己的行蹤層層掩蓋，把互聯(lián)網(wǎng)上的自己和現(xiàn)實(shí)中的自己完全‘剝離’，連轉(zhuǎn)賬用的銀行卡都是從銀行買來(lái)的‘黑卡’。”

2016年三季度檢測(cè)發(fā)現(xiàn)問(wèn)題的應(yīng)用軟件名單序號(hào)應(yīng)用商店軟件名稱版本所涉問(wèn)題化妝小貼士V142331068 5983.194.71 1安卓園強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件記事本V1.0 BT種子超級(jí)搜索神器V10.0極速WIFI萬(wàn)能鑰匙-連網(wǎng)神器V22.0愛(ài)聽(tīng)廣播劇V4.0.6 2百度手機(jī)助手寶石連線3 V1.58手機(jī)鈴聲大全V4.0.6英語(yǔ)聽(tīng)力大全V4.0.4 3綠色資源網(wǎng)查開(kāi)房V6.2.3強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件西瓜影音高清版V5.0強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件UU電話V3.5.4 4安卓商店未經(jīng)用戶同意，收集、使用用戶個(gè)人信息網(wǎng)易通省錢電話V1.0.0多功能手電筒V7.8.6 5 360手機(jī)助手強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件加密記事本V8.0.1 Forever Drive（永恒飛車）V1.07 6小米應(yīng)用商店Striker Soccer Euro 2012 Pro（Q版足球歐洲杯）強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件V1.6.1 7優(yōu)億市場(chǎng)消滅星星積分版V1.0.0.3惡意“吸費(fèi)”別踩白板2016多模式版V1.1強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件8豌豆莢萌鼠蹦蹦跳V2.0.0.2惡意“吸費(fèi)”挑戰(zhàn)大腦V2.0.1強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件空中急救V2.0.6未經(jīng)用戶同意，收集、使用用戶個(gè)人信息Light eye protection（屏幕護(hù)眼燈）V9.0強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件10 2345手機(jī)應(yīng)用寶庫(kù)9蜂助手酷炫來(lái)電閃V1.0強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件11天翼空間喜邦V1.0用戶不知情的情況下，自動(dòng)向外發(fā)送短信12第一應(yīng)用冷漠與微笑V2.0強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件13應(yīng)用酷開(kāi)心消消砰-2016 V1.0.9惡意“吸費(fèi)”14綠茶軟件園老爸曾是小偷V2.82強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件15魅族應(yīng)用中心忍者：卷軸大戰(zhàn)V1.3強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件16琵琶網(wǎng)胎教音樂(lè)盒子V4.0.6強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件