chapter 1 隐秘的数据收集链
随着Android、iPhone等智能手机的流行,智能手机的第三方应用程序APP处于高速增长阶段,并受到越来越多消费者的追捧。但在众多让人炫目的APP应用背后,却隐藏着许多陷阱。他们利用APP应用掌握的庞大客户信息,如用户的姓名、生日、手机号码、通信录、地理位置、短信等,赚取着你所不知道的高额回报,而你,却正成为买单者。
那么,问题来了,这些APP是通过什么手段对用户的信息进行获取?而这背后又隐藏什么样的利益链条?21世纪经济报道记者试图通过案例还原一些陷阱和其背后的利益诉求。
21世纪经济报道记者 曹晟源 上海报道
我国移动互联网发展已经进入全民时代。截至2014年6月,中国网民规模达6.32亿,其中,手机网民规模5.27 亿,互联网普及率达到46.9%。在网民上网设备中,手机使用率达83.4%,超越传统PC整体80.9%的使用率,移动终端已经成为一种重要的媒介,占据了人们越来越多的时间,成为用户日常生活不可分割的一部分。
与此同时,大数据是互联网乃至移动互联网时代的标志之一。正是由于大数据在当下和未来市场中能够带来的包括经济上的价值,所以一些APP开发商开始将目光着眼于大数据的收集,利益也就从此而来。
安全专家陆兆华在接受媒体采访时就这样表述:“由于收集地理位置、设备识别信息、本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告,并进行有效的用户消费行为分析,符合部分急功近利的广告商的利益诉求,APP开发者也可以因此而获取广告分成,因而获取这类信息成为某些不正规广告商与APP开发者共同的核心利益。”
实际上,撇开不法的APP应用不谈,目前市面上出现的包括游戏、生活、教育等各类的APP应用程序都在尽可能调用收集用户尽可能多的权限,这样做的背后就是这些APP开发商将会越来越了解用户的信息,当达到一定的程度之后其商业价值也就会成倍放大。
隐秘的信息收集
像往常一样,小李在自己的安卓手机上打开几个经常浏览的应用商店,开始挑选时下最热门的手机游戏。在浏览了几家应用商店均未发现自己中意的APP游戏后,他选择将自己此前下的“QQ单机斗地主”重新下载。
小李将“单机斗地主”的关键词输入到应用商店的搜索条中,跳出来许多斗地主的应用软件,一款名为“单机斗地主”的APP应用排在下载量首位,在浏览了图标和自己此前下的游戏没太大差别之后,小李选择了下载,并且在下载安装时也忽略了权限提示。
但是当小李打开这款应用时才发现,这款游戏图标和名称都和自己此前玩的那款游戏极为相似,唯一一点不同就是会强制跳出广告,时不时还有诱导安装其他APP应用的图标弹出。如果手误点进去的话,就必须要看十几秒的广告,或是直接跳转到其他APP应用的下载页面。
小李所不知道的是,在打开这些看似不花钱的广告时,自己的一些隐私信息也许正在被传到云端。
周小姐在一次户外活动上,看到有人在手机上使用一款手电筒的APP应用,使用过后发现十分方便,回家之后在应用商店中找到多款手电筒的APP应用,并下载了一个制作较为美观的。
下载完成的安装过程中,周小姐和小李一样,对于提示的权限一扫而过,快速安装了这款APP应用。正因为周小姐的忽视,一款需要取得用户的GPS位置权限的手电筒应用被安装到了她的手机中。
一般情况下一款以位置交友为主要目的APP应用,它需要获得用户的GPS权限,那也是合情合理的。而一款手电筒或者类似的单机类的APP应用,通常没有必要去取得用户的GPS位置权限。
也许有人会说,很多APP在软件本身被开发设计的时候,已经考虑到APP自身更新的需求,这样开发者会将软件自动提示升级的功能加入到软件内。因此,很多APP都在安装的时候需要获得用户手机的互联网访问权限。
但是这种APP应用有着威胁隐私的嫌疑,这也极大增加了个人手机的风险程度。
上述APP应用主要还是来自于一些电子市场应用商店、各种手机论坛或者是有心人在别人手机中特意种下。
事实上,一些软件会以各种名目要求用户上传个人信息或者开放隐私权限,山寨软件尤甚。在获取用户成本逐渐上涨过程中,小型APP开发团队在制作各种软件时,尽可能用各种方式强行或是暗中获取用户信息。
规模较大的应用厂商收集用户个人信息的行为也在进行。毕竟收集用户信息有利于其产品的推广。但是上述的行为仅仅局限在正规厂家的部分产品中,同时在收集的过程中,正规厂商总会或多或少对信息的用途进行提示,并且对于其安全性给予一定的保证。
但无论是谁,获取信息的目的都指向了利益。
大数据的借口
“一个很简单的案例,在应用商店下载一款很普通的五子棋游戏,这样一个小游戏就可能会提示需要定位权限(是为了方便游戏联网)、需要访问手机麦克风(开启游戏内的语音功能)、同步通讯录(联网和朋友一起玩,顺便推送给用户的朋友圈),如果用户注册账号那手机号肯定必不可少。”互联网安全人士张勇向记者介绍,“一个很简单的小游戏,可能不到1分钟的时间就已经收集到了上述多种信息。有提示算是有良心的,相当部分APP应用在用户下载好之后就已经默默开启了权限,上传用户的信息。”
不过也并不是所有的信息目前都能够转化成商业利益。这些从收集用户处调用的权限信息,一些开发商会进行自用,而这个目的实际上也是为了转化成未来可能出现的商业模式。
收集用户信息是一方面,另一方面APP的应用大多都是免费,如何解决开发和推广成本让开发商绞尽脑汁。
在此背景下,随着智能终端的迅速普及,以移动互联网为载体的移动广告迎来了迅猛发展。根据艾媒咨询《2013-2014 年中国移动广告平台行业观察报告》数据显示,2013 年中国移动广告平台市场整体规模为 25.9亿元,同比增长 144.3%,2014 年将达到 50.1 亿元,到 2018 年的市场规模有望达到 227.1 亿元。移动广告市场的快速增长导致国内涌现出上百家移动广告平台,他们主要依靠在移动应用中集成广告插件,收取广告主的展示费来盈利。这些广告平台大小不一,良莠不齐,他们提供的广告插件没有统一的行业标准,给移动安全带来了一定的风险和隐患。
“许多用户很大几率都会不小心点进APP应用中的插件广告,而有的是强制性广告,较多广告商都是靠着点击和浏览量来收费的。一般情况下都没有什么问题,但是遇到钓鱼的广告,用户手机上的信息很可能在极短的时间内就会泄露。”张勇坦言。
360互联网安全中心将手机用户信息分为以下五类:敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息和软件环境信息。为了能有针对性地投放广告,广告插件一般都会收集很多用户信息,其中包含不少隐私信息,从而导致用户隐私泄露。
获取这些信息可以让插件厂商向特定的应用推广广告,比如向游戏应用推广其他游戏,向翻译软件推广英语教学机构等等。(编辑 杨颢)
chapter 2 来自伪基站的危险短信
“您的账户积分已经达到兑换213.5元话费的标准,详情见wap.xx.10086.cn”、“您的手机银行客户端需要进行升级,请登录xx网站下载更新”、“xx银行邀请您参加做任务赚积分的活动,详情请点击http://t.cn/xxxx”……
这一类的诈骗短信相信很多人都曾经收到过。大多数时候,在看到对积分毫无印象的中奖内容和完全陌生的网址后,很多人都会心生疑惑,再一看短信来源的一长串号码后便很快意识到:这是遭遇了钓鱼短信。
但如果信息显示的来源是手机运营商或银行的官方短信号码呢?再进一步,如果这条短信的内容是模仿真实存在的商家兑换或互动活动呢?当你正在忙于工作或聚会时接到诈骗信息,你如何保持警惕?
21世纪经济报道记者结合身边真实的案例,梳理出目前颇为常见的几种诈骗手法。这当中既有短信诈骗,也有钓鱼APP诈骗等新的手段;既有想尽花招来盗取银行卡密码或支付验证码的传统手段,也有利用小额免密快捷支付等新型支付方式进行盗刷。
而随着手机和银行用户的防范意识提高,诈骗手段也在不断地翻新花样,诈骗信息内容也一再变化,最终都让用户在尚未清晰意识到隐患的时候将个人信息“提供”给了对方。
储蓄卡的“离奇”盗刷
一个周日晚上,在上海工作的小张收到微信官方的信息提醒,称有人试图利用其手机号码注册微信。此时他还不知道自己银行卡账户已经面临被盗刷的风险。
但出于安全考虑,刚从外地回来的小张还是很快修改了微信密码,并同时修改了支付宝密码、银行储蓄卡密码。
然而第二天小张偶然查询银行账户才发现,就在那则官方微信团队的提示后不久,他的储蓄卡便连续发生了多笔支付,第二天又继续发生类似交易,一直到他卡上的资金只剩下几十块钱才结束。
这些支付都是在他本人完全不知情的情况下发生,而当时银行卡和手机都在他本人手中。小张赶紧联系了银行冻结了账户,银行客服也按要求查询出了这些交易的渠道:共有十多笔交易是以网易宝快捷支付的方式支出,还有一笔交易是以中国移动的移动快捷支付的形式支出,总额大概接近2000块钱。
小张立刻向中国移动提出遭遇盗刷,移动客服按其要求关闭了其手机号码对应快捷支付功能,并向网易宝支付网站提起了遭遇盗刷的投诉。
但让小张感到蹊跷的是,他并没有开通过网易宝和中国移动的快捷支付功能,并且这些交易的数额都是99.9元。此前他曾经设置过免密码快捷支付的限额,这个额度刚好是100元。
被“伪装”的10086
在确认近期没有发生银行卡和本人手机离身被盗取个人信息的可能后,10086的客服提醒小张回忆,是否近期有收到过不明来历的钓鱼短信。小张想起来,就在收到微信官方提醒那天下午,他曾经进行过一次中国移动的积分兑换话费的操作。
他翻开手机查看,发现确实收到过一条10086发来的短信——“您的积分已经达到兑换258.55元话费礼包的条件,请登录wap.gf.10086.net根据提示操作【中国移动】”。就在此前一周多的时间,小张也曾进行过10086的积分兑换话费的操作,因此并未细看,便点进了短信给出的链接,进入了一个中国移动的wap网页界面。
10086官方发来的短信、网址和网页界面似乎都和以往一样、可兑换金额甚至精确到了小数点后两位数……这些都让小张放下戒备,按照网页的提示输入了手机号码和身份证信息登录网站,并完成了积分兑换话费的操作。
但盗刷之后小张向10086客服核实才发现:短信给出的网站域名不符,中国移动的积分网站应该是10086.cn,而非net域名结尾。并且移动的积分兑换网站登录时需要的是手机验证码,而不是身份证。
但可以确定的是,短信来源显示的确是10086。但10086的客服却向小张表示,如今电信诈骗已经可以使用伪基站伪装成移动官方的10086号码发送信息。小张很快上网查询也发现,全国各地都存在这一类利用伪基站向周边一定范围(通常为1公里)强行发送信息的诈骗手段。“只需要一台无线电收发电台与专业的电脑连接,伪基站既能伪装成手机运营商的号码,也能伪装成各大银行的官方号码。”
在了解伪基站可以伪装10086官方号码后,小张还发现了一个问题:他的手机最近两天能够发出短信,却不能正常地接收短信。但银行的客服向小张确认,如果之前绑定了手机,那用户银行卡在发生交易后手机都会收到短信提示。
于是小张意识到,他的手机可能在更早的时候就已经以通过某种方式被拦截了短信,因此对方才能够连续盗刷其银行卡却不会被及时发现。小张将安卓的手机带往正规的维修点,在进行一番检测后,维修人员告诉小张,监测提示出他的手机近期下载了钓鱼软件,已经有泄露信息的风险,需要进行重置。
电信诈骗X.0
尽管此后小张也一直跟进网易宝的处理进展并向居住地派出所报警,但此后小张却没有收到进一步的答复,最后就不了了之。
21世纪经济报道结合小张的案例、各地警方通报和媒体报道的情况将此类诈骗进行了综合梳理:传递诈骗信息的载体如今已经出现了电话、短信、APP下载和微信等好多种方式,往往伪装成中奖、积分兑换、系统升级、APP更新的通知,但其最终都是需要受害者在放松警惕的情况下提供个人信息,包括手机号码、身份证信息、银行卡卡号和密码等,然后再依靠掌握的个人信息来看能够采取哪种盗刷方式。
在小张的案例中,他泄露的是手机号和身份证号,而验证码等则是因被拦截而被动泄露。但另外有类似诈骗模式则还会进一步伪装,诱导用户输入银行卡号和密码。实际上,如今有了手机、身份证号和动态的手机验证码,诈骗者就已经可以在支付网站以他人的名义进行注册,要是再继续获得了银行卡密码,其盗刷的成功几率就更大了。
而由于用户对诈骗信息的防备逐渐提高,这类诈骗的迷惑性越来越强,且用户的被动受骗倾向越来越大——如果说以往的中奖短信还利用了普通人的贪念的话,现在的诈骗手段已经能做到让手机用户被动地参与到信息泄露之中。
小张另外发现的一个案例中,受害者尽管点开了诈骗信息中的网址,但并未输入任何个人信息,此后却仍然发生银行卡被盗刷。后来受害者才意识到,他最初点击的实际上是一个盗取信息APP的下载链接,只是伪装成了一个网址。
和这些依靠人的疏忽骗取信任不同,还有一些诈骗环节的技术本身都已经相当成熟,比如小张遇到的伪基站冒充官方短信号码这个环节。21世纪经济报道查询相关报道就发现,伪基站冒充官方短信号码的案例在全国各地层出不穷,已经是一个很普遍的诈骗手段。全国有多个省市的警方也都曾向公众发出过有伪基站冒充官方发送诈骗信息的提醒。
央视《经济半小时》栏目今年9月末的一个报道就用多个品牌的手机做了测试,发现其选择的所有品牌的手机都接收到了伪基站发送的短信,显示的也是运营商官方的短信号码,并且这类基站只需要一定的物理覆盖距离,不需要手机号码也能向这一范围内的手机用户发送信息,“覆盖范围内至少50%会收到伪基站的短信”。
这个环节的迷惑性在于,一旦确认信息发送来源是熟悉商家的号码之后,用户对信息的信任度会明显提高,正被其他事情占据时间和精力的用户尤其如此。央视的报道中,多个案例的当事人都是在忙于思考其他事情时收到官方号码“发来”的短信,因此并未仔细辨别短信给出的网址和内容。
小张也回忆他当时收到短信时,刚好手机话费有欠费,因此基于保证通信,便也放松了警惕,“仔细想起来那条信息给出的wap网站和以前官网操作过的界面还是有区别,但需要仔细鉴别”。
更重要的是,诈骗短信的内容也在不断“推陈出新”:此前媒体的报道中伪基站模仿10086发出诈骗短信时用的还是“积分兑换xx元现金”的引诱性话语,而到小张已经优化成了“积分直接兑换xx元话费”,更接近于商家实际的积分兑换模式。
另外有遭遇伪基站假冒银行发送短信的案例中,诈骗短信内容已经变成了“邀请参加做任务换取积分的活动”。而记者查询不同银行的官网发现,这类积分活动在国内信用卡商户中的确也很普遍。(编辑 王洁)
chapter 3 APP风险谈
一、恶意APP如何吸血?
21世纪经济报道记者 陈时俊 上海报道
作为集通讯、支付、社交多功能于一体的新型信息交互工具,一个移动智能终端(手机及平板电脑等)往往能装载一个现代人大部分的隐私与账户信息。也正因此,许多不法分子会以APP(应用程序)为掩护、“黑”进一部手机从而获取隐私信息与金钱财产。
中国移动官方新公布的警惕名单中,“s.spread.backup.a(僵尸相册)、s.system.ChaosEngine.a(混沌机器)、s.payment.pluginserver.a(伪诺基亚扣费补丁)”等恶意手机软件都榜上有名。
以“僵尸相册”为例,这类软件会通过短信链接进行传播,向用户发送短信“你有一条未读彩信相片,请免费下载安装彩信相册查看”,诱骗用户下载安装;安装后恶意软件隔一段时间就与后台联网并自动向某批号码发送短信。
这类软件安装后会自动运行,并在开机后自启。它们隐瞒用户发送短信,在不知不觉中消耗手机资费,最终影响手机的正常使用。
其中,水货品牌与中小杂牌是恶意APP的重灾区。“现阶段我国存在众多小品牌手机甚至山寨手机,这些终端出厂时安装的软件很难保证。即便是一些大牌的手机商有时也防不胜防,部分员工会通过隐蔽手段把一些恶意APP装上去。”手机中国联盟秘书长王艳辉告诉21世纪经济报道记者。
恶意扣费何时休
作为监管部门授予的国内首批应用自律白名单企业,中国移动总结列举了多个“吸血”APP的运行特点。
为操作系统为Symbian 6.0第三版、第五版的手机终端用户“量身订作”的“吸血”APP,便是通过网络下载进行传播。恶意软件伪装成功能软件诱骗用户下载,用户下载安装后不显示图标,安装完成后在后台联网。一旦使用了这一APP,智能手机将会自动屏蔽10086短信,用户手机无法正常看到收到的10086短信。同时,这类软件会在消费者毫不知情的情况下通过手机后台自动联网,从而消耗客户网络漫游的资费。
此外,一些恶意广告APP会保持手机处理器后台长时间唤醒,用于上传和下载广告数据。这也造成有些用户手机的电量即便在待机状态也迅速消耗。有统计数据显示:每款恶意广告应用平均每天要消耗电量 630 mAh,相当于普通手机电池总容量的35%。
更有甚者,一些“恶意扣费”软件会自动拨打一些固定号码,并自动连接部分链接,从而在用户浑然不知时就产生一大笔费用。
这些APP之所以如此神通广大,是因为其在手机内置了一些SP收费(移动信息费,多为增值服务收费)代码,这些代码从一开始就以APP为掩护内置或下载到用户的手机中。对于非法获得利益,这些APP的设计者会与相关利益获得方进行分成。
中国互联网协会12321网络不良与垃圾信息举报受理中心副主任曾明发指出,智能手机一个很大的特点就是缴费渠道众多、收费方便。随着用户在手机中存留的信息越来越多,很多不法分子动了邪念,开发一些恶意代码、程序换取利益。恶意软件在手机终端中很容易进行扣费或窃取信息。
要命的是,对这些恶意扣费的软件,发现察觉都存在难度。曾明发说,手机恶意扣费主要是凭借在用户毫不知情的情况下内嵌软件,并在规定的时间发送一些代码和信息,对用户进行扣费。运营商对用户的二次确认信息也会被屏蔽,从而使整个过程不被察觉,再加上不少用户对日常手机费用的帐单不太关注,因而使其实施犯罪更为隐蔽。
弹窗链接暗藏陷阱
王艳辉告诉记者,在上游有专门的第三方公司提供恶意APP包,将一系列软件打包后一同装进去。而在下游的一些“专业”公司如今已可以做到出厂装机时在不开手机的情况下就把恶意APP装进去,并躲过厂家的出厂检验。如此里应外合,可谓防不胜防。
除通过APP产生上网流量与短信费用之外,窃取并多次贩卖手机使用者信息的做法也日渐猖獗。手机用户的金融账户、银行密码都暴露在高风险之下。
扎根于众多博彩、游戏APP中的广告彩页与弹窗广告常携带声色犬马的不良信息,部分用户被其吸引、点击相关页面后,便会被软件自动诱使下载插件或提供个人信息。前者往往带来难以根除的顽固软件和手机病毒,后者则有可能被不法分子使用作为日后窃取财务账户的依据。
此前美国电子安全公司“侦查墙”(snoopwall)对外宣称:手机APP库中非常受欢迎的手电筒软件就可能存在这样的“暗门”。一旦上述软件被运行,就可能盗取用户的隐私,比如通讯录、手机定位、信息内容,这些信息转而就被偷偷发送给市场调研公司或广告公司。
而在窃取账户密码方面,据360公司公开的数据:2013年其互联网安全中心共截获手机支付及购物类恶意程序2962个。这些恶意程序可以盗取用户在智能终端上的支付帐号和密码,拦截并转发银行发来的短信,或直接洗劫支付账户中的资金余额。
在监管部门和大型厂商持续打击之下,各类APP“吸血”事件正转而变得愈发隐蔽和多样化。记者发现,今年高考期间,智能手机APP库中的高考真题测评软件便十分走俏,而在这些APP中不乏借高考名义恶意捆绑广告和弹窗的软件。
据悉,这些APP大多伪装成“高中文科理科汇”、“高考必备知识大全”等热门关键词,吸引用户下载并浏览。据360手机安全中心数据显示,今年高考前夕共有142款此类手机恶意软件出现。考生一旦安装,就将面临隐私被窃取、广告弹窗、手机后台私自下载软件、恶意扣费等多种风险。
在各类APP陷阱面前,专家劝告用户,必须提高警惕避免上当。曾明发表示,依靠现有技术,在Wifi环境下窃取用户信息已相对容易,这也使得一些专门阻击恶意手机软件的程序也应运而生。(编辑 王洁)
二、银行类APP风险谈
21世纪经济报道记者 肖夏 上海报道
随着越来越多的人使用手机进行网络交易,各类银行类APP也开始在3亿多网购用户的手机中占领一席之地,但其安全性是否有足够的保证?
官方的中国互联网信息中心(CNNIC)发布的报告显示,截至今年6月,手机网民规模5.27亿,较2013年底增加2699万人。在这当中,使用了手机网上银行APP的用户规模达到1.83亿人,半年间增长了6603万用户,其56.4%的增长速度远远高过网民增长的规模。
大多数手机用户对银行类APP的便利性和功能性点赞。事实上,截至到11月18日,各大主流的安卓平台综合数据显示,建设银行的APP下载量即将突破一亿人次,工行、农行、交行和招行紧随其后——短短数月间银行类APP的下载量增幅还在加大。
但在满足了便捷性和功能性的需求后,银行类APP的安全性又如何?从腾讯手机管家到此前360安全中心以及第三方咨询机构都先后发出提醒:由于其与资金安全的紧密关联,银行类APP仍然面临很多风险,这风险既来自于其本身的安全设计,也有假冒APP防不胜防的因素。
21世纪经济报道记者根据相关技术测试报告和报道整理出银行APP在以下几个方面存在的风险(程度各有不同)和相应的防范提示,希望能让读者在享受移动互联网时代便利的同时注意规避风险。
1.安全系数还需加强
360安全中心今年7月发布 《手机银行客户端安全性测评报告》,针对16家银行的APP进行了登录、键盘输入、组件安装、认证等多个环节的安全测试,发现出不少问题。
《360报告》显示,其中至少有两款银行的APP从登录环节便存在隐患:一款APP加密机制不完整或过于简单,导致APP容易被破解,而另一款则在通信过程中缺少对服务端身份校验的步骤,导致登录环节容易被攻击劫持,“由于是与虚假的服务器进行通信,因此,所有通信内容事实全部都可以被‘中间人’获得和解密”。
而在认证环节,16款银行APP都是采用“账号密码+短信动态验证码”的方式对用户进行身份认证,但《360报告》指出,当手机被有拦截短信功能的手机木马攻击时显得很脆弱。
作为应对,已有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但在简单的“账号密码+短信验证”的方式面前还不是足够便捷,因此目前还未成为APP使用的强制性认证方式。
2.假冒APP风险常在
《360报告》指出,另外也有不少手机在反盗版这个环节存在欠缺,16款APP中有15款均有盗版版本,有的甚至有20个以上的不同盗版版本。《报告》指出,16款APP均不具备防止逆向分析和二次打包的能力,有些存在手机签名漏洞,这为篡改APP或二次打包APP创造了可能。
腾讯手机管家的《第三季度手机安全报告》就提到,其于11月26日截获了一个冒充成正常建设银行APP的手机病毒程序,用户登陆后会收到页面的提示,要求输入银行卡、账户密码等信息。
在完成输入之后,这个假冒成建行APP的病毒程序会自动退出,并从手机桌面消失。但这个病毒程序实际上还在后台运行,并将用户所填写的银行卡账号、密码等信息发送至指定号码中,诈骗者就很容易利用这些信息对用户的银行卡账户进行盗刷。
3.明辨APP来源
第三方的艾媒咨询今年5月发布的报告也给出数据,仅以一季度的统计,手机病毒传播的途径包括论坛和应用市场,因此用户在下载或更新来自论坛和应用市场的银行APP时需要明智地辨别其安全程度。
根据这份报告,一季度感染手机支付类应用中,银行APP受害比例为13.6%,排入前三,仅次于电商支付平台APP和理财产品的APP。多家媒体的报道假冒APP诈骗案例时都提醒,下载和更新银行APP时,一定要从官方网站等渠道进行操作。由于如今伪基站已经可以冒充银行官方账号向用户发布短信,用户也尤其需要仔细辨别短信中银行网址信息是否正确。(编辑 王洁)
chapter 4 恶意APP处理与监管难题
一、删不掉的恶意APP
21世纪经济报道记者 陈时俊
实习记者 石千里 上海报道
随着普通的通信手机向智能手机全面转变,曾让用户不堪其扰的短信骚扰少了,但更加隐蔽和难以根除的恶意软件却让人更加头疼。而在这些或泄露用户信息、或偷取流量与话费的APP(应用程序)中,伪装成原装手机出厂预设软件形象的恶意APP影响最为恶劣。
小刘是上海一名智能手机用户。今年9月他购入了一台千余元的国产智能手机。没想到,在点开手机自带游戏APP之后,就被见缝插针弹出的广告网页与不良信息严重骚扰。
“在玩游戏时,一不小心就容易误点弹出的广告页面。这不仅严重影响使用体验,还可能泄露个人信息、造成财产损失。”小刘告诉21世纪经济报道记者,在一次误操作过程中,他便被页面引导至手机号注册环节,一天之内,卡内百元话费便迅速蒸发。
类似的钓鱼式恶意软件层出不穷。去年11月起,工业和信息化部就加强移动智能终端进网管理专门发文,旨在严控智能手机与平板电脑中预装软件的乱象,然而至今成效如何,众说不一。
中国移动互联网产业联盟秘书长李易向21世纪经济报道表示:目前中国的APP并没有盈利模式,靠的就是注册数和活跃用户数。在这种情况下,恶意软件已经是行业潜规则。它影响了中国智能终端的整个生态体系,应该要下决心进行全盘清理整顿。
恶意APP背后的灰色生态链
类似小刘遭遇的这类手机“软件门”绝非孤例。
12321网络不良与垃圾信息举报中心副主任曾明发曾对外透露,垃圾短信、WAP网站、流氓软件正成为其严厉整治的重点。仅2006年末至2009年三年间,仅该中心就收到恶意软件举报2673起,投诉最集中的问题就是APP“难以卸载”这个问题。
网络安全软件及服务领域供应商趋势科技此前也曾发布数据显示:40%的智能终端用户都忽视了移动设备上恶意软件的潜在威胁,有三分之一用户认为“不大可能会感染病毒”。
能够如此系统并“高效”地在众多品牌智能手机中植入恶意软件,说明这条灰色产业链的上下游都已经相当成熟。
李易告诉记者,这类“APP毒瘤”的背后,是为数不少的投资人和创业团体。在他们的合作关系中,投资人会要求创业者把新推出的APP的下载量不惜代价推上去,其投资额与下载量的多少直接挂钩。
这一生态链覆盖了水货、行货等几乎所有产品渠道。此前走私版HTC智能手机就曾被曝光,其产品出厂时就内置了一款叫作MobileReader的看书软件。该APP看似平常无奇,实为一款吸费软件,用户稍不注意,便被收取高额的增值费。
而在行货渠道,类似状况也难以幸免。三星i9200智能手机也曾被消费者投诉称,正品行货手机开机后已经内置了360手机安全卫士、youni短信等众多软件。尽管这些软件并非恶意扣费的APP,但因为未经消费者同意就已预装且难以卸载,还是带来了很大的困扰。后经证实,这些APP并非三星公司官方安装,而是通过一些专门的“一键刷机” 软件刷入手机之中的。
“目前中国国内的APP业态并没有行之有效的盈利模式,靠的就是注册数和活跃用户数。在恶意软件的这条利益链上,不单是手机厂商或系统软件商有意牟利,还有APP开发者团队自身发展和逐利的客观需求,他们会为厂商、系统商和第三方去开发恶意软件。” 中国移动互联网产业联盟秘书长李易表示。
据悉,恶意APP的开发成本都相当低,但一旦成功推广就获利丰厚。违法成本低、违法收益高,这些APP几乎在交至消费者手中前的任何一个环节中,都有可能被偷偷装入。
难执行的新规则
屡禁不止的行业乱象引起了监管部门的重视。2013年4月11日,工信部发布了《关于加强移动智能终端进网管理的通知》,并于当年11月1日起正式执行。
该《通知》中明确要求“生产企业申请移动智能终端进网许可时,应当在申请材料中提供操作系统版本、预置应用软件基本配置信息”,并对“未向用户明示并经用户同意,擅自收集、修改用户个人信息的;未向用户明示并经用户同意,擅自调用终端通信功能,造成流量消耗、费用损失、信息泄露等不良后果,以及影响移动智能终端正常功能或通信网络安全运行”等几类恶意软件进行明令叫停。
不仅如此,通信业界也试图打造出一个更为“干净”的品牌联盟。
去年12月末,产业大佬云集的“中国反网络病毒联盟大会应用自律白名单暨2013年度联盟总结大会”,公布了以中国移动、腾讯、奇虎360为代表的首批9家电信运营商和专业游戏运营商“自律白名单”单位,并希望对移动互联网生态中APP开发者、应用商店和安全软件这三个关键环节进行约束。
但政策也好,自律也好,效果还并不明显。手机中国联盟秘书长王艳辉告诉21世纪经济报道记者,监管新规出台后,真正细化的监管标准仍未公布,智能终端企业的出厂检测也没有什么实质性的作用。如果出现了影响恶性的消费者投诉事件,即使转交至公安部门,也极少有严格的处罚。
李易也坦言,白名单制度虽然建立了,但目前完全没有强制执行,也缺少落实和监督。他说,出厂自带的APP插件绝不仅仅涉及一些小创业者,还包括百度、新浪、360等大牌互联网公司,他们都期望通过这个生态环境来提高自己的预装数并刷榜。如此一来,整治起来就更加困难。(王洁)
二、APP监管难题
21世纪经济报道记者 曹晟源 上海报道
近年来,几乎每年都有声音传出,相关的监管部门正在研究制定App管理办法。但时至今日,尚未有相关政策出台。
10月底,全国网信办主任座谈会上传出消息称,国家网信办将出台APP应用程序发展管理办法。中央网信办主任、国家网信办主任鲁炜在会上透露,我国将加强互联网立法,依靠严密的法律网来打造规范的互联网。
根据国务院授权,国家网信办负责网上内容管理和网上执法。而此次APP被纳入监管范畴,北京将先行试点APP管理办法。
“行业的发展需要政府以及相关部门的监管。”从事互联网安全工作的业内人士张勇在接受21世纪经济报道记者采访时表示,“但是政策的制定目前也颇有难度,因为一不小心很可能就阻碍了行业的快速发展。”
监管政策有望落地
2012年6月,工信部就出台了《关于加强移动智能终端进网管理的通知》(征求意见稿)。通知明确要求,手机企业不得预置或者以其他方式提供擅自收集、修改用户个人信息或者可能造成流量耗费、费用损失、信息泄露等问题的App。
当时,工信部电信经济专家委员会秘书长陈金桥在接受媒体采访时透露,工信部正在建立一个长效的评估体系,对智能手机应用程序、内置软件进行评估和抽查,而且相关的国家实验室和研究院都参与到其中,其次是要将第三方平台纳入管理——成立要备案,运行要监管,而且平台本身的运营也要有所要求,尤其对个人应用开发者要纳入管理体系,如做实名认证等。
2013年11月,工信部发布《关于加强移动智能终端进网管理的通知》,根据要求,手机厂商预装软件必须经过工信部的审核,并要求手机厂商不得安装未经用户同意,擅自收集、修改用户信息的软件,以及给用户造成流量消耗、费用损失、信息泄露等不良后果的软件。
上述提到的APP新监管将会以北京先行试点。北京网信办主任佟力强在近日接受媒体采访时透露,北京正在研究制定《北京市APP应用程序公众信息服务发展管理暂行办法》、《北京市即时通信工具公众信息服务发展管理暂时规定实施细则》、《北京市互联网新技术新业务审批暂行办法》等系列法规。业内预计APP的监管,将从北京的互联网公司开始向全国推广。
不仅仅是北京,近日辽宁省互联网信息办公室也对外表示,相关政策和办法正在制定中,明年有望出台。
难题重重
似乎APP应用程序的监管时代已经到来,但是在具体的操作过程中还有很多具体的问题。
众所周知,此前网站的成立,都需要获得《中华人民共和国增值电信业务经营许可证》。但是在智能手机每半年一台旗舰级产品的节奏下,很多APP的应用程序公司也如雨后春笋般出现,有的甚至没有任何法定资质,所以实名认证非常重要。
但是在实际操作过程中遇到的问题,并不像消费者想象的那样简单。
“每年众多APP层出不穷,更新的版本更是花样繁多,如果需要每一个APP都发一张许可证的话,这无疑将增大相关监管部门的工作量,和更多的政府开支。”张勇指出。
此前,有行业人士曾经建议将上述资质发给企业法人,这也就意味着将资质的压力分摊到众多个人开发者和中小团体中去,企业和个人都可以进行实名备案。不过最终究竟如何操作,还需要等待相关政策的最终落地。
除去资质之外,处罚对象的认定也成为监管难题之一。
目前,智能手机上的APP应用软件基本上都是依靠各种例如应用商店等分发渠道到达用户,与此同时,相关的分发渠道也因为帮助APP的推广和销售并从中获利。而因为渠道能从中获益,所以也必须对其平台中的各种APP应用进行风险控制和监管。
其中苹果的软件商店App Store就是一个很好的案例,其形成了一个较为良性的循环体系,虽然也会存在极个别的问题产品,但是其APP应用整体的品质和安全性都值得认同。
相比之下,安卓系统推广的分销渠道就多达数十种,一些强势的分发渠道甚至可以影响、诱导用户下载某款APP应用。但是在现实生活中,各种安卓的分发渠道总是以免费作为借口,推脱本该负起的监管责任。
基于安卓系统开发的APP应用开发者,只有通过非法吸费、强制用户观看广告,甚至擅自截取用户信息等情况来获取非法利益。实际上,众多APP分发渠道在推广APP应用时就已经提供了多种不同的增值服务,并从APP开发者和用户身上获得了足够的收益,所以应该承担相应的责任。
尽管目前相关政策的细节尚未出台,但是在业内人士看来,相关的条款中不应该缺少对于分发渠道的监管。
事实上,APP的快速发展也对APP的监管构成了极大的挑战,众多APP的出现,证明了这一行业的发展速度,而当出现问题时,严厉的惩罚制度可能比预防更为有效。
近些年,基本上每过一段时间都会爆出某某网站相关客户信息泄露的消息,而各种病毒的不定时散播更是加大了互联网尤其是移动互联网的不安全性。同时,这些泄露信息的当事企业并没有承担相应的惩罚,只有当被泄露的用户利益受到损失,并且起诉举证之后,根据损失才能进行处罚。
但由于现实生活中相关的举证困难,所以不少企业往往都能逃脱责任。此时一张高额的罚单或许会让这些企业收起乱七八糟的想法。“宽进严出,加大处罚和惩治的力度,也许不是在目前这样的情况下最好的监管手段,但也许是最适合的监管策略。”张勇向记者坦言。