手機App安全嗎

文 程建軍

手機App安全嗎

文 程建軍

每天，無數的智能手機在運用數量龐大的軟件App，并且不斷有新的App應運而生。然而這些已與我們生活須臾不可分，記錄著我們隱私和信息的軟件App，是否安全？

問題App遭查處曝光

工信部公布29款問題手機App

11月15日，工信部發布《關于電信服務質量的通告》稱，2016年第三季度，12321網絡不良與垃圾信息舉報受理中心共接到不良手機應用有效舉報350544件次，同比上升205.8%，環比上升35.4%，通過“安全百店”聯動機制，聯合應用商店、安全檢測廠商對其中存在問題的1057款不良手機應用進行了下架處理。

工信部組織對50家手機應用商店的應用軟件進行技術檢測，發現違規軟件29款（詳見文末表格），涉及違規收集使用用戶個人信息、惡意“吸費”、強行捆綁推廣其他無關應用軟件等問題。組織對三家基礎電信企業和168家增值電信企業399項業務進行抽查，發現11項增值業務存在問題，涉及資費提示不清晰、業務內容更新不及時、業務內容與名稱不符、業務無法使用等，目前已督促整改。

廣東公安機關曝光17款問題App

2016年9-10月份，廣東省公安機關繼續大力開展移動互聯網應用安全檢測工作，發現了17款問題App，并通報了相關發布平臺對存在安全問題的App進行核查處置。

據了解，“會跳的湯姆貓”“悅悅日歷”“英語一點通”“暴力摩托狂暴版”“登山賽車2”“狂暴飛車”“激情快播”“彩虹泡泡龍”等17款App存在惡意扣費、破壞用戶數據、強行捆綁推廣應用軟件等突出安全問題，涉及7230手游網、百度手機助手、PC6下載站、魅族應用商店、安貝市場、快虎市場、新浪網、金山手機助手、天天游戲中心等15個App發布平臺。目前，公安機關已通報相關發布平臺對存在安全問題的App進行核查處置。

App存在的主要問題

1.在用戶不知情或未授權的情況下，通過隱蔽手段屏蔽用戶短信.欺騙用戶點擊等手段，訂購各類收費業務或使用移動終端支付，導致用戶經濟損失，具有惡意扣費行為。

2.在用戶不知情的情況下，強行捆綁推廣應用軟件，侵犯用戶知情權和選擇權，造成用戶資費消耗。

3.捆綁惡意廣告插件，強行推送廣告，私自下載推廣軟件，干擾手機正常使用造成用戶流量損失。

4.包含危險行為代碼，后臺靜默下載推廣軟件，造成用戶流量損失。

5.在用戶不知情的情況下，后臺私自訂購各類收費業務或使用移動終端支付，并刪除運營商短信等行為，導致用戶經濟損失，具有惡意扣費行為。

鑒于此，特給消費者的兩點提醒：

1.通過正規渠道下載手機App，提醒廣大用戶提高防范意識，在連接免費WiFi，掃描二維碼、點擊網站鏈接以及回復驗證碼等操作之前務必確認其來源，謹慎操作，通過正規渠道下載手機App等軟件，避免個人信息泄露和上當受騙。

2.更換手機號后及時解綁、注銷、變更在更換手機號時，應立即將與該號碼關聯的銀行卡以及網絡支付、網盤、社交軟件等賬號進行解綁.注銷或變更，避免造成財產損失。

最不能容忍的五類手機App問題

2016年3月份，360手機助手發布了一份《2015安卓App安全研究報告》，報告中對2015年用戶最不能容忍的手機安全問題做了歸納。

惡意扣費、隱私泄漏、誘騙欺詐、流氓行為以及破壞系統是用戶最不能容忍的五類手機App的惡意行為。報告數據顯示，在用戶最不能容忍的手機安全問題當中，惡意扣費風險占比最多，達到41%，其次是用戶隱私泄露問題，占比33%。從這兩項用戶關注的手機安全問題來看，突顯出的根本矛盾在于是否能給用戶造成直接或間接的經濟損失。

惡意扣費：41%的用戶無法容忍

隨著移動支付產業的發展，手機App本身的安全程度也在加強。但是手機木馬病毒可以通過攔截用戶的個人信息從而竊取用戶錢財。在這一點上，體現出用戶對于手機App安全行的顧慮，同時也體現了對于手機安全軟件.應用商店安全的需求。

惡意扣費的現象時有發生，毫不夸張地說，山寨/盜版App的目的，即是對手機進行扣費，不法分子伺機斂財。因此，惡意扣費也成為惡意App的主要目的。

隱私泄漏：33%的用戶無法容忍

隱私泄漏作為排名第二的用戶最不能容忍的手機App問題，也是繼惡意扣費之后最為突出的手機App的問題之一。

一般來說，山寨App中通常帶有病毒，這類App會對用戶的財產和隱私造成嚴重的侵害。報告數據顯示，木馬類盜版應用占比最高，為71%；其次是廣告類占比26%。而木馬類惡意盜版App行為中，隱私竊取類木馬就占了43.61%。

誘騙欺詐：16%的用戶無法容忍

需要指出的是，具有誘騙欺詐類惡意行為的手機App在木馬類惡意盜版App行為分類中所占的比例并不高，只有0.33%，但因為用戶遭遇手機詐騙往往與短信詐騙，電話詐騙等詐騙行為聯動，因此，“一朝被蛇咬，十年怕井繩”。

誘騙欺詐的目的，仍然是將手機用戶的錢財視為主要目標。

流氓行為：8%的用戶無法容忍

流氓行為的范圍則較為寬泛，譬如偷跑流量、永不關閉以及持續聯網等均屬于這一范疇。持續聯網導致流量費用大增，而無法徹底關閉則會導致手機越用越慢，且十分耗電。

用戶對于流氓行為深惡痛絕的同時，也一定程度上反映出某種無可奈何。

破壞系統：2%的用戶無法容忍

值得一提的是，有2%的用戶對系統破壞類惡意行為無法容忍，這一比例不高的原因在于大多數手機用戶并不了解何為“破壞系統”。實際上，真正具有“破壞系統”功能的惡意App并不多，只占了木馬類惡意盜版App行為分類的0.07%，這是因為一旦App將手機系統破壞了，那么它就什么數據都得不到，可以說是百忙一場。

業內人士指出，傳統意義上的手機安全威脅均來自于手機病毒和惡意程序。但是現在手機App應用數量龐大，安全威脅也向多元化發展。騷擾電話和騷擾短信的產生原因并不排除是由惡意程序泄漏了用戶的個人信息而造成的。所以隨著智能手機的普及，用戶對于手機安全的知識也應當加強，以避免造成不必要的損失。

黑客盯上App安全漏洞

自2014年12月起，上海市徐匯公安分局網安支隊陸續接報了4起涉及手機軟件App的案件，其中既有新興的創業公司，也有涉外的知名企業。這些案件有著相似之處：網絡黑客都是利用網上已有的各類“測試”軟件“攻”開手機App軟件的“后門”。這些手機App的安全漏洞會給人們帶來三方面危害：“造成使用移動支付的損失；造成信息資料、個人隱私的外泄；還可能導致軟件崩潰影響正常使用。”

徐匯網安民警選取市場上有一定影響力的手機軟件App，運用網上已有的各類軟件進行測試，結果發現至少10%的手機軟件App存在不同程度的安全問題。盡管他們已將測出來的安全漏洞一一告知相關公司并進行“堵漏”，但在互聯網時代，有層出不窮的手機軟件，就會有層出不窮攻擊這些軟件的軟件。

App后門開了 企業毫不知情

2015年5月，香港某知名電視臺的電視劇大陸版權發布方發現，明明晚上八點才在電腦、手機上與電視臺同步播出的電視劇集，居然在下午就已經提前在網上公開了。

按照傳統的辦案思路，嫌疑人很可能是掌握獨家資源的“內鬼”。但這是互聯網時代——一切皆有可能。最終的結果的確令人吃驚，嫌疑人竟然只是兩名熱衷網上追劇的“發燒友”。

一般來說，電視臺白天時會將當天電視劇內容上傳至服務器，此后大陸公司會提前做好視頻鏈接，待晚上電視臺播出時同步推出。

這兩名嫌疑人發現手機播放存在漏洞，通過黑客軟件可以分析出視頻鏈接格式。通過對這些鏈接格式規律的總結，兩人嘗試著改變鏈接內容，生成20個鏈接離線下載，居然真的成功下載了部分未播放的新劇集。

2015年1月，上海一家彩票代理網站發現后臺被人惡意轉賬達140萬余元。鮑珍榮和同事們調查發現，問題正是出在這家公司的網絡支付移動端口——這些黑客在彩票代理網站注冊賬戶后充值1元，然后利用黑客手段將賬戶金額篡改為10萬元，除少部分購買彩票外，大部分套現。

“被攻擊的網站后臺支付代碼是明碼傳輸，沒有加密，黑客們正是利用了這一漏洞。”鮑警官回憶，當時這伙人在彩票網站的App上一共篡改了7次后臺數據，第一筆5000元，最后一筆高達88萬元，總計140余萬元。一周之后彩票網站方才察覺異常。

而徐匯公安在對犯罪嫌疑人的調查中發現，受害者不止這一家彩票網站。一家知名電影票代理網站，被這伙不法分子采取類似的辦法，通過手機App買下價格為數十元的電影票后改為0.01元支付，再加價賣出，先后騙取價值160余萬元的電影票。而警方也發現部分掌握全國院線的手機App公司同樣存在風險，及時將情況反饋給這家位于廣東的公司。

2015年4月下旬，徐匯區一金融類手機App服務器忽然非正常死機。經過查找，警方找到違法嫌疑人，他想測試一批手機號是否已在該手機App上注冊過，以便獲取這些信息后向其他金融機構進行推銷。于是他通過一個黑客軟件，輸入一定號段，讓這一手機App自動比對這一號段的號碼。由于同時運行數十萬號碼，服務器負荷過大死機，這才被發現。

“利用手機App來違法的趨勢非常明顯。”徐匯公安分局網安支隊2014年年底接報的篡改彩票網站移動支付端數據案還是上海首例，而一些公司很可能尚未發現已受到不法侵害。

傳統的電腦網頁因發展較早，企業采取的防范措施已相對完善。相比之下，手機App這一新興互聯網方式仍然存在較為明顯的安全漏洞——不光警方測試出部分國內新興企業開發的手機App存在安全隱患，現有資料表明就連國外一些知名大型企業開發的手機App也曾出現過安全問題。

手機App的隱患來自何處

一方面有系統原因，如安卓系統的源代碼是公開的，這就為一些不法分子分析源代碼帶來便利條件；另一方面則是開發者原因，因部分代碼編寫不規范，一些語法本身就存在問題，因此讓不法分子有可乘之機。此外，安卓系統的應用商店數以百計，這些應用商店對上架App的審核標準不一，而分發營收又是這些商店的收入來源之一。

一些業內人士建議，政府部門可以通過購買服務的方式為創業型企業提供手機App的基礎安全性能檢測，如果涉及更專業的安全檢測則通過市場化方式進行。

安全性能常被忽略

與部分手機App開發運行公司接觸之后，鮑警官認為：“企業安全意識不強是主要原因。”在一起手機游戲敲詐案中，鮑警官和同事特別詢問該公司是否進行過內部安全測試，對方表示“為了搶占市場，只考慮運營問題，沒考慮安全問題，就著急推出了”。盡管目前市場上已有專門的網絡安全性能測試公司，但總體數量不多。

在如今創新創業的大旗下，開發手機App是一個準入門檻較低的方式。在這些手機App設計之初，大家考慮的首先是用戶的需求與體驗，以及人氣累計后可能爭取到的風險投資，至于手機App的安全性能，大多數時候被看作“理所當然，按部就班”的一部分，很少專門對此進行分析并提出對策。相比之下，傳統企業產品進入市場前都會有內部審核，但當下一些企業開發手機App時卻省略掉了。

在一些法律界人士看來，手機App仍然是企業的“產品”，對于產品的安全性能，第一責任人是企業，然后是監管部門，如果最終案發再由公安部門介入打擊。

作為“最后一環”上的民警，鮑珍榮認為：“前端做一定比后端做更好。”他說，手機App犯罪大多數情節輕微，但是會對互聯網造成巨大損失。隨著互聯網技術的發展，此類犯罪的破案難度和成本將越來越高：“互聯網犯罪讓跨境犯罪成本更低，更容易隱藏真實的方位，之前的案件中還有嫌疑人通過數據將自己的行蹤層層掩蓋，把互聯網上的自己和現實中的自己完全‘剝離’，連轉賬用的銀行卡都是從銀行買來的‘黑卡’。”

2016年三季度檢測發現問題的應用軟件名單序號應用商店軟件名稱版本所涉問題化妝小貼士V142331068 5983.194.71 1安卓園強行捆綁推廣其他無關應用軟件記事本V1.0 BT種子超級搜索神器V10.0極速WIFI萬能鑰匙-連網神器V22.0愛聽廣播劇V4.0.6 2百度手機助手寶石連線3 V1.58手機鈴聲大全V4.0.6英語聽力大全V4.0.4 3綠色資源網查開房V6.2.3強行捆綁推廣其他無關應用軟件西瓜影音高清版V5.0強行捆綁推廣其他無關應用軟件UU電話V3.5.4 4安卓商店未經用戶同意，收集、使用用戶個人信息網易通省錢電話V1.0.0多功能手電筒V7.8.6 5 360手機助手強行捆綁推廣其他無關應用軟件加密記事本V8.0.1 Forever Drive（永恒飛車）V1.07 6小米應用商店Striker Soccer Euro 2012 Pro（Q版足球歐洲杯）強行捆綁推廣其他無關應用軟件V1.6.1 7優億市場消滅星星積分版V1.0.0.3惡意“吸費”別踩白板2016多模式版V1.1強行捆綁推廣其他無關應用軟件8豌豆莢萌鼠蹦蹦跳V2.0.0.2惡意“吸費”挑戰大腦V2.0.1強行捆綁推廣其他無關應用軟件空中急救V2.0.6未經用戶同意，收集、使用用戶個人信息Light eye protection（屏幕護眼燈）V9.0強行捆綁推廣其他無關應用軟件10 2345手機應用寶庫9蜂助手酷炫來電閃V1.0強行捆綁推廣其他無關應用軟件11天翼空間喜邦V1.0用戶不知情的情況下，自動向外發送短信12第一應用冷漠與微笑V2.0強行捆綁推廣其他無關應用軟件13應用酷開心消消砰-2016 V1.0.9惡意“吸費”14綠茶軟件園老爸曾是小偷V2.82強行捆綁推廣其他無關應用軟件15魅族應用中心忍者：卷軸大戰V1.3強行捆綁推廣其他無關應用軟件16琵琶網胎教音樂盒子V4.0.6強行捆綁推廣其他無關應用軟件