2013年第二季度,智能手机恶意应用比例超过1.1%。其中的2130个恶意应用的总下载量接近4500万次,超过50%的恶意应用感染了木马或手机追踪病毒。如今,我们每下载的9个手机软件中,就有1个是恶意应用……
聊起“中招”的经历,沈嘉骏就有点闷闷不乐。上个月,他下载了一款名为“手电筒”的手机应用,没料到这竟然是款“染毒”应用,安装之后,“手电筒”开始肆无忌惮“跑流量”,更悲催的是,直到手机因欠费被停机,沈嘉骏还不知道这其中究竟发生了什么。
根据国家网络信息安全技术研究所于近日发布的《2013年第二季度中国移动互联网应用安全检测与分析报告》显示,截至2013年7月1日,25家安卓应用商店(非官方)的应用总量超过了306万个。据此推算,恶意应用的数量显然数倍于2130个,其下载量之巨大也超乎想象。
警惕假冒产品
App也有假冒产品?没错,在恶意应用肆虐的今天,即使是我们最常用的App,也很有可能是个“冒牌货”。
2013年第二季度,在软件安全评估中心检测发现的2130个恶意应用中,下载量最大的十个恶意应用,总下载高达1339.6万次,而“手电筒”、“3D梦幻水族馆2.99/2.94版”、“鳄鱼爱洗澡”等人们熟悉的应用赫然在列,除了以上三款较为出名的App之外,十大恶意应用还包括一键ROOT、极品飞车、sky省钱电话、英雄联盟控7.8.3/7.5.3版、瑞士军刀……诸如此类。
当然,这“十大恶意应用”并非“原厂出品”,而是恶意开发商推出的“二次打包”版,也就是前面提到的“假冒产品”。《2013年第二季度中国移动互联网应用安全检测与分析报告》的撰写人之一李挺博士指出,由于安卓应用的反编译和二次开发门槛都比较低,因此恶意开发者重新“打包”、二次开发相对容易,并在“打包”过程中加入广告、恶意信息窃取功能以及私自发短信功能等。但对用户而言,“二次打包”版从界面上来看几乎与原版应用无异,因此很容易迷惑用户,令不知就里的用户在不知不觉中就下载了“冒牌货”。
究竟什么样的应用可算作恶意应用呢?一般来看,恶意应用对于用户而言具有不可控制性,即在用户并不知情和认可的情况下,恶意应用在安装之后会产生一系列没有提示的“暗箱操作”——包括自动发短信、内嵌广告、连接网络、产生扣费现象等,或者是窃取并上传手机用户的个人信息,如位置信息、通讯录信息等。更糟糕的是,恶意应用一般都具有安装容易、删除困难的特征。
用户对哪些应用要提高警惕呢?透过“十大恶意应用榜单”,不难看出其中的端倪。常用工具类和游戏类应用,作为最受用户欢迎的两类应用,早已被恶意开发者锁定。显然,越是受用户喜爱的知名应用,越容易被恶意开发者盯上,也越容易被用户下载和安装。例如,本文开头沈嘉骏安装的“手电筒”应用,几乎是人人喜爱的应用,其“二次打包”版却也恰恰是下载量最大的恶意应用,下载量高达200万次。位列第三的“鳄鱼爱洗澡”,同样也是迪斯尼推出的知名应用,却也很不幸地被恶意开发者盯上了,下载量同样高达200万次。而恶意开发者推出的2.99和2.94两个版本的“3D梦幻水族馆”,下载量也均达到了200万次。
“染毒”的恶意应用
恶意应用,究竟会对用户带来哪些影响?恶意应用肆虐的根源又在哪里呢?对于用户而言,安装“染毒”应用后,其后果,轻则使手机在不知不觉中安装了过多的程序,导致消耗电量、占用内存资源、运行不畅、容易死机。严重的话,会在不知情的前提下产生上网流量、短信计费和增值服务定制等费用,更有甚者,染毒App还会通过非法上传用户个人信息,给用户的财产带来损失。
“无利不起早”!李挺博士认为,利益是驱动恶意开发者推广“染毒”应用的动力所在。“恶意应用的地下产业链、黑色产业链已经形成,在‘二次打包’的应用中嵌入广告,就能够谋取非正规的广告收入,而窃取的个人信息,也能够通过地下信息贩卖渠道将其‘变现’。”另一方面,这些“染毒”应用内嵌的广告并非一成不变,手机软件通过后台运行更新消耗了大量的流量。这就像用户在用无线网络看视频网站时要为15秒或更长的广告所产生的流量埋单一样,用户同样要为手机应用的广告买单。小沈被“手电筒”偷偷走掉的流量,很有可能就是恶意应用内置的广告程序自动运行的后果。
此外,会给用户直接带来经济损失的恶意扣费,也是恶意开发者的动力所在。目前,恶意开发者已经与非法SP(增值业务)形成了密切的互动,恶意开发者将非法SP提供的扣费号段植入应用中并诱骗用户下载,用户感染病毒之后,非法SP的短信计费和服务定制通道,就能够源源不断地产生费用。而后恶意开发者与非法SP,就可以对这部分收入进行分成。
监管与自律同行
大量“染毒”App在正规的应用商店横行,有关部门的监管不严确实有一定责任,但应用商店缺乏严格审核机制也是主要因素之一。
正规应用商店把关不严,是“染毒”应用横行的重要原因。业内人士称,调查发现,诸如腾讯的“应用宝”、奇虎360的“360手机助手”等看似正规的安卓手机应用平台上,存在大量恶意软件。上文中提到的“手电筒”、“鳄鱼爱洗澡”以及“3D梦幻水族馆”两个版本共四款手机恶意应用,均来自腾讯的“应用宝”,四款恶意应用的总下载次数达到了955.1万次。而N多市场、360手机助手、机锋市场以及91手机娱乐市场等一些大型知名的安卓下载站平台,也出现在恶意应用的来源名单中,这些第三方平台在用户眼中俨然“名门正派”,但门面背后漏洞百出的审核制度,着实让人大吃一惊。
监管滞后、监管不到位,相关法律法规落后,甚至监管主体不明确,是“染毒”应用横行的另一原因。举例而言,某款App在哪些层面上能够使用用户信息?是加密使用还是全部获得?这些在我国都还没有明确的规定,从而给了不法之徒可乘之机。
除了有力的监管,应用商店的自律对于整治“染毒”应用泛滥也同样重要。一般而言,移动应用商店对上传应用的安全审核,应至少包括上传者身份审核、应用病毒木马查杀、应用插件扫描等常规检查,针对下载量大的热门应用,还应具有正版检查等流程。此外,对于山寨App的来源——提交者的管理也必须加强。有机构建议应用商店应加强对应用提交者的管理,做到“应用找人”,即每一款应用都可以快速联系到提交者本人。一旦发现某款应用具有恶意行为,可以快速定位其上传者,为寻找恶意源头提供有力线索。
在治理山寨App的过程中,广大用户的力量也不容忽视。终端用户往往深受恶意软件之苦,对其信息的举报和反馈对监管者和开发者可能更具实际意义,因此建立畅通的举报渠道非常重要。目前工信部已经建立了12321网络不良与垃圾信息举报受理中心,用于专门受理用户举报。同时,部分应用商店已与12321举报中心建立合作,为用户提供“一键举报”的功能。
用户如何保护自身利益
首先,只在官方指定下载点下载正版的手机应用,这样就能从源头上防止下载到山寨的恶意应用;与此同时,养成不用流量就关闭无线网络开关的习惯。此外,及时安装、更新杀毒软件、不要ROOT(苹果系统中称为“越狱”)、及时举报恶意软件、注意安装时提示的权限等方法,也是保障自己手机信息安全的基本常识。
其实,要想让手机始终“清清白白”,也并非难事。在各类应用论坛上,网友们都会交流自己的“防毒攻略”,总结起来,不外乎以下几点:首先,只在官方指定下载点下载正版的手机应用,这样就能从源头上防止下载到山寨的恶意应用。与此同时,养成不用流量就关闭无线网络开关的习惯,这样一来,即使不当心下载的恶意应用自动在后台运行,也不会产生流量。此外,及时安装、更新杀毒软件、不要ROOT(苹果系统中称为“越狱”)、及时举报恶意软件、注意安装时提示的权限等方法,也是保障自己手机信息安全的基本常识。
那么,如果我们已经不幸“中招”,是否有办法来挽回损失呢?笔者就此拨打了上海移动的10086客服热线获得了这样的答复,如果确实是客户非主观原因造成的恶意流量扣费,前台的客服代表可以先进行登记受理,由后台相关工作人员进行查证并在48个小时以内给用户答复。而如果是因为恶意应用被订购了增值业务的话,移动前台客服可以直接“先退费,后查证”,即直接为用户先行退还费用,再进行相关的查证。
当然,也有专家坦言,即使是一些正版的应用也存在着隐患。例如搜狗输入法、搜狗地图等应用在安装时要求获取用户手机的通讯录,而像百度地图、陌陌、去哪儿旅行等,则要求可以查看用户手机的通话记录和通话时长。这些明显不符合应用本身应有功能的请求许可,为什么会出现在安装协议中?此外,一些点评、团购类的手机应用虽然声称可以通过搜集用户的位置、信息来推荐附近的美食等产品,但实际上他们对这些权限的利用是否真的仅限于此呢?对于这一点,仍未有相关法律和行业规定来进行约束。
原创文章,作者:蓝洛水深,如若转载,请注明出处:https://blog.lanluo.cn/2334