愈演愈烈的 APP 亂象,將有望進一步規範。
近日, 中央 網信辦主任魯煒在推進網路空間法治化的座談會上透露,國家網信辦將出臺 APP 應用程式發展管理辦法,以此監管移動應用行業出現的各種亂象。
北京網信辦主任佟力強也在會上透露,北京正在研究制定《北京市 APP 應用程式公眾資訊服務發展管理暫行辦法》、《北京市即時通信工具公眾資訊服務發展管理暫時規定實施細則》、《北京市互聯網新技術新業務審批暫行辦法》等系列法規,還將成立首都互聯網協會法律專家委員會,推動各網站人民調解委員會的建立。
APP 的興起幾乎伴隨著病毒、竊取用戶資訊等行業問題,而在亂象的背後,手機隱私竊取早已形成一條灰色的利益鏈條。
多位網路安全人士在接受記者採訪時表示,由於目前 APP 應用管道混雜,用戶侵權舉證成本高,因此相關治理問題還需多管齊下。
愈演愈烈的安全問題
APP 用戶的安全問題,幾乎已經成為移動互聯網普遍的待解難題。
騰訊方面的數據顯示,2014年上半年,全國Android病毒感染用戶數達到8923.52萬,超過江蘇省總人口數,是2012年全年Android手機染毒用戶的3.68倍。其中,Android手機病毒類型位列前三的分別為資費消耗、隱私獲取、流氓行為,占比分別為53.59%、22.08%、6.02%。誘騙欺詐與惡意扣費分別占比5.93%與5.9%。系統破壞、遠程控制、惡意傳播分別占比3.35%、2%、1.14%。
但從今年8月份開始,隱私竊取類病毒占比第一次超越資費消耗類病毒,以34.62%的比例佔據第一位。
而百度安全實驗室的數據則顯示,今年第二季度開始,隱私竊取類的惡意軟體迎來了爆發,和上一季度相比,隱私竊取類惡意軟體的比例上漲非常迅速,達到了17.9%,上漲幅度達到了57%。
騰訊手機管家安全專家對《第一財經日報》記者分析,之所以惡意扣費類手機病毒大幅下降,主要因為運營商對SP的監管越來越嚴格,讓惡意扣費病毒無機可乘。由於Android平臺採取開放模式,許可權管理鬆散,導致大量手機病毒違規讀取用戶個人隱私資訊。
例如,在 APP 市場中存在著大量的被業內人士稱為“打包黨”的團隊或公司,他們通過破解互聯網上最熱門的應用,拆包後插入一些自己想要分發的內容如加入病毒、廣告鏈或吸費指令等惡意程式後,再重新拼裝將這些“二次打包”的盜版軟體重新發佈到應用市場中去。
有第三方統計顯示,在今年第二季度裏,中國平均每個 APP 有26.3個盜版,遊戲類 APP 盜版尤甚。用戶一旦誤下並使用了上述 APP ,往往遭遇頻繁廣告騷擾、流量損失、扣費,嚴重的則可能被竊取密碼與個人隱私等。
而除了涉及隱私問題的手機病毒之外,更多的 APP 隱私邊界則掌握在開發者自己的手中。
李鐵軍告訴《第一財經日報》記者,去年獵豹移動曾分析過100多萬款 APP ,結果發現有50%左右的 APP 都需要獲取用戶本機的手機號,要求獲取定位資訊也是普遍現象。
“ APP 申請許可權有些和功能有關,例如打車軟體、團購 APP ,需要獲取用戶手機號是可以理解的,但並不是什麼 APP 都需要獲取手機號碼。”李鐵軍對記者說。
而360互聯網安全中心發佈的《2014年 APP 廣告插件安全研究報告》則顯示,在對當前安卓平臺1000款熱門應用中最流行的10款正規廠商廣告插件進行全面安全性分析後,結果發現,10款 APP 廣告插件均涉及收集用戶隱私資訊、濫用隱私許可權的情況,此外,還存在強制推送廣告、消耗手機流量、躲避安全軟體檢測等多種不良行為。
如何解決開放性與安全性的矛盾,這或許是安卓產業鏈業者所需要思考的問題。
商業牟利
這些被洩露的用戶隱私,變現的管道包括用戶隱私資訊的出售,以及自身的廣告推廣。而獲得用戶隱私資訊的買家,則可能用於垃圾短信、騷擾甚至詐騙電話等,或者為廣告公司牟利。
騰訊安全專家陸兆華此前在接受《第一財經日報》記者採訪時表示,由於收集地理位置、設備識別資訊、本地手機號可面向固定而穩定的手機用戶群精准匹配與投放相應的廣告,並進行有效的用戶消費行為分析,符合部分急功近利的廣告商的利益訴求, APP 開發者也可以因此而獲取廣告分成,因而獲取這類資訊成為某些不正規廣告商與 APP 開發者共同的核心利益。
即使是未被病毒感染的手機,一個 APP 調用用戶許可權越多,就越瞭解用戶資訊,越接近ROM的價值,其商業價值空間就越大。
而通過查看一款手機應用調用了哪些許可權,如果這些許可權不是拿去出售而是自用,也可以大致瞭解該應用未來可能涉及的一些商業模式。
另一個現象則是,由於隱私獲取類病毒在2014年上半年快速發展,體現出會通過後臺上傳用戶短信、通訊錄、短信驗證碼等強隱私資訊,而這類強隱私竊取類病毒正越來越偏向於緊盯用戶錢包,轉發用戶短信,呈現與移動支付病毒融合發展趨勢。
2014年7月,一款名為“宅男Film”的手機支付病毒不僅可以攔截支付回執短信,並上傳手機支付短信驗證碼,會導致手機網購用戶銀行卡資金被盜。
今年8月的典型病毒有“XX神奇(器)”、“韓銀大盜”等支付類病毒。其中,“XX神奇”可讀取用戶手機聯繫人,並調用發短信許可權,將內容發送至手機通訊錄的聯繫人手機中,該病毒感染手機用戶超過100萬。
百度安全實驗室方面人士則表示,由於涉及用戶隱私的應用種類繁多,比如手機銀行就有數十家,如果對其中的某一種或者某幾種隱私資訊進行有針對性的竊取,相比於單純竊取短信、聯繫人等行為隱蔽性更強,更難以被輕易檢測到。
在種種行業亂象背後,一個好的現象是,“安卓系統本身越發重視安全問題,如5.0新系統中引入了多項安全增強措施,加密用戶手機資訊,交給用戶更多管理權限,安卓問題在不斷完善。”李鐵軍對記者表示。
而關於如何規範 APP 安全市場,近年來相關部門一直加大整頓的步伐。
在2013年11月,工信部發佈《關於加強移動智能終端進網管理的通知》,根據要求,手機廠商預裝軟體必須經過工信部的審核,並要求手機廠商不得安裝未經用戶同意,擅自收集、修改用戶資訊的軟體,以及給用戶造成流量消耗、費用損失、資訊洩露等不良後果的軟體。
到了今年,工業和資訊化部聯合公安部、工商總局自2014年4月至9月在全國範圍開展打擊移動互聯網惡意程式專項行動。其中一項就包括三部門聯合印發了《打擊治理移動互聯網惡意程式專項行動工作方案》,督促應用商店落實安全責任,開展應用程式安全檢測,實施應用程式開發者簽名試點,依法打擊相關網路違法犯罪行為。
事實上,包括應用寶、360手機助手、豌豆莢、91等在內的主流應用分發管道,一直通過多重安全技術手段等來防範病毒應用。
“儘管此前已經從手機出廠方面對手機廠商和軟體預裝進行約束,但手機從出廠到達消費者的這一時間段處在監管真空地帶,這類魚龍混雜的 APP 或將轉向經銷商、零售商等管道完成刷機;此外,用戶在使用過程中,由於 APP 應用管道繁多混雜,用戶遇到侵權等問題的舉證成本高,”一位網路安全方面人士對記者說,“ APP 相關治理問題不能靠單點突擊,還需多管齊下。”