APP用户的安全问题,几乎成了移动互联网普遍的待解难题。 12月7日,中移指数大数据移动互联研究院执行副院长阚志刚在中国移动应用安全媒体融合峰会上表示,目前约有12.6%的手机APP为恶意应用。 阚志刚表示,2014年9月份,中移指数大数据移动互联研究院在一次协助工信部、公安部进行的调查中发现,在抽样的70万APP中,有9万多个恶意应用,平均比例为12.6%,部分渠道比例超过16%。在300多个应用市场中,约80%的APP在下载页面没有显示该APP是否通过安检。 而在2014年11月,研究院对国内几个主流应用商店前100名的APP进行安全测试,发现排名靠前的APP均遭受严重的破解和篡改等移动安全攻击。其中微信APP篡改攻击率达15.28%,各大应用商店一共存在514个微信APP,其中79个是假的。此外,超过95%的手机银行客户端的现有安全机制都存在严重的脆弱性。 在种种APP乱象的背后,APP的兴起几乎伴随着病毒、窃取用户信息等行业问题,而手机隐私窃取早已形成一条灰色的利益链条。 一位业内人士对《第一财经日报》记者解读道,在APP市场中存在着大量的被业内人士称为“打包党”的团队或公司,他们通过破解互联网上最热门的应用,拆包后插入一些自己想要分发的内容如加入病毒、广告链或吸费指令等恶意程序后,再重新拼装将这些“二次打包”的盗版软件重新发布到应用市场中去。 上述提到的虚假微信APP,就是类似这样的案例。 此前有第三方统计显示,在今年第二季度里,中国平均每个APP有26.3个盗版,游戏类APP盗版尤甚。用户一旦误下载并使用了上述APP,往往遭遇频繁广告骚扰、流量损失、扣费,严重的则可能被窃取密码与个人隐私等。 这些被泄露的用户隐私,变现的渠道包括用户隐私信息的出售,以及自身的广告推广。而获得用户隐私信息的买家,则可能用于垃圾短信、骚扰甚至诈骗电话等,或者为广告公司牟利。 此前腾讯安全专家陆兆华在接受《第一财经日报》记者采访时表示,由于收集地理位置、设备识别信息、本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告,并进行有效的用户消费行为分析,符合部分急功近利的广告商的利益诉求,APP开发者也可以因此而获取广告分成,因而获取这类信息成为某些不正规广告商与APP开发者共同的核心利益。 还有一种现象则是,由于隐私获取类病毒在2014年上半年快速发展,体现出会通过后台上传用户短信、通讯录、短信验证码等强隐私信息,而这类强隐私窃取类病毒正越来越偏向于紧盯用户钱包,转发用户短信,呈现与移动支付病毒融合的发展趋势。 而百度安全实验室方面人士则表示,由于涉及用户隐私的应用种类繁多,比如手机银行就有数十家,如果对其中的某一种或者某几种隐私信息进行有针对性的窃取,相比于单纯窃取短信、联系人等行为隐蔽性更强,更难以被轻易检测到。 关于如何规范APP安全市场,近年来相关部门一直在加大整顿的步伐。 在2013年11月,工信部发布《关于加强移动智能终端进网管理的通知》,根据要求,手机厂商预装软件必须经过工信部的审核,并要求手机厂商不得安装未经用户同意,擅自收集、修改用户信息的软件,以及给用户造成流量消耗、费用损失、信息泄露等不良后果的软件。 到了今年,工业和信息化部联合公安部、工商总局自2014年4月至9月在全国范围开展打击移动互联网恶意程序专项行动。其中一项就包括三部门联合印发了《打击治理移动互联网恶意程序专项行动工作方案》,督促应用商店落实安全责任,开展应用程序安全检测,实施应用程序开发者签名试点,依法打击相关网络违法犯罪行为。 在今年10月,国家互联网信息办主任鲁炜在推进网络空间法治化的座谈会上透露,国家网信办将出台APP应用程序发展管理办法,以此监管移动应用行业出现的各种乱象。 北京网信办主任佟力强也在会上透露,北京正在研究制定《北京市APP应用程序公众信息服务发展管理暂行办法》等系列法规,还将成立首都互联网协会法律专家委员会,推动各网站人民调解委员会的建立。 事实上,包括应用宝、360手机助手、豌豆荚、91等在内的主流应用分发渠道,一直通过多重安全技术手段等来防范病毒应用。 此前,全球知名道德黑客RikFerguson接受《第一财经日报》采访时表示,现在中国用户无法直接使用到谷歌官方的应用商店,不得不借助第三方下载这些应用,所以遭遇风险的系数会更高。 “希望谷歌下一版的安卓能够像苹果的iOS一样,在安装应用的时候能够提供更多的选择方案,把选择的力度分得更细一些,不是这个应用你选择装或者不装,而是像iOS一样以细分到是否允许调用具体社交软件的通讯录,这也是谷歌应该做的一些工作。”Rik这样解释道。 此外,在应用商店的监管上,Rik给出的对策是让用户在选择应用商店方面拥有更多的可控性和控制力,比如通过建立值得信任的白名单,选择白名单上值得信任的应用商店以及相关应用。 |
