466個問題APP被工信部公佈 有些你可能也在用
近日,一個被命名為“DowginCw”的病毒,通過插件形式藏身於多款熱門遊戲應用,已偷偷控制了國內至少數十萬手機設備。目前,它仍“存活”在手機的多個應用商店中,日均感染手機近萬台。而令人擔心的是,當下存在問題的惡意APP並不在少數,有些你可能也在用↓↓↓
466款應用上黑名!“風雲直播”5次登榜
什麼叫惡意APP?根據《移動互聯網惡意程式描述格式》規定,具有惡意扣費、信息竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐、流氓行為八種惡意行為之一,即可被認定。一經檢測發現,這些惡意APP將會出現在工信部每個季度公佈的應用軟體黑名單裏。
有記者統計了近三年被工信部曝光的問題APP,發現共有466個上榜。一些名稱裏帶有“ROOT”和“Wi-Fi鑰匙”的APP頻繁出現在“黑名單”中。需要當心的是,手機一旦ROOT後,即被獲取最高權限,就容易被惡意軟體破壞;而通過工具破解Wi-Fi密碼,連上不明網絡,更是洩露個人信息的主要途徑之一。
一款叫“風雲直播”的APP,從2015年2季度開始,連續4個季度在不同應用商店檢測都存在問題,共5次被點名曝光,涉及5個不同版本,是工信部公佈的APP黑名單中上榜次數最多的一款。
此外,還有3款名為“GO桌面”、“百度手機助手”、“胎教音樂盒子”的APP,3次上榜。其中知名度最高的當屬“百度手機助手”,所涉及的版本包括V6.2.0、V6.5.1和V6.7.0,而應用的來源正是百度官網。不過,目前百度手機助手可供用戶下載的最新版本是V8.0,沒有出現在黑名單上。
此次外,在被曝光的惡意APP中,“未經用戶同意,收集、使用用戶個人信息”佔比8%,共有36款。其中多數是通訊類的應用軟體,比如2016年3季度,在安卓商店檢測發現問題的“網易通省錢電話”(V1.0.0)和“UU電話”(V3.5.4)。在今年前三季度,被曝光存在該類問題的APP就有6款:
△近三年工信部公佈的不良APP統計情況△近三年工信部公佈的不良APP統計情況
“偷錢”“盜信息” APP的流氓行為超乎想像
△自動發送短信和惡意操控用戶手機名單。△自動發送短信和惡意操控用戶手機名單。
如果説“強制捆綁無關應用”和“未經用戶同意收集使用用戶信息”較為常見的話,那在用戶不知情的情況下,操控用戶手機則讓人難以想像。
此前,曾有細心網友發帖稱:新買的手機只打了一個電話測試,從未發送過短信,但當晚在網上營業廳查費時,竟發現有短信費用。
類似的案例並不少見。今年3月媒體曾報道,一名初三學生的手機頻繁被扣費,有一次短短10分鐘就收到35條短信,稱他開通了16項通信業務,共計扣費156元。
黑名單上,有7款APP,因會在“用戶不知情的情況下,自動向外發送短信”而上榜。 一名技術專家分析,手機自動發短信一般是為了訂閱無線增值業務,所以會造成用戶手機被扣費。
國家互聯網應急中心高級工程師何能強表示,靜默下載也是強制捆綁的一種形式。也就是説,即便在未收到短信提示的情況,用戶也可能被“偷錢”。
數據顯示,在工信部公佈的違規APP中,“惡意吸費”的應用軟體佔比達到8%,有35款。這其中,基本都是遊戲軟體。
一款名為“開心連連看”的APP在2015年下半年曾三次上榜,其 V2.6、V1.5.0及V3.1版本均存在這一問題;
今年一、二季度,工信部公佈的兩款APP甚至存在“惡意操控用戶手機”的問題:“千尋免流”(V3.1.3) 來自IT貓撲網;“開心連連看”(V1.6.0) 來自金山手機助手;
2015年1季度, “匆匆那年”和“撒嬌女人最好命”,被指收費後無法獲取視頻內容。
代價低廉 惡意APP“橫行”
據悉,一旦檢測發現問題,相關APP會被責令下架。然而,惡意APP仍屢禁不止。
原因在於:APP被下架後,經過一番包裝可能再次上線。而製作一個APP成本低廉,並非難事。一款惡意APP背後,開發者、渠道商、廣告商、手機商和運營商等每個環節都可能存在問題。
在電商平臺上,聲稱能夠提供APP開發、推廣和在應用商店上線服務的店家並不少。有店家表示,他可以修改APP的源代碼,偽裝成普通APP的模樣。夜裏用戶睡著時,這個程式能控制手機,捆綁下載其他APP,整個製作過程只需2000元。
有專家表示,惡意APP屢禁不止還是因為利益驅動。除了捆綁其它APP可獲取推廣費用外,未經用戶允許被收集的隱私信息,可能被不法分子用於網絡詐騙或者直接竊取用戶的資金,而內置惡意扣費代碼,可以給開發者賺取直接的現金流收入。
此外,大多數APP開發後都會提交到應用商店發佈,這樣能夠借用應用商店獲取更多的用戶,而上線一般需要經過機器和人工的審核。然而,一些應用商店的審核管理並不嚴格。
在統計了問題APP後發現,它們出自93個手機應用商店;其中百度手機助手、應用酷、安卓網和蘇寧易購應用商店被曝光的最多,均在20款以上。即便是知名的大型應用商店,也可能因把關不嚴而讓問題APP上架。
個人如何防範下載惡意APP?
專家表示,用戶應避免在小型電子市場下載APP,也不要通過不明網址直接安裝,應該選擇大型安全的電子市場,或者直接到APP的官方網站下載,同時安裝專業的手機安全軟體,幫助識別各類風險應用或惡意軟體。
不要輕易點擊社交軟體裏分享出來的破解版、漢化版軟體,這些多數是加了惡意風險代碼。
用戶應該養成“儘量給最小授權”的習慣。很多用戶在下載安裝APP時,經常會忽略查看其可能會獲取的權限。如果一款地圖應用要求開放短信權限,一個新聞類應用要求開啟地理位置和讀取通訊錄,則需要警惕。
此外,讓手機廠商來做安全防範是避免安裝惡意APP的重要方式之一。還應當設立惡意APP信息庫,公佈信息包括開發者、渠道商等,讓用戶在網上可實時查詢。
與此同時,相關法規也在日漸完善:
據悉,2013年,工信部聯合其他部門推出《信息安全技術公共及商用服務信息個人信息保護指南》:明確了一些APP應當遵循的基本原則,包括目的明確、最少夠用、公開告知、個人同意等。
2016年6月,網信辦發佈的《移動互聯網應用程式信息服務管理規定》:移動互聯網應用程式提供者應當保障用戶在安裝或使用過程中的知情權和選擇權。未向用戶明示並經用戶同意,不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能,不得開啟與服務無關的功能,不得捆綁安裝無關應用程式。
根據今年6月正式施行的《網絡安全法》要求,如果在某個應用商店發現問題APP,那麼平臺方也需要承擔責任。