北京网信办主任佟力强也在会上透露,北京正在研究制定《北京市APP应用程序公众信息服务发展管理暂行办法》、《北京市即时通信工具公众信息服务发展管理暂时规定实施细则》、《北京市互联网新技术新业务审批暂行办法》等系列法规,还将成立首都互联网协会法律专家委员会,推动各网站人民调解委员会的建立。
APP的兴起几乎伴随着病毒、窃取用户信息等行业问题,而在乱象的背后,手机隐私窃取早已形成一条灰色的利益链条。
多位网络安全人士在接受记者采访时表示,由于目前APP应用渠道混杂,用户侵权举证成本高,因此相关治理问题还需多管齐下。
愈演愈烈的安全问题
APP用户的安全问题,几乎已经成为移动互联网普遍的待解难题。
腾讯方面的数据显示,2014年上半年,全国Android病毒感染用户数达到8923.52万,超过江苏省总人口数,是2012年全年Android手机染毒用户的3.68倍。其中,Android手机病毒类型位列前三的分别为资费消耗、隐私获取、流氓行为,占比分别为53.59%、22.08%、6.02%。诱骗欺诈与恶意扣费分别占比5.93%与5.9%。系统破坏、远程控制、恶意传播分别占比3.35%、2%、1.14%。
但从今年8月份开始,隐私窃取类病毒占比第一次超越资费消耗类病毒,以34.62%的比例占据第一位。
而百度安全实验室的数据则显示,今年第二季度开始,隐私窃取类的恶意软件迎来了爆发,和上一季度相比,隐私窃取类恶意软件的比例上涨非常迅速,达到了17.9%,上涨幅度达到了57%。
腾讯手机管家安全专家对《第一财经日报》记者分析,之所以恶意扣费类手机病毒大幅下降,主要因为运营商对SP的监管越来越严格,让恶意扣费病毒无机可乘。由于Android平台采取开放模式,权限管理松散,导致大量手机病毒违规读取用户个人隐私信息。
例如,在APP市场中存在着大量的被业内人士称为“打包党”的团队或公司,他们通过破解互联网上最热门的应用,拆包后插入一些自己想要分发的内容如加入病毒、广告链或吸费指令等恶意程序后,再重新拼装将这些“二次打包”的盗版软件重新发布到应用市场中去。
有第三方统计显示,在今年第二季度里,中国平均每个APP有26.3个盗版,游戏类APP盗版尤甚。用户一旦误下并使用了上述APP,往往遭遇频繁广告骚扰、流量损失、扣费,严重的则可能被窃取密码与个人隐私等。
而除了涉及隐私问题的手机病毒之外,更多的APP隐私边界则掌握在开发者自己的手中。
李铁军告诉《第一财经日报》记者,去年猎豹移动曾分析过100多万款APP,结果发现有50%左右的APP都需要获取用户本机的手机号,要求获取定位信息也是普遍现象。
“APP申请权限有些和功能有关,例如打车软件、团购APP,需要获取用户手机号是可以理解的,但并不是什么APP都需要获取手机号码。”李铁军对记者说。
而360互联网安全中心发布的《2014年APP广告插件安全研究报告》则显示,在对当前安卓平台1000款热门应用中最流行的10款正规厂商广告插件进行全面安全性分析后,结果发现,10款APP广告插件均涉及收集用户隐私信息、滥用隐私权限的情况,此外,还存在强制推送广告、消耗手机流量、躲避安全软件检测等多种不良行为。
如何解决开放性与安全性的矛盾,这或许是安卓产业链业者所需要思考的问题。
商业牟利
这些被泄露的用户隐私,变现的渠道包括用户隐私信息的出售,以及自身的广告推广。而获得用户隐私信息的买家,则可能用于垃圾短信、骚扰甚至诈骗电话等,或者为广告公司牟利。
腾讯安全专家陆兆华此前在接受《第一财经日报》记者采访时表示,由于收集地理位置、设备识别信息、本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告,并进行有效的用户消费行为分析,符合部分急功近利的广告商的利益诉求,APP开发者也可以因此而获取广告分成,因而获取这类信息成为某些不正规广告商与APP开发者共同的核心利益。
即使是未被病毒感染的手机,一个APP调用用户权限越多,就越了解用户信息,越接近ROM的价值,其商业价值空间就越大。
而通过查看一款手机应用调用了哪些权限,如果这些权限不是拿去出售而是自用,也可以大致了解该应用未来可能涉及的一些商业模式。
另一个现象则是,由于隐私获取类病毒在2014年上半年快速发展,体现出会通过后台上传用户短信、通讯录、短信验证码等强隐私信息,而这类强隐私窃取类病毒正越来越偏向于紧盯用户钱包,转发用户短信,呈现与移动支付病毒融合发展趋势。
2014年7月,一款名为“宅男Film”的手机支付病毒不仅可以拦截支付回执短信,并上传手机支付短信验证码,会导致手机网购用户银行卡资金被盗。
今年8月的典型病毒有“XX神奇(器)”、“韩银大盗”等支付类病毒。其中,“XX神奇”可读取用户手机联系人,并调用发短信权限,将内容发送至手机通讯录的联系人手机中,该病毒感染手机用户超过100万。
百度安全实验室方面人士则表示,由于涉及用户隐私的应用种类繁多,比如手机银行就有数十家,如果对其中的某一种或者某几种隐私信息进行有针对性的窃取,相比于单纯窃取短信、联系人等行为隐蔽性更强,更难以被轻易检测到。
在种种行业乱象背后,一个好的现象是,“安卓系统本身越发重视安全问题,如5.0新系统中引入了多项安全增强措施,加密用户手机信息,交给用户更多管理权限,安卓问题在不断完善。”李铁军对记者表示。
而关于如何规范APP安全市场,近年来相关部门一直加大整顿的步伐。
在2013年11月,工信部发布《关于加强移动智能终端进网管理的通知》,根据要求,手机厂商预装软件必须经过工信部的审核,并要求手机厂商不得安装未经用户同意,擅自收集、修改用户信息的软件,以及给用户造成流量消耗、费用损失、信息泄露等不良后果的软件。
到了今年,工业和信息化部联合公安部、工商总局自2014年4月至9月在全国范围开展打击移动互联网恶意程序专项行动。其中一项就包括三部门联合印发了《打击治理移动互联网恶意程序专项行动工作方案》,督促应用商店落实安全责任,开展应用程序安全检测,实施应用程序开发者签名试点,依法打击相关网络违法犯罪行为。
事实上,包括应用宝、360手机助手、豌豆荚、91等在内的主流应用分发渠道,一直通过多重安全技术手段等来防范病毒应用。
“尽管此前已经从手机出厂方面对手机厂商和软件预装进行约束,但手机从出厂到达消费者的这一时间段处在监管真空地带,这类鱼龙混杂的APP或将转向经销商、零售商等渠道完成刷机;此外,用户在使用过程中,由于APP应用渠道繁多混杂,用户遇到侵权等问题的举证成本高,”一位网络安全方面人士对记者说,“APP相关治理问题不能靠单点突击,还需多管齐下。”