中國消費者報(bào)社聯合全國37省市消協(消保委、消委會(huì))共同開(kāi)展的“嚴防信息洩露強化風(fēng)險防範——構築移動互聯網應 用(yòng)安全防線全國行”活動,在3·15前夕聯合全國移動互聯網安全測評中心對(duì)40家應用(yòng)商城(chéng)、手機助手等手機應用(yòng)下(xià)載平台中的應用(yòng)軟件進行了(le)檢測。結果發現(xiàn),有5家下(xià)載平台的部分應用(yòng)存在吸費、盜取流量、捆綁下(xià)載等惡意行爲。其中,金(jīn)山手機助手被查出的惡意應用(yòng)軟件最多。中國電信下(xià)屬天翼空(kōng)間、中國移動下(xià)屬的咪咕遊戲,也(yě)被查出惡意應用(yòng)軟件。
手機軟件下(xià)載平台藏暗鬼
一直以來(lái),安全是手機應用(yòng)商城(chéng)、手機助手等手機應用(yòng)下(xià)載平台吸引消費者下(xià)載的賣點。但(dàn)是檢測顯示,手機軟件下(xià)載平台上(shàng)的軟件并不能(néng)讓消費者完全放(fàng)心,個别平台問題更是令人擔憂。
經檢測發現(xiàn),5家下(xià)載平台中暗藏着37款惡意應用(yòng)。出現(xiàn)惡意應用(yòng)的下(xià)載平台分别爲咪咕遊戲、百度手機助手、金(jīn)山手機助手、應用(yòng)寶、天翼空(kōng)間。其中,金(jīn)山手機助手成爲檢測中的重災區(qū),在發現(xiàn)的37款惡意應用(yòng)中有31款都出現(xiàn)在金(jīn)山手機助手中;咪咕遊戲、天翼空(kōng)間發現(xiàn)各有2款惡意應用(yòng)軟件;百度手機助手、應用(yòng)寶發現(xiàn)各有一 款惡意應用(yòng)軟件。
據了(le)解,此次共檢測40家手機應用(yòng)下(xià)載平台,包括20家市場中下(xià)載量排名靠前的應用(yòng)下(xià)載平台,20家随機抽取的手機應用(yòng)下(xià)載平台。每家手機應用(yòng) 下(xià)載平台都随機抽取500款手機應用(yòng)軟件,一共檢測2萬款手機應用(yòng)軟件。此次檢測出惡意軟件的問題主要集中在,強行捆綁推廣其他(tā)無關應用(yòng)軟件、惡意“吸 費”,盜取流量,未經用(yòng)戶同意收集、使用(yòng)用(yòng)戶個人信息等問題。
另據了(le)解,手機應用(yòng)下(xià)載平台的問題已經存在多年。2016年第二季度工(gōng)業和(hé)信息化部發布問題應用(yòng)軟件名單,其中就包括百度手機助手、天翼空(kōng)間等 在内的14家應用(yòng)商店(diàn)的32款手機應用(yòng)軟件存在惡意行爲。2016年第三季度發現(xiàn)違規軟件29款;2016年第四季度發現(xiàn)違規軟件34款。雖然每次曝光 後,這(zhè)些(xiē)不良軟件都被責令全部下(xià)架并公開(kāi)曝光,但(dàn)是新的問題軟件仍然不斷出現(xiàn)。
全國移動互聯網安全測評中心有關負責人介紹說,自(zì)2014年在工(gōng)業和(hé)信息化部的指導下(xià)受中國信息通信研究院的委托,連續3年開(kāi)展移動互聯網用(yòng)戶 個人信息及權益保護工(gōng)作(zuò),共計(jì)檢測主流應用(yòng)商店(diàn)過百家、應用(yòng)過50萬款、通報(bào)問題應用(yòng)數百款。從(cóng)長期檢測的情況看(kàn),惡意軟件有淡旺季之分,比如學生放(fàng)寒暑 假的時(shí)候惡意軟件就比較多。此時(shí)學生放(fàng)假在家,下(xià)載遊戲等軟件的人數增多,所以惡意軟件數量也(yě)增多。在3·15前,也(yě)就是本次檢測期間屬于惡意軟件的淡 季。從(cóng)總體情況看(kàn),通過不斷加強監管,目前主流應用(yòng)商店(diàn)中惡意APP已呈現(xiàn)下(xià)降趨勢,但(dàn)是始終都沒能(néng)杜絕。要想杜絕惡意軟件,下(xià)載平台要先負起責任,對(duì)于 上(shàng)架的軟件要逐一進行檢測,還要定期進行自(zì)檢。
捆綁下(xià)載引狼入室
下(xià)載手機應用(yòng)的時(shí)候經常會(huì)遭遇“安一贈一”甚至“安一贈多”的捆綁安裝。也(yě)就是說,當用(yòng)戶下(xià)載一個自(zì)己需要的軟件時(shí),會(huì)有一個惡意軟件跟随這(zhè)個 軟件一同下(xià)載到(dào)用(yòng)戶的手機中。這(zhè)讓很(hěn)多手機用(yòng)戶不勝其煩。捆綁軟件下(xià)載不僅占用(yòng)用(yòng)戶手機空(kōng)間、耗費流量,更關鍵的是其中經常會(huì)攜帶一些(xiē)病毒、惡意應用(yòng)危害 手機安全。
此次檢測出的惡意軟件中最爲常見的惡意行爲就是捆綁安裝,37款惡意軟件都是通過捆綁的方式進入到(dào)用(yòng)戶手機中。本次檢測發現(xiàn)的問題軟件有16款 通過靜默下(xià)載方式進入到(dào)手機中,19款通過積分牆的方式強行要求用(yòng)戶下(xià)載軟件。記者發現(xiàn),被檢測出的19款通過積分牆方式捆綁下(xià)載的軟件中有12款都是要 求用(yòng)戶下(xià)載涉黃軟件,而且這(zhè)12款軟件全部都是在金(jīn)山手機助手中發現(xiàn)的。
全國移動互聯網安全測評中心有關負責人介紹說,現(xiàn)在通過下(xià)載軟件直接吸費的行爲不多,主要是通過靜默下(xià)載和(hé)惡意廣告插件的方式将惡意軟件推送到(dào) 手機中,然後該惡意軟件進行吸費、盜信息、盜流量。捆綁安裝主要分爲靜默下(xià)載、積分牆兩種:靜默下(xià)載是在消費者毫不知(zhī)情和(hé)未授權的情況下(xià)偷偷地下(xià)載軟件, 盜取信息、吸費;而積分牆是在應用(yòng)軟件下(xià)載前無任何提示,但(dàn)在安裝運行後無法使用(yòng)并要求用(yòng)戶下(xià)載其他(tā)無關應用(yòng)軟件,否則該應用(yòng)将無法使用(yòng)。
記者在檢測報(bào)告中看(kàn)到(dào),金(jīn)山手機助手中有一款名爲“高(gāo)中化學知(zhī)識大(dà)全”(V4.1.0)的軟件。測試發現(xiàn),該軟件下(xià)載前無任何提示,但(dàn)在安裝運 行後卻無法使用(yòng),并要求用(yòng)戶下(xià)載其他(tā)無關應用(yòng)軟件。同樣是金(jīn)山手機助手中的一款名爲“公路客票BUS365” (V1.30)的軟件,也(yě)是通過積分牆的方式強行要求用(yòng)戶下(xià)載涉黃軟件。
如果說積分牆的捆綁下(xià)載方式是讓消費者看(kàn)得見的形式強行讓消費者下(xià)載,那麽靜默下(xià)載就是不露聲色地盜取消費者的流量與錢(qián)财。據了(le)解,檢測中通過 對(duì)應用(yòng)軟件的網絡數據監控發現(xiàn),在應用(yòng)寶中一款名叫“交通城(chéng)市賽車”(V1.0.4)的遊戲,被監測到(dào)該軟件在後台私自(zì)靜默下(xià)載其他(tā)無關應用(yòng)。也(yě)就是說, 在用(yòng)戶毫不知(zhī)情的情況下(xià),軟件在繁忙地替用(yòng)戶下(xià)載、安裝各種軟件。而這(zhè)些(xiē)軟件不僅耗費流量、占用(yòng)内存,有時(shí)還會(huì)盜取各種信息、資費。
存在安全風(fēng)險
據了(le)解,軟件捆綁安裝是目前病毒、蠕蟲、ROOTKIT、木(mù)馬、僵屍軟件等惡意軟件傳播的重要途徑,一旦手機通過捆綁的惡意軟件中了(le)上(shàng)述病毒,惡意軟件就會(huì)自(zì)動監控用(yòng)戶的手機、盜取用(yòng)戶賬戶,甚至盜取銀行裏的錢(qián),帶來(lái)極大(dà)的安全風(fēng)險。
《2016-2017年中國移動應用(yòng)商店(diàn)市場監測報(bào)告》顯示,2016年第四季度,第三方移動應用(yòng)商店(diàn)活躍用(yòng)戶規模增長到(dào)4.53億人。手機應 用(yòng)軟件下(xià)載平台已經成爲手機用(yòng)戶下(xià)載手機應用(yòng)軟件的主要渠道(dào),如果平台上(shàng)的惡意軟件不能(néng)得到(dào)有效控制,将會(huì)嚴重影響手機用(yòng)戶的隐私權以及選擇權。