南都记者统计近三年工信部公布的466款不良应用软件实测发现
工信部黑名单上的APP“变身”后仍可下载
来源:南方都市报 2017年12月16日 版次:AA10 作者:李玲 蒋琳
一款游戏APP,竟会成为黑产的提款机!
近日,一个被命名为“DowginCw”的病毒通过插件的形式藏身多款热门游戏应用———“明星公主换装小游戏”、“疯狂小宝石”等,最近两月已偷偷控制了国内数十万手机设备。目前,它仍“存活”在多个应用商店中,日均感染量近万台。如果不慎感染,将带来恶意扣费、破坏系统等问题,还可能让你的手机变成“僵尸机”。
如果你遇到过以下几种情况之一:在安装和运行了一款APP后,设备自动捆绑或不停下载其他恶意应用、手机频繁卡顿、手机刚充值就莫名其妙欠费了,那么你的手机有可能安装了恶意APP。
根据通信行业标准《移动互联网恶意程序描述格式》,具有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为等八种恶意行为之一,即被认定为恶意APP。一经检测发现,这些恶意APP将会出现在工信部每个季度公布的应用软件黑名单里。近日,南都记者统计近三年工信部公布的466款不良应用软件发现,超过八成的APP存在强制捆绑推广其他应用软件的问题,恶意吸费和违规收集用户信息的合计占比约16%。
“风云直播”三年内5登黑榜
“注意!这些APP太流氓了,赶紧卸载!”
2017年11月中旬,工信部公布了今年第三季度检测发现问题的不良应用软件名单,其中就包括三款存在恶意吸费行为的APP,分别是在X P系统之家上线的“部落冲突”(V1 . 0. 0. 2)和生存游戏2(V 1.0 .0 .2),以及PC软件下载站提供的“球球大作战”(V 3.0 .0 .7)。
据南都记者了解,工信部定期会对手机应用商店的APP进行技术检测,并公布每个季度的黑名单。
近日,南都记者统计近三年被曝光的不良APP,发现共有466款上榜。2015年一季度发现的不良应用软件最多,达到82个,最近一次是2017年三季度,共计公布了31款不良应用软件。
从榜单看,有384个APP涉及“强行捆绑推广其它应用软件”的问题,占总数的82%.APP的这一“流氓行为”给用户带来的直观感受是,比如刚下载一个用来录音的APP,安装后发现多出三四个游戏APP.而这些不明下载而来的APP又可能存在新的安全隐患。
在这些因捆绑其它应用而被曝光的APP中,所涉及的类型众多,包括系统工具、游戏娱乐和教育文化类。南都记者对比发现,一些名称里带有“ROOT”和“Wi-Fi钥匙”的APP频繁出现在黑名单中。需要当心的是,手机一旦ROOT后,即被获取最高权限,就容易被恶意软件破坏,而通过工具破解Wi-Fi密码,连上不明网络,更是泄露个人信息的主要途径之一。
南都记者统计发现,一款叫“风云直播”的APP,从2015年二季度开始,连续4个季度在不同应用商店检测中都发现这个问题,共被5次点名曝光,涉及5个不同版本。是工信部公布的APP黑名单中上榜次数最多的一款。
此外,还有3款名为“GO桌面”、“百度手机助手”、“胎教音乐盒子”的APP,3次上榜。其中知名度最高的当属“百度手机助手”。数据显示,2015年的一季度和下半年,“百度手机助手”因为“强制捆绑推广其它应用软件”被曝光3次。所涉及的版本包括V 6.2.0、V 6.5.1和V 6.7.0,而应用的来源正是百度官网。南都记者注意到,目前“百度手机助手”可供用户下载的最新版本是V 8 .0,没有出现在工信部公布的黑名单上。
此外,APP过度收集用户信息的现象严重,在被曝光的不良APP中,“未经用户同意,收集、使用用户个人信息”占比8%,共有36款。其中多数是通讯类的应用软件,比如2016年三季度,在安卓商店检测中发现问题的“网易通省钱电话”(V 1 .0 .0)和“U U电话”(V 3.5.4)。
南都记者统计,在今年前三季度,被曝光存在该类问题的A PP就有6款,其中3款来自游迅网,分别是八分音符酱(V 1 .0 .0 .4)、暴力战车(V 5.0 .0 .9)、狂野飙车(V 1.0 .0 .3),均是游戏产品。剩下的3款则是在机锋网上架的“野途”(V 2.8.2)、九号安卓频道提供的“我的世界”(V 1 .0 .0 .4),以及应用汇的互伴(V 2.1.6)。
通过屏蔽二次确认短信“偷钱”
如果说“强制捆绑其它应用”和“未经用户同意收集使用用户信息”较为常见的话,那么在用户不知情的情况下,操控用户手机则让人难以想象。
南都记者注意到,有7款APP,因会在“用户不知情的情况下,自动向外发送短信”而上黑名单。
此前,有细心的网友曾在某论坛上发帖称,新买的手机只打了一个电话测试,从未发送过短信,但当晚在运营商的网上营业厅查费时,竟发现有短信费用支出。
类似的案例并不少见,南都记者今年3月曾报道过,一名初三学生的手机频繁被扣费,有一次短短10分钟就收到35条短信,称他开通了16项通信业务,共计被扣费156元。
一名技术专家向南都记者分析,手机自动发短信一般是为了订阅无线增值业务(又称作SP业务),所以会造成用户手机被扣费。
此外,国家互联网应急中心高级工程师何能强告诉南都记者,静默下载也是强制捆绑的一种形式。通过屏蔽二次确认短信的恶意游戏APP会导致恶意扣费。也就是说,即便在未收到短信提示的情况,用户也可能被“偷钱”。
数据显示,在工信部公布的违规APP总量中,恶意吸费的应用软件占比达到8%.在因恶意吸费而被曝光的35款违规APP中,基本上是游戏软件。一款名为“开心连连看”的APP在2015年下半年曾三次上榜,分别在优亿市场、应用酷和苏宁易购应用商店检测出V 2 .6、V 1 .5 .0及V 3 .1版本存在这一问题。
比较特别的是,今年一、二季度,工信部公布的两款APP甚至存在“恶意操控用户手机”的问题,分别是IT猫扑网的“千寻免流”(V 3.1.3)和金山手机助手的“开心连连看”(V 1.6.0)。另外,2015年一季度有移动应用商场的两款APP———“匆匆那年”和“撒娇女人最好命”,被指收费后无法获取视频内容。
有网络安全工程师告诉南都记者,手机被恶意操控后,好比在你家的地下室打了一个通道,有人可以通过远程发送指令,将你手机里的数据发送至服务器。如果手机因为系统漏洞被攻击,获取ROOT权限,那你家里的每个房间都能被访问了。
观察
成本低廉、审核漏洞 不良APP可改头换面
据南都记者了解,一旦检测发现存在问题,相关的APP都会被责令下架。根据工信部今年发布的《关于电信服务质量通告》,通过联合应用商店、安全检测厂商,已对其中存在问题的2494款不良手机应用进行了下架处理。
然而,南都记者发现,不良APP仍屡禁不止。
恶意程序5元可以买到
一款不良APP被下架后,经过一番包装可能再次上线。而要制作一个APP并非难事,所需要花费的成本更是低廉。在APP产业链上,分布着开发者、渠道商、广告商、手机商和运营商等角色。一款不良APP背后,上述每个环节都可能存在问题。
今年4月,南都调查手机“植入病毒”利益链,实测发现一款恶意程序5元可以买到,花200元可制作一款空壳APP,挂到网上后13天内就有600多次点击量,36人中招。
腾讯手机管家安全专家杨启波告诉南都记者,恶意捆绑下载A PP会导致用户消耗流量,占据用户手机内存,造成手机卡顿变慢等问题。一般恶意推广类APP还会偷偷下载安装第三方软件,安装到用户手机,赚取广告费用。
“现在互联网流量倒流已形成灰色产业链。”上海市信息安全行业协会专委会副主任张威说,一款热门游戏在坐拥大量玩家后,游戏平台可把流量转卖给他人,比如通过升级应用的版本加入插件,在用户访问APP的时候弹出广告,让用户点击直接跳转到下载页面。
据从事APP定制开发3年的张珂(化名)介绍,APP在开发上线后都需要获取用户,因而就有推广需求。很多APP内部有推荐位,一般选择在用户容易“点击”的位置,推荐下载成功后可收取费用。按照推广APP类型的不同,通常平均一个下载激活费用在10-50元,有些现金贷类应用号称一个真实用户价格在100元以上。
另据南都记者采访了解,部分APP开发商为了推广,还会选择贿赂小型的手机生产商,在手机硬件中预装或自动下载恶意程序。
部分应用商店不做检测
大多数APP开发后都会提交到应用商店发布,这样能够借应用商店获取更多的用户,而上线一般需要经过机器和人工的审核。
360手机助手运营总监王佳增告诉南都记者,每款APP上线之前都会经过严格的检测程序,一般分为资质审核、安全检测、实机测试、上线、关注反馈、定时回查。
据张珂介绍,国内知名的第三方应用商店和手机厂商的应用商店,包括应用宝、360手机助手、百度手机助手,以及小米、华为等。在开发者将APP上传到这些应用商店后都会自动进行病毒、安全性等扫描分析,发现问题应用就无法上线。
然而,一些应用商店的审核管理并不严格,部分缺乏安全检测能力和运营技术支持的应用商店甚至不做检测,就直接上架问题APP供用户下载。
南都记者统计上述被曝光的不良APP发现,它们出自93个手机应用商店,其中百度手机助手、应用酷、安卓网和苏宁易购应用商店被曝光的不良APP最多,均在20款以上。这也在一定程度上反映了,即便是知名的大型应用商店也可能因为把关不严而让不良APP上架。
被曝光的不良APP不仅可以在其它应用商店下载,而且未被下架的其它版本还可能存在问题。南都记者发现,2016年厉害季度,“胎教音乐盒子”(V4.06)在百度手机助手上被检测发现强行捆绑其它无关应用。此前,它已经分别在“琵琶网”和“3533手机世界”因同样的问题被曝光。
12月12日,南都记者实测发现,这款APP4.05版本在百度手机助手仍可下载。页面相关信息显示,“胎教音乐盒子”的下载次数达到378万,并被应用商店检测出含广告的问题。
声音
专家:平台方也需要承担责任
一款不良APP背后,因为开发者恶意“植毒”,渠道商和广告商的捆绑操作,应用商店的审核不严,以及第三方网址链接的恶意传播,都可能会令用户最终中招。
针对不良APP的问题,南都记者注意到,2013年,工信部联合其他部门推出《信息安全技术公共及商用服务信息个人信息保护指南》,明确了一些APP应当遵循的基本原则,包括目的明确、最少够用、公开告知、个人同意等。
去年6月,网信办发布的《移动互联网应用程序信息服务管理规定》也指出,移动互联网应用程序提供者应当保障用户在安装或使用过程中的知情权和选择权。未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。
上海市信息安全行业协会专委会副主任张威建议应加大对不良APP的整治力度,同时对APP收集信息进行规范。他告诉南都记者,实际上,不少应用商店对APP的审核管理还是较弱。但根据今年6月正式施行的《网络安全法》要求,如果在某个应用商店发现不良APP,那么平台方也需要承担责任。
张珂则指出,不仅要明确应用商店的责任,还包括开发者、手机厂商。在他看来,让手机厂商来做安全防范是避免安装不良APP的重要方式之一。因为用户安装一款安卓APP,需要先下载安装包。这时手机厂商可对此进行安全检查,如发现不良APP能及时处理或给用户风险提示。
而从用户角度看,腾讯手机管家安全专家杨启波建议应避免在小型电子市场下载APP,也不要通过不明网址直接安装,应该选择大型安全的电子市场,或者直接到APP的官方网站下载,同时安装专业的手机安全软件,帮助识别各类风险应用或恶意软件。
张威进一步强调,用户应该养成“尽量给最小授权”的习惯。“你开放的权限越多,相当于送出了越大的礼包。”
10-11版 采写:南都记者 李玲 蒋琳 实习生 尤一炜
责任编辑:刘金磊 SF113
