工信部公布466個問題APP,還有你常用的APP,立刻自查
2017-12-18 來源: 評論:0近日,一個被命名為“DowginCw”的病毒,通過插件形式藏身于多款熱門游戲應(yīng)用,已偷偷控制了國內(nèi)至少數(shù)十萬手機(jī)設(shè)備。目前,它仍“存活”在手機(jī)的多個應(yīng)用商店中,日均感染手機(jī)近萬臺。而令人擔(dān)心的是,當(dāng)下存在問題的惡意APP并不在少數(shù),有些你可能也在用↓↓↓
466款應(yīng)用上黑名!“風(fēng)云直播”5次登榜
什么叫惡意APP?根據(jù)《移動互聯(lián)網(wǎng)惡意程序描述格式》規(guī)定,具有惡意扣費(fèi)、信息竊取、遠(yuǎn)程控制、惡意傳播、資費(fèi)消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為八種惡意行為之一,即可被認(rèn)定。一經(jīng)檢測發(fā)現(xiàn),這些惡意APP將會出現(xiàn)在工信部每個季度公布的應(yīng)用軟件黑名單里。
△圖/視覺中國
有記者統(tǒng)計(jì)了近三年被工信部曝光的問題APP,發(fā)現(xiàn)共有466個上榜。一些名稱里帶有“ROOT”和“Wi-Fi鑰匙”的APP頻繁出現(xiàn)在“黑名單”中。需要當(dāng)心的是,手機(jī)一旦ROOT后,即被獲取最高權(quán)限,就容易被惡意軟件破壞;而通過工具破解Wi-Fi密碼,連上不明網(wǎng)絡(luò),更是泄露個人信息的主要途徑之一。
一款叫“風(fēng)云直播”的APP,從2015年2季度開始,連續(xù)4個季度在不同應(yīng)用商店檢測都存在問題,共5次被點(diǎn)名曝光,涉及5個不同版本,是工信部公布的APP黑名單中上榜次數(shù)最多的一款。
此外,還有3款名為“GO桌面”、“百度手機(jī)助手”、“胎教音樂盒子”的APP,3次上榜。其中知名度最高的當(dāng)屬“百度手機(jī)助手”,所涉及的版本包括V6.2.0、V6.5.1和V6.7.0,而應(yīng)用的來源正是百度官網(wǎng)。不過,目前百度手機(jī)助手可供用戶下載的最新版本是V8.0,沒有出現(xiàn)在黑名單上。
△2017年被檢測發(fā)現(xiàn)存在違規(guī)收集用戶信息APP名單
此次外,在被曝光的惡意APP中,“未經(jīng)用戶同意,收集、使用用戶個人信息”占比8%,共有36款。其中多數(shù)是通訊類的應(yīng)用軟件,比如2016年3季度,在安卓商店檢測發(fā)現(xiàn)問題的“網(wǎng)易通省錢電話”(V1.0.0)和“UU電話”(V3.5.4)。在今年前三季度,被曝光存在該類問題的APP就有6款:
△近三年工信部公布的不良APP統(tǒng)計(jì)情況
“偷錢”“盜信息” APP的流氓行為超乎想象
如果說“強(qiáng)制捆綁無關(guān)應(yīng)用”和“未經(jīng)用戶同意收集使用用戶信息”較為常見的話,那在用戶不知情的情況下,操控用戶手機(jī)則讓人難以想象。
△自動發(fā)送短信和惡意操控用戶手機(jī)名單。
此前,曾有細(xì)心網(wǎng)友發(fā)帖稱:新買的手機(jī)只打了一個電話測試,從未發(fā)送過短信,但當(dāng)晚在網(wǎng)上營業(yè)廳查費(fèi)時,竟發(fā)現(xiàn)有短信費(fèi)用。
類似的案例并不少見。今年3月媒體曾報(bào)道,一名初三學(xué)生的手機(jī)頻繁被扣費(fèi),有一次短短10分鐘就收到35條短信,稱他開通了16項(xiàng)通信業(yè)務(wù),共計(jì)扣費(fèi)156元。
黑名單上,有7款A(yù)PP,因會在“用戶不知情的情況下,自動向外發(fā)送短信”而上榜。 一名技術(shù)專家分析,手機(jī)自動發(fā)短信一般是為了訂閱無線增值業(yè)務(wù),所以會造成用戶手機(jī)被扣費(fèi)。
國家互聯(lián)網(wǎng)應(yīng)急中心高級工程師何能強(qiáng)表示,靜默下載也是強(qiáng)制捆綁的一種形式。也就是說,即便在未收到短信提示的情況,用戶也可能被“偷錢”。
數(shù)據(jù)顯示,在工信部公布的違規(guī)APP中,“惡意吸費(fèi)”的應(yīng)用軟件占比達(dá)到8%,有35款。這其中,基本都是游戲軟件。
一款名為“開心連連看”的APP在2015年下半年曾三次上榜,其 V2.6、V1.5.0及V3.1版本均存在這一問題;
今年一、二季度,工信部公布的兩款A(yù)PP甚至存在“惡意操控用戶手機(jī)”的問題:“千尋免流”(V3.1.3) 來自IT貓撲網(wǎng);“開心連連看”(V1.6.0) 來自金山手機(jī)助手;
2015年1季度, “匆匆那年”和“撒嬌女人最好命”,被指收費(fèi)后無法獲取視頻內(nèi)容。
有網(wǎng)絡(luò)安全工程師描述,手機(jī)被惡意操控后,好比在你家的地下室打了一個通道,有人可以通過遠(yuǎn)程發(fā)送指令,將數(shù)據(jù)發(fā)送至服務(wù)器。如果手機(jī)因?yàn)橄到y(tǒng)漏洞被攻擊,獲取root權(quán)限,那么你家里的每個房間都能被訪問了。
代價(jià)低廉 惡意APP“橫行”
據(jù)悉,一旦檢測發(fā)現(xiàn)問題,相關(guān)APP會被責(zé)令下架。然而,惡意APP仍屢禁不止。
原因在于:APP被下架后,經(jīng)過一番包裝可能再次上線。而制作一個APP成本低廉,并非難事。一款惡意APP背后,開發(fā)者、渠道商、廣告商、手機(jī)商和運(yùn)營商等每個環(huán)節(jié)都可能存在問題。
在電商平臺上,聲稱能夠提供APP開發(fā)、推廣和在應(yīng)用商店上線服務(wù)的店家并不少。有店家表示,他可以修改APP的源代碼,偽裝成普通APP的模樣。夜里用戶睡著時,這個程序能控制手機(jī),捆綁下載其他APP,整個制作過程只需2000元。
有專家表示,惡意APP屢禁不止還是因?yàn)槔骝?qū)動。除了捆綁其它APP可獲取推廣費(fèi)用外,未經(jīng)用戶允許被收集的隱私信息,可能被不法分子用于網(wǎng)絡(luò)詐騙或者直接竊取用戶的資金,而內(nèi)置惡意扣費(fèi)代碼,可以給開發(fā)者賺取直接的現(xiàn)金流收入。
此外,大多數(shù)APP開發(fā)后都會提交到應(yīng)用商店發(fā)布,這樣能夠借用應(yīng)用商店獲取更多的用戶,而上線一般需要經(jīng)過機(jī)器和人工的審核。然而,一些應(yīng)用商店的審核管理并不嚴(yán)格。
在統(tǒng)計(jì)了問題APP后發(fā)現(xiàn),它們出自93個手機(jī)應(yīng)用商店;其中百度手機(jī)助手、應(yīng)用酷、安卓網(wǎng)和蘇寧易購應(yīng)用商店被曝光的最多,均在20款以上。即便是知名的大型應(yīng)用商店,也可能因把關(guān)不嚴(yán)而讓問題APP上架。
個人如何防范下載惡意APP?
專家表示,用戶應(yīng)避免在小型電子市場下載APP,也不要通過不明網(wǎng)址直接安裝,應(yīng)該選擇大型安全的電子市場,或者直接到APP的官方網(wǎng)站下載,同時安裝專業(yè)的手機(jī)安全軟件,幫助識別各類風(fēng)險(xiǎn)應(yīng)用或惡意軟件。
不要輕易點(diǎn)擊社交軟件里分享出來的破解版、漢化版軟件,這些多數(shù)是加了惡意風(fēng)險(xiǎn)代碼。
用戶應(yīng)該養(yǎng)成“盡量給最小授權(quán)”的習(xí)慣。很多用戶在下載安裝APP時,經(jīng)常會忽略查看其可能會獲取的權(quán)限。如果一款地圖應(yīng)用要求開放短信權(quán)限,一個新聞類應(yīng)用要求開啟地理位置和讀取通訊錄,則需要警惕。
此外,讓手機(jī)廠商來做安全防范是避免安裝惡意APP的重要方式之一。還應(yīng)當(dāng)設(shè)立惡意APP信息庫,公布信息包括開發(fā)者、渠道商等,讓用戶在網(wǎng)上可實(shí)時查詢。
與此同時,相關(guān)法規(guī)也在日漸完善:
據(jù)悉,2013年,工信部聯(lián)合其他部門推出《信息安全技術(shù)公共及商用服務(wù)信息個人信息保護(hù)指南》:明確了一些APP應(yīng)當(dāng)遵循的基本原則,包括目的明確、最少夠用、公開告知、個人同意等。
2016年6月,網(wǎng)信辦發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》:移動互聯(lián)網(wǎng)應(yīng)用程序提供者應(yīng)當(dāng)保障用戶在安裝或使用過程中的知情權(quán)和選擇權(quán)。未向用戶明示并經(jīng)用戶同意,不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能,不得開啟與服務(wù)無關(guān)的功能,不得捆綁安裝無關(guān)應(yīng)用程序。
根據(jù)今年6月正式施行的《網(wǎng)絡(luò)安全法》要求,如果在某個應(yīng)用商店發(fā)現(xiàn)問題APP,那么平臺方也需要承擔(dān)責(zé)任。
- ·網(wǎng)絡(luò)平臺及手機(jī)APP賬號不能注銷?工信部回應(yīng)了2018-01-05
- ·網(wǎng)絡(luò)安全突發(fā)事件預(yù)警制度1億以上用戶信息泄露為特大事件2017-11-27
- ·工信部公示網(wǎng)絡(luò)安全示范項(xiàng)目 48個項(xiàng)目入圍2017-12-12
- ·北京將建國家網(wǎng)絡(luò)安全產(chǎn)業(yè)園 目標(biāo)拉動GDP超3300億2017-12-13
- ·48個項(xiàng)目新成為電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全試點(diǎn)示范項(xiàng)目2018-01-08
評論排行
- 2021長三角G60智能制造創(chuàng)新生態(tài)合作大會
- 2020AMC長三角G60科創(chuàng)走廊制造業(yè)高質(zhì)量發(fā)展合作論壇于9月召開
- 下一波機(jī)遇?快來解鎖2020先進(jìn)制造業(yè)關(guān)鍵詞...
- 2019第七屆先進(jìn)制造業(yè)大會即將盛大召開精彩大會亮點(diǎn)速覽
- 2019(第七屆)先進(jìn)制造業(yè)大會”暨長三角制造業(yè)高質(zhì)量發(fā)展
- 2018(第六屆)先進(jìn)制造業(yè)大會
- 2017(第五屆)先進(jìn)制造業(yè)大會
- 2017全球先進(jìn)制造業(yè)博覽會(上海)
- 2016(第四屆)先進(jìn)制造業(yè)大會暨展覽會精彩播報(bào)
- 2016(第四屆)先進(jìn)制造業(yè)大會暨展覽會
- 2021長三角G60智能制造創(chuàng)新生態(tài)合作大會
- 2020AMC長三角G60科創(chuàng)走廊制造業(yè)高質(zhì)量發(fā)展合作論壇于9月召開
- 下一波機(jī)遇?快來解鎖2020先進(jìn)制造業(yè)關(guān)鍵詞...
- 2019第七屆先進(jìn)制造業(yè)大會即將盛大召開精彩大會亮點(diǎn)速覽
- 2019(第七屆)先進(jìn)制造業(yè)大會”暨長三角制造業(yè)高質(zhì)量發(fā)展
- 2018(第六屆)先進(jìn)制造業(yè)大會
- 2017(第五屆)先進(jìn)制造業(yè)大會
- 2017全球先進(jìn)制造業(yè)博覽會(上海)
- 2016(第四屆)先進(jìn)制造業(yè)大會暨展覽會精彩播報(bào)