APP商店乱象:514个微信79个是假的?
APP用户的安全几乎成了移动互联网普遍需要解决的问题。
12月7日,中国移动指数大数据移动互联网研究院常务副院长齐志刚在中国移动应用安全媒体融合峰会上表示,约12.6%的移动应用是恶意应用。
何志刚表示,2014年9月,中国移动指数大数据移动互联网研究院协助工信部、公安部开展的一项调查发现,在抽样调查的70万个应用中,恶意应用超过9万个,平均占比12.6%,部分渠道占比超过16%。在300多个APPlication市场中,大约80%的app在下载页面上没有显示app是否通过了安全检查。
2014年11月,研究院对国内几家主流应用商店的前100名app进行了安全测试,发现前100名app遭受了破解、篡改等严重的移动安全攻击。其中,微信APP被篡改攻击率达到15.28%,各大应用商店微信APP有514款,其中假冒79款。此外,手机银行客户现有的安全机制有95%以上存在严重漏洞。
在各种APP乱象的背后,APP的兴起几乎伴随着病毒、窃取用户信息等行业问题,手机隐私被盗早已形成灰色利益链。
一位业内人士向记者《第一财经日报》解释,APP市场上有大量被称为“包装方”的团队或公司。他们将互联网上最流行的应用程序拆开包装,插入一些他们想要分发的恶意程序,如病毒、广告链或收费指令,然后将这些“重新包装”的盗版软件重新组装并重新发布到应用市场。
上面提到的假微信APP就是这样一个案例。
此前的第三方统计数据显示,今年第二季度,中国平均有26.3款盗版应用,尤其是游戏应用。用户一旦误下载、误使用上述应用,往往会遇到频繁的广告骚扰、流量损失、扣费等情况,严重时可能会导致密码和个人隐私被盗。
这些泄露的用户隐私可以通过出售用户隐私信息和自己的广告推广来实现。获得用户私人信息的买家可能会被用于垃圾信息、骚扰甚至欺诈电话,或者是为了广告公司的利益。
腾讯安全专家陆在接受记者《第一财经日报》采访时表示,由于收集了地理位置、设备识别信息和本地手机号码,能够为固定稳定的手机用户群体精准匹配投放相应的广告,并对用户消费行为进行有效分析,符合一些急功近利的广告主的利益诉求,APP开发者也能获得广告份额,因此获取此类信息成为一些非正规广告主和APP开发者共同的核心利益。
另一个现象是,由于2014年上半年隐私获取病毒的快速发展,用户短信、通讯录、短信验证码等强隐私信息会通过后台上传,这类强隐私窃取病毒越来越倾向于紧盯用户钱包,转发用户短信,呈现与移动支付病毒融合的发展趋势。
不过,百度安全实验室的人表示,由于涉及用户隐私的应用种类很多,比如手机银行就有几十种,如果针对一种或几种隐私信息进行窃取,比单纯的窃取短信、联系人等行为更加隐蔽,更难轻易被察觉。
关于如何规范APP安全市场,近年来,相关部门一直在加快整改步伐。
2013年11月,工信部发布《关于加强移动智能终端进网管理的通知》。根据要求,手机厂商预装软件必须经过工信部审核,要求手机厂商不得安装未经用户同意收集、修改用户信息的软件,或对用户造成流量消耗、成本损失、信息泄露等不良后果的软件。
到今年,工业和信息化部会同公安部、国家工商行政管理总局于2014年4月至9月在全国范围内开展了打击移动互联网恶意程序专项行动。其中包括三部门联合发布《打击治理移动互联网恶意程序专项行动工作方案》,督促应用商店落实安全责任,开展应用安全检测,实施应用开发者签名试点,依法打击相关网络犯罪。
今年10月,国家互联网信息办公室主任卢伟在推进网络空间法治建设座谈会上透露,国家网信办将出台APP应用开发管理办法,对移动应用行业的各种乱象进行监管。
北京市互联网信息办公室主任童也在会上透露,北京正在研究制定《北京市APP应用程序公众信息服务发展管理暂行办法》等一系列法律法规,还将成立首都互联网协会法律专家委员会,推动在各网站设立人民调解委员会。
其实主流的应用分发渠道,包括App Bao、360 Mobile Assistant、豌豆荚、91等。一直在使用多种安全技术来防止病毒应用。
此前,全球知名伦理黑客RikFerguson在接受《第一财经日报》采访时表示,现在中国用户无法直接使用谷歌官方应用商店,必须在第三方<爱尬聊_百科知识>的帮助下下载这些应用,因此风险系数会更高。
“我希望谷歌下一个版本的Android在安装应用时能像苹果的iOS一样提供更多的选项,让选择更加细致。并不是你选择安装或者不安装这个应用,而是把它细分到iOS这样的特定社交软件的通讯录中,这也是谷歌应该做的一些工作。”瑞克解释了这一点。
此外,在应用商店的监管方面,Rik给出的对策是在选择应用商店时给予用户更多的可控性和可控性,比如建立值得信赖的白名单,在白名单上选择值得信赖的应用商店以及相关应用。