手机App安全吗

文 程建军

手机App安全吗

文 程建军

每天，无数的智能手机在运用数量庞大的软件App，并且不断有新的App应运而生。然而这些已与我们生活须臾不可分，记录着我们隐私和信息的软件App，是否安全？

问题App遭查处曝光

工信部公布29款问题手机App

11月15日，工信部发布《关于电信服务质量的通告》称，2016年第三季度，12321网络不良与垃圾信息举报受理中心共接到不良手机应用有效举报350544件次，同比上升205.8%，环比上升35.4%，通过“安全百店”联动机制，联合应用商店、安全检测厂商对其中存在问题的1057款不良手机应用进行了下架处理。

工信部组织对50家手机应用商店的应用软件进行技术检测，发现违规软件29款（详见文末表格），涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题。组织对三家基础电信企业和168家增值电信企业399项业务进行抽查，发现11项增值业务存在问题，涉及资费提示不清晰、业务内容更新不及时、业务内容与名称不符、业务无法使用等，目前已督促整改。

广东公安机关曝光17款问题App

2016年9-10月份，广东省公安机关继续大力开展移动互联网应用安全检测工作，发现了17款问题App，并通报了相关发布平台对存在安全问题的App进行核查处置。

据了解，“会跳的汤姆猫”“悦悦日历”“英语一点通”“暴力摩托狂暴版”“登山赛车2”“狂暴飞车”“激情快播”“彩虹泡泡龙”等17款App存在恶意扣费、破坏用户数据、强行捆绑推广应用软件等突出安全问题，涉及7230手游网、百度手机助手、PC6下载站、魅族应用商店、安贝市场、快虎市场、新浪网、金山手机助手、天天游戏中心等15个App发布平台。目前，公安机关已通报相关发布平台对存在安全问题的App进行核查处置。

App存在的主要问题

1.在用户不知情或未授权的情况下，通过隐蔽手段屏蔽用户短信.欺骗用户点击等手段，订购各类收费业务或使用移动终端支付，导致用户经济损失，具有恶意扣费行为。

2.在用户不知情的情况下，强行捆绑推广应用软件，侵犯用户知情权和选择权，造成用户资费消耗。

3.捆绑恶意广告插件，强行推送广告，私自下载推广软件，干扰手机正常使用造成用户流量损失。

4.包含危险行为代码，后台静默下载推广软件，造成用户流量损失。

5.在用户不知情的情况下，后台私自订购各类收费业务或使用移动终端支付，并删除运营商短信等行为，导致用户经济损失，具有恶意扣费行为。

鉴于此，特给消费者的两点提醒：

1.通过正规渠道下载手机App，提醒广大用户提高防范意识，在连接免费WiFi，扫描二维码、点击网站链接以及回复验证码等操作之前务必确认其来源，谨慎操作，通过正规渠道下载手机App等软件，避免个人信息泄露和上当受骗。

2.更换手机号后及时解绑、注销、变更在更换手机号时，应立即将与该号码关联的银行卡以及网络支付、网盘、社交软件等账号进行解绑.注销或变更，避免造成财产损失。

最不能容忍的五类手机App问题

2016年3月份，360手机助手发布了一份《2015安卓App安全研究报告》，报告中对2015年用户最不能容忍的手机安全问题做了归纳。

恶意扣费、隐私泄漏、诱骗欺诈、流氓行为以及破坏系统是用户最不能容忍的五类手机App的恶意行为。报告数据显示，在用户最不能容忍的手机安全问题当中，恶意扣费风险占比最多，达到41%，其次是用户隐私泄露问题，占比33%。从这两项用户关注的手机安全问题来看，突显出的根本矛盾在于是否能给用户造成直接或间接的经济损失。

恶意扣费：41%的用户无法容忍

随着移动支付产业的发展，手机App本身的安全程度也在加强。但是手机木马病毒可以通过拦截用户的个人信息从而窃取用户钱财。在这一点上，体现出用户对于手机App安全行的顾虑，同时也体现了对于手机安全软件.应用商店安全的需求。

恶意扣费的现象时有发生，毫不夸张地说，山寨/盗版App的目的，即是对手机进行扣费，不法分子伺机敛财。因此，恶意扣费也成为恶意App的主要目的。

隐私泄漏：33%的用户无法容忍

隐私泄漏作为排名第二的用户最不能容忍的手机App问题，也是继恶意扣费之后最为突出的手机App的问题之一。

一般来说，山寨App中通常带有病毒，这类App会对用户的财产和隐私造成严重的侵害。报告数据显示，木马类盗版应用占比最高，为71%；其次是广告类占比26%。而木马类恶意盗版App行为中，隐私窃取类木马就占了43.61%。

诱骗欺诈：16%的用户无法容忍

需要指出的是，具有诱骗欺诈类恶意行为的手机App在木马类恶意盗版App行为分类中所占的比例并不高，只有0.33%，但因为用户遭遇手机诈骗往往与短信诈骗，电话诈骗等诈骗行为联动，因此，“一朝被蛇咬，十年怕井绳”。

诱骗欺诈的目的，仍然是将手机用户的钱财视为主要目标。

流氓行为：8%的用户无法容忍

流氓行为的范围则较为宽泛，譬如偷跑流量、永不关闭以及持续联网等均属于这一范畴。持续联网导致流量费用大增，而无法彻底关闭则会导致手机越用越慢，且十分耗电。

用户对于流氓行为深恶痛绝的同时，也一定程度上反映出某种无可奈何。

破坏系统：2%的用户无法容忍

值得一提的是，有2%的用户对系统破坏类恶意行为无法容忍，这一比例不高的原因在于大多数手机用户并不了解何为“破坏系统”。实际上，真正具有“破坏系统”功能的恶意App并不多，只占了木马类恶意盗版App行为分类的0.07%，这是因为一旦App将手机系统破坏了，那么它就什么数据都得不到，可以说是百忙一场。

业内人士指出，传统意义上的手机安全威胁均来自于手机病毒和恶意程序。但是现在手机App应用数量庞大，安全威胁也向多元化发展。骚扰电话和骚扰短信的产生原因并不排除是由恶意程序泄漏了用户的个人信息而造成的。所以随着智能手机的普及，用户对于手机安全的知识也应当加强，以避免造成不必要的损失。

黑客盯上App安全漏洞

自2014年12月起，上海市徐汇公安分局网安支队陆续接报了4起涉及手机软件App的案件，其中既有新兴的创业公司，也有涉外的知名企业。这些案件有着相似之处：网络黑客都是利用网上已有的各类“测试”软件“攻”开手机App软件的“后门”。这些手机App的安全漏洞会给人们带来三方面危害：“造成使用移动支付的损失；造成信息资料、个人隐私的外泄；还可能导致软件崩溃影响正常使用。”

徐汇网安民警选取市场上有一定影响力的手机软件App，运用网上已有的各类软件进行测试，结果发现至少10%的手机软件App存在不同程度的安全问题。尽管他们已将测出来的安全漏洞一一告知相关公司并进行“堵漏”，但在互联网时代，有层出不穷的手机软件，就会有层出不穷攻击这些软件的软件。

App后门开了 企业毫不知情

2015年5月，香港某知名电视台的电视剧大陆版权发布方发现，明明晚上八点才在电脑、手机上与电视台同步播出的电视剧集，居然在下午就已经提前在网上公开了。

按照传统的办案思路，嫌疑人很可能是掌握独家资源的“内鬼”。但这是互联网时代——一切皆有可能。最终的结果的确令人吃惊，嫌疑人竟然只是两名热衷网上追剧的“发烧友”。

一般来说，电视台白天时会将当天电视剧内容上传至服务器，此后大陆公司会提前做好视频链接，待晚上电视台播出时同步推出。

这两名嫌疑人发现手机播放存在漏洞，通过黑客软件可以分析出视频链接格式。通过对这些链接格式规律的总结，两人尝试着改变链接内容，生成20个链接离线下载，居然真的成功下载了部分未播放的新剧集。

2015年1月，上海一家彩票代理网站发现后台被人恶意转账达140万余元。鲍珍荣和同事们调查发现，问题正是出在这家公司的网络支付移动端口——这些黑客在彩票代理网站注册账户后充值1元，然后利用黑客手段将账户金额篡改为10万元，除少部分购买彩票外，大部分套现。

“被攻击的网站后台支付代码是明码传输，没有加密，黑客们正是利用了这一漏洞。”鲍警官回忆，当时这伙人在彩票网站的App上一共篡改了7次后台数据，第一笔5000元，最后一笔高达88万元，总计140余万元。一周之后彩票网站方才察觉异常。

而徐汇公安在对犯罪嫌疑人的调查中发现，受害者不止这一家彩票网站。一家知名电影票代理网站，被这伙不法分子采取类似的办法，通过手机App买下价格为数十元的电影票后改为0.01元支付，再加价卖出，先后骗取价值160余万元的电影票。而警方也发现部分掌握全国院线的手机App公司同样存在风险，及时将情况反馈给这家位于广东的公司。

2015年4月下旬，徐汇区一金融类手机App服务器忽然非正常死机。经过查找，警方找到违法嫌疑人，他想测试一批手机号是否已在该手机App上注册过，以便获取这些信息后向其他金融机构进行推销。于是他通过一个黑客软件，输入一定号段，让这一手机App自动比对这一号段的号码。由于同时运行数十万号码，服务器负荷过大死机，这才被发现。

“利用手机App来违法的趋势非常明显。”徐汇公安分局网安支队2014年年底接报的篡改彩票网站移动支付端数据案还是上海首例，而一些公司很可能尚未发现已受到不法侵害。

传统的电脑网页因发展较早，企业采取的防范措施已相对完善。相比之下，手机App这一新兴互联网方式仍然存在较为明显的安全漏洞——不光警方测试出部分国内新兴企业开发的手机App存在安全隐患，现有资料表明就连国外一些知名大型企业开发的手机App也曾出现过安全问题。

手机App的隐患来自何处

一方面有系统原因，如安卓系统的源代码是公开的，这就为一些不法分子分析源代码带来便利条件；另一方面则是开发者原因，因部分代码编写不规范，一些语法本身就存在问题，因此让不法分子有可乘之机。此外，安卓系统的应用商店数以百计，这些应用商店对上架App的审核标准不一，而分发营收又是这些商店的收入来源之一。

一些业内人士建议，政府部门可以通过购买服务的方式为创业型企业提供手机App的基础安全性能检测，如果涉及更专业的安全检测则通过市场化方式进行。

安全性能常被忽略

与部分手机App开发运行公司接触之后，鲍警官认为：“企业安全意识不强是主要原因。”在一起手机游戏敲诈案中，鲍警官和同事特别询问该公司是否进行过内部安全测试，对方表示“为了抢占市场，只考虑运营问题，没考虑安全问题，就着急推出了”。尽管目前市场上已有专门的网络安全性能测试公司，但总体数量不多。

在如今创新创业的大旗下，开发手机App是一个准入门槛较低的方式。在这些手机App设计之初，大家考虑的首先是用户的需求与体验，以及人气累计后可能争取到的风险投资，至于手机App的安全性能，大多数时候被看作“理所当然，按部就班”的一部分，很少专门对此进行分析并提出对策。相比之下，传统企业产品进入市场前都会有内部审核，但当下一些企业开发手机App时却省略掉了。

在一些法律界人士看来，手机App仍然是企业的“产品”，对于产品的安全性能，第一责任人是企业，然后是监管部门，如果最终案发再由公安部门介入打击。

作为“最后一环”上的民警，鲍珍荣认为：“前端做一定比后端做更好。”他说，手机App犯罪大多数情节轻微，但是会对互联网造成巨大损失。随着互联网技术的发展，此类犯罪的破案难度和成本将越来越高：“互联网犯罪让跨境犯罪成本更低，更容易隐藏真实的方位，之前的案件中还有嫌疑人通过数据将自己的行踪层层掩盖，把互联网上的自己和现实中的自己完全‘剥离’，连转账用的银行卡都是从银行买来的‘黑卡’。”

2016年三季度检测发现问题的应用软件名单序号应用商店软件名称版本所涉问题化妆小贴士V142331068 5983.194.71 1安卓园强行捆绑推广其他无关应用软件记事本V1.0 BT种子超级搜索神器V10.0极速WIFI万能钥匙-连网神器V22.0爱听广播剧V4.0.6 2百度手机助手宝石连线3 V1.58手机铃声大全V4.0.6英语听力大全V4.0.4 3绿色资源网查开房V6.2.3强行捆绑推广其他无关应用软件西瓜影音高清版V5.0强行捆绑推广其他无关应用软件UU电话V3.5.4 4安卓商店未经用户同意，收集、使用用户个人信息网易通省钱电话V1.0.0多功能手电筒V7.8.6 5 360手机助手强行捆绑推广其他无关应用软件加密记事本V8.0.1 Forever Drive（永恒飞车）V1.07 6小米应用商店Striker Soccer Euro 2012 Pro（Q版足球欧洲杯）强行捆绑推广其他无关应用软件V1.6.1 7优亿市场消灭星星积分版V1.0.0.3恶意“吸费”别踩白板2016多模式版V1.1强行捆绑推广其他无关应用软件8豌豆荚萌鼠蹦蹦跳V2.0.0.2恶意“吸费”挑战大脑V2.0.1强行捆绑推广其他无关应用软件空中急救V2.0.6未经用户同意，收集、使用用户个人信息Light eye protection（屏幕护眼灯）V9.0强行捆绑推广其他无关应用软件10 2345手机应用宝库9蜂助手酷炫来电闪V1.0强行捆绑推广其他无关应用软件11天翼空间喜邦V1.0用户不知情的情况下，自动向外发送短信12第一应用冷漠与微笑V2.0强行捆绑推广其他无关应用软件13应用酷开心消消砰-2016 V1.0.9恶意“吸费”14绿茶软件园老爸曾是小偷V2.82强行捆绑推广其他无关应用软件15魅族应用中心忍者：卷轴大战V1.3强行捆绑推广其他无关应用软件16琵琶网胎教音乐盒子V4.0.6强行捆绑推广其他无关应用软件