APP安全成移動互聯(lián)網(wǎng)普遍的待解難題

APP用戶的安全問題，幾乎成了移動互聯(lián)網(wǎng)普遍的待解難題。

12月7日，中移指數(shù)大數(shù)據(jù)移動互聯(lián)研究院執(zhí)行副院長闞志剛在中國移動應(yīng)用安全媒體融合峰會上表示，目前約有12.6%的手機APP為惡意應(yīng)用。

闞志剛表示，2014年9月份，中移指數(shù)大數(shù)據(jù)移動互聯(lián)研究院在一次協(xié)助工信部、公安部進(jìn)行的調(diào)查中發(fā)現(xiàn)，在抽樣的70萬APP中，有9萬多個惡意應(yīng)用，平均比例為12.6%，部分渠道比例超過16%。在300多個應(yīng)用市場中，約80%的APP在下載頁面沒有顯示該APP是否通過安檢。

而在2014年11月，研究院對國內(nèi)幾個主流應(yīng)用商店前100名的APP進(jìn)行安全測試，發(fā)現(xiàn)排名靠前的APP均遭受嚴(yán)重的破解和篡改等移動安全攻擊。其中微信APP篡改攻擊率達(dá)15.28%，各大應(yīng)用商店一共存在514個微信APP，其中79個是假的。此外，超過95%的手機銀行客戶端的現(xiàn)有安全機制都存在嚴(yán)重的脆弱性。

在種種APP亂象的背后，APP的興起幾乎伴隨著病毒、竊取用戶信息等行業(yè)問題，而手機隱私竊取早已形成一條灰色的利益鏈條。

一位業(yè)內(nèi)人士對《第一財經(jīng)日報》記者解讀道，在APP市場中存在著大量的被業(yè)內(nèi)人士稱為“打包黨”的團隊或公司，他們通過破解互聯(lián)網(wǎng)上最熱門的應(yīng)用，拆包后插入一些自己想要分發(fā)的內(nèi)容如加入病毒、廣告鏈或吸費指令等惡意程序后，再重新拼裝將這些“二次打包”的盜版軟件重新發(fā)布到應(yīng)用市場中去。

上述提到的虛假微信APP，就是類似這樣的案例。

此前有第三方統(tǒng)計顯示，在今年第二季度里，中國平均每個APP有26.3個盜版，游戲類APP盜版尤甚。用戶一旦誤下載并使用了上述APP，往往遭遇頻繁廣告騷擾、流量損失、扣費，嚴(yán)重的則可能被竊取密碼與個人隱私等。

這些被泄露的用戶隱私，變現(xiàn)的渠道包括用戶隱私信息的出售，以及自身的廣告推廣。而獲得用戶隱私信息的買家，則可能用于垃圾短信、騷擾甚至詐騙電話等，或者為廣告公司牟利。

此前騰訊安全專家陸兆華在接受《第一財經(jīng)日報》記者采訪時表示，由于收集地理位置、設(shè)備識別信息、本地手機號可面向固定而穩(wěn)定的手機用戶群精準(zhǔn)匹配與投放相應(yīng)的廣告，并進(jìn)行有效的用戶消費行為分析，符合部分急功近利的廣告商的利益訴求，APP開發(fā)者也可以因此而獲取廣告分成，因而獲取這類信息成為某些不正規(guī)廣告商與APP開發(fā)者共同的核心利益。

還有一種現(xiàn)象則是，由于隱私獲取類病毒在2014年上半年快速發(fā)展，體現(xiàn)出會通過后臺上傳用戶短信、通訊錄、短信驗證碼等強隱私信息，而這類強隱私竊取類病毒正越來越偏向于緊盯用戶錢包，轉(zhuǎn)發(fā)用戶短信，呈現(xiàn)與移動支付病毒融合的發(fā)展趨勢。

而百度安全實驗室方面人士則表示，由于涉及用戶隱私的應(yīng)用種類繁多，比如手機銀行就有數(shù)十家，如果對其中的某一種或者某幾種隱私信息進(jìn)行有針對性的竊取，相比于單純竊取短信、聯(lián)系人等行為隱蔽性更強，更難以被輕易檢測到。

關(guān)于如何規(guī)范APP安全市場，近年來相關(guān)部門一直在加大整頓的步伐。

在2013年11月，工信部發(fā)布《關(guān)于加強移動智能終端進(jìn)網(wǎng)管理的通知》，根據(jù)要求，手機廠商預(yù)裝軟件必須經(jīng)過工信部的審核，并要求手機廠商不得安裝未經(jīng)用戶同意，擅自收集、修改用戶信息的軟件，以及給用戶造成流量消耗、費用損失、信息泄露等不良后果的軟件。

到了今年，工業(yè)和信息化部聯(lián)合公安部、工商總局自2014年4月至9月在全國范圍開展打擊移動互聯(lián)網(wǎng)惡意程序?qū)ｍ椥袆?。其中一項就包括三部門聯(lián)合印發(fā)了《打擊治理移動互聯(lián)網(wǎng)惡意程序?qū)ｍ椥袆庸ぷ鞣桨浮?，督促?yīng)用商店落實安全責(zé)任，開展應(yīng)用程序安全檢測，實施應(yīng)用程序開發(fā)者簽名試點，依法打擊相關(guān)網(wǎng)絡(luò)違法犯罪行為。

在今年10月，國家互聯(lián)網(wǎng)信息辦主任魯煒在推進(jìn)網(wǎng)絡(luò)空間法治化的座談會上透露，國家網(wǎng)信辦將出臺APP應(yīng)用程序發(fā)展管理辦法，以此監(jiān)管移動應(yīng)用行業(yè)出現(xiàn)的各種亂象。

北京網(wǎng)信辦主任佟力強也在會上透露，北京正在研究制定《北京市APP應(yīng)用程序公眾信息服務(wù)發(fā)展管理暫行辦法》等系列法規(guī)，還將成立首都互聯(lián)網(wǎng)協(xié)會法律專家委員會，推動各網(wǎng)站人民調(diào)解委員會的建立。

事實上，包括應(yīng)用寶、360手機助手、豌豆莢、91等在內(nèi)的主流應(yīng)用分發(fā)渠道，一直通過多重安全技術(shù)手段等來防范病毒應(yīng)用。

此前，全球知名道德黑客RikFerguson接受《第一財經(jīng)日報》采訪時表示，現(xiàn)在中國用戶無法直接使用到谷歌官方的應(yīng)用商店，不得不借助第三方下載這些應(yīng)用，所以遭遇風(fēng)險的系數(shù)會更高。

“希望谷歌下一版的安卓能夠像蘋果的iOS一樣，在安裝應(yīng)用的時候能夠提供更多的選擇方案，把選擇的力度分得更細(xì)一些，不是這個應(yīng)用你選擇裝或者不裝，而是像iOS一樣以細(xì)分到是否允許調(diào)用具體社交軟件的通訊錄，這也是谷歌應(yīng)該做的一些工作。”Rik這樣解釋道。

此外，在應(yīng)用商店的監(jiān)管上，Rik給出的對策是讓用戶在選擇應(yīng)用商店方面擁有更多的可控性和控制力，比如通過建立值得信任的白名單，選擇白名單上值得信任的應(yīng)用商店以及相關(guān)應(yīng)用。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。