手機(jī)安全亮紅燈 以點(diǎn)看面談智能機(jī)安全

　　【手機(jī)中國 軟件】已經(jīng)過去2012年是智能手機(jī)以及移動互聯(lián)網(wǎng)高速發(fā)展的一年，就拿目前占有率最高的Android系統(tǒng)來說，2011年11月谷歌公布的Android設(shè)備激活量為超過2億部，而到了2012年9月，這個(gè)數(shù)字已經(jīng)達(dá)到了5億部，不到一年的時(shí)間增長了3億部，增長速度相當(dāng)可怕。與此增長成正比的則是Android智能手機(jī)的應(yīng)用，根據(jù)谷歌Play商店的數(shù)據(jù)截止2012年11月，Android智能手機(jī)目前在Play商店上架的應(yīng)用已經(jīng)超過了70萬款，下載次數(shù)超過235億次，已經(jīng)出現(xiàn)了趕超App Store的態(tài)勢，這其中還不包括大量第三方應(yīng)用商店的數(shù)據(jù)。如此龐大的數(shù)據(jù)背后隱藏著一個(gè)陰暗的利益集團(tuán)，他們下手的對象正是這5億無辜的Android用戶。

　　Android操作系統(tǒng)開放的本意是善良的，它給了開發(fā)者更多的想象空間，同時(shí)也給了開發(fā)者更大的權(quán)限，而部分無良的開發(fā)者就是利用這些權(quán)限與利益集團(tuán)扯上關(guān)系，來算計(jì)用戶的。今天我們就以本文來道出目前Android智能手機(jī)所存在的問題，用戶看完可能會后怕：一個(gè)小小的手機(jī)竟然是個(gè)坑，而無數(shù)外表光鮮的應(yīng)用竟然是把我們推進(jìn)坑的幕后黑手。一個(gè)善良而無辜的用戶在享受他們手機(jī)所帶來的便捷時(shí)，很難發(fā)現(xiàn)這條產(chǎn)業(yè)鏈背后的黑幕，在這樣的環(huán)境下使用手機(jī)，真是想不中槍都難。

短信扣費(fèi)

　　短信扣費(fèi)在我國已經(jīng)不是新鮮事了，就在幾年前，國內(nèi)的眾多SP服務(wù)商都在做著這樣的勾當(dāng)，但由于口碑太差，國內(nèi)的眾多SP服務(wù)商似乎都在同一時(shí)間人間蒸發(fā)，看似用戶得到了一個(gè)安逸的環(huán)境，實(shí)際短信扣費(fèi)并未因此停止，只不過這些服務(wù)變得更加隱蔽。關(guān)于SP的話題我們先放一放，來看看現(xiàn)在的Android系統(tǒng)。

　　Android用戶在安裝軟件時(shí)，通常都會出現(xiàn)軟件權(quán)限提醒，這是Android系統(tǒng)給與用戶保障的最后一道防線，突破這道防線，用戶的經(jīng)濟(jì)就有可能蒙受損失，而用戶則很容易忽視這一權(quán)限的重要性，這意味著什么呢？軟件可以不經(jīng)用戶同意發(fā)送短信。

　　將以上兩點(diǎn)相結(jié)合，就可以形成一條新的地下產(chǎn)業(yè)鏈，通過應(yīng)用內(nèi)的發(fā)送短信權(quán)限進(jìn)行扣費(fèi)，從而讓SP服務(wù)商受益，而SP服務(wù)商也因此從明處轉(zhuǎn)到了暗處。短信權(quán)限是一個(gè)非常危險(xiǎn)的權(quán)限，所以除了第三方的短信增強(qiáng)軟件外，任何涉及到發(fā)送短信權(quán)限的軟件都可能存在風(fēng)險(xiǎn)。

測試游戲荷塘春色等

　　為此我們對下載的幾款游戲進(jìn)行了測試，測試發(fā)現(xiàn)國內(nèi)某開發(fā)商所開發(fā)的荷塘春色、黃金礦工、穿越叢林、超級酒保等軟件都用到了用戶短信權(quán)限。檢測在安裝時(shí)就提示了有使用發(fā)送短信權(quán)限，而這個(gè)權(quán)限則是手機(jī)游戲不需要的。

一個(gè)游戲竟然擁有這么多權(quán)限

　　我請問，一款游戲?yàn)槭裁匆l(fā)短信呢？除了扣費(fèi)，沒有第二種解釋，而在實(shí)際游戲過程中，我們有沒有發(fā)現(xiàn)這些軟件會彈出扣費(fèi)提醒，這就是我們常說的暗扣，只要用戶安裝了軟件，軟件就有可能自動啟動，并通過短信的方式扣除手機(jī)中的話費(fèi)。

惡意廣告

　　智能手機(jī)上免費(fèi)的軟件與游戲開始大行其道，開發(fā)者口口聲聲稱自己開發(fā)應(yīng)用多苦多苦，只能靠可憐巴巴的廣告來維持生計(jì)了，也確實(shí)有相當(dāng)多老實(shí)的開發(fā)商是通過廣告來獲得收入，善意的用戶聽到這一消息后可能會對開發(fā)商表示同情，并點(diǎn)擊廣告以示對開發(fā)商的尊重，但實(shí)際上并沒有大家想象的那么簡單。

移動廣告逐漸流行

　　應(yīng)用中的廣告形式非常多樣，有通欄廣告、互動廣告、插屏廣告、彈窗廣告、開屏廣告等，廣告公司為廣告主和開發(fā)商提供了平臺，讓開發(fā)商通過點(diǎn)擊可以賺錢，而廣告主則可以達(dá)到宣傳的目的。市場競爭日趨激烈，在這個(gè)看似透明的平臺交易中就出現(xiàn)了用戶體驗(yàn)非常差的惡意廣告，比如強(qiáng)制的彈窗廣告，彈出后無法關(guān)掉、還包括通知廣告，你無法從廣告上得知是哪款應(yīng)用推送的。

應(yīng)用惡意廣告論堆搓

　　還拿剛才我們說過的荷塘春色、黃金礦工、穿越叢林、超級酒保這幾款應(yīng)用來說，都不同程度的植入了廣告，其中超級酒保的廣告植入數(shù)量達(dá)到了12款，其中惡意廣告就有8款之多，這樣的應(yīng)用如果裝在用戶的手機(jī)中，會迅速消耗用戶手機(jī)的流量、而且也會迅速的消耗手機(jī)的電量。

應(yīng)用廣告太不規(guī)范

　　普渡大學(xué)的研究小組發(fā)現(xiàn)，一款A(yù)ndroid應(yīng)用，其應(yīng)用本身的電量消耗相當(dāng)少，而一款非網(wǎng)絡(luò)應(yīng)用的流量消耗則幾乎為0，而廣告對于電量和手機(jī)流量的消耗則相當(dāng)大，就拿免費(fèi)版憤怒的小鳥來說，應(yīng)用本身電量消耗僅占到30%，70%的電量消耗為上傳用戶信息、位置以及廣告顯示，而憤怒的小鳥只使用了admob的廣告，那么像超級酒保這樣植入12款廣告插件的游戲，幾乎可以說是電池殺手，手機(jī)用不了10分鐘就會非常燙手，而且還無形中消耗了大量手機(jī)數(shù)據(jù)流量。

用戶隱私

　　發(fā)送短信權(quán)限會導(dǎo)致用戶的手機(jī)在使用過程中出現(xiàn)可能被扣費(fèi)的情況，可能直到現(xiàn)在，大家對于手機(jī)軟件的權(quán)限概念還很模糊，現(xiàn)在我們就來將短信權(quán)限做一個(gè)完整的介紹。與手機(jī)安全相關(guān)的權(quán)限包括發(fā)送短信、電話、通話狀態(tài)以及通話監(jiān)聽。而涉及到用戶隱私的權(quán)限則包括了短信記錄、聯(lián)系人記錄、通話記錄、手機(jī)定位。

　　比如說通話監(jiān)聽，聽起來就是一個(gè)很要命的隱私權(quán)限，這個(gè)權(quán)限可以允許用戶自行調(diào)整應(yīng)用的音量、所以也被很多應(yīng)用內(nèi)置，但這個(gè)權(quán)限也有一個(gè)更要命的地方就是可以監(jiān)聽通話。而短信記錄、聯(lián)系人記錄等權(quán)限則是完全的用戶隱私。

　　繼續(xù)說剛才我們提到的幾款游戲，既不是輸入法也不是通訊錄，根本不會調(diào)用用戶的這些數(shù)據(jù)，然而卻都需要獲取相應(yīng)的權(quán)限，這樣的游戲安裝到手機(jī)里，應(yīng)用就會將用戶的完整信息上傳到開發(fā)商的服務(wù)器上，開發(fā)商不光能知道用戶的信息記錄，甚至還可以追蹤用戶的位置，這對于用戶來說非常可怕。

山寨應(yīng)用

　　黃金礦工是在國外非常流行的一款游戲，然而我們今天看到的這款黃金礦工則是國內(nèi)開發(fā)商所開發(fā)的，一個(gè)李逵一個(gè)李鬼，而這也正是最容易麻痹用戶的一點(diǎn)，用戶不經(jīng)意的安裝，就有可能被應(yīng)用吸費(fèi)。

原版黃金礦工

　　如果發(fā)生了應(yīng)用吸費(fèi)，用戶會有怎樣的反應(yīng)？我們隨機(jī)對用戶進(jìn)行了采訪，得到的答案很令人失望，大部分的用戶都是直接打電話給運(yùn)營商討要說法，但得到的結(jié)果往往令用戶們失望，無法退款。有的用戶會去申請維權(quán)，但幾乎沒有用戶會意識到吸費(fèi)的其實(shí)是手機(jī)中安裝的應(yīng)用程序。

各種山寨版本

　　山寨應(yīng)用在Android和iOS平臺上都非常普遍，大部分的山寨應(yīng)用是想借機(jī)炒作自己，跟原版應(yīng)用起一個(gè)類似的名字或者照搬原版應(yīng)用的玩法，而高級一點(diǎn)的山寨應(yīng)用則會仿照原版應(yīng)用的界面，讓用戶難以辨別。而更有開發(fā)商對原應(yīng)用進(jìn)行重新打包，用戶除了安裝時(shí)認(rèn)準(zhǔn)權(quán)限，沒有其他方法進(jìn)行判斷了。

應(yīng)用山寨行為很突出（山寨捕魚達(dá)人）

　　山寨應(yīng)用是普遍現(xiàn)象，其危害也相當(dāng)大。用戶對山寨應(yīng)用辨別能力差，讓山寨應(yīng)用鉆了空子。遏制山寨應(yīng)用，除了開發(fā)商要自律外沒有別的辦法，同時(shí)用戶在下載應(yīng)用時(shí)也應(yīng)該盡量選擇放心的渠道，而不要相信那些來路不明的應(yīng)用。更新應(yīng)用時(shí)，遇到簽名不一樣的情況，就肯定是有鬼了，建議用戶全部卸載，并使用正規(guī)渠道重新安裝，以免造成不必要的損失。

總結(jié)

　　作為一個(gè)新興的產(chǎn)業(yè)，中國的移動應(yīng)用市場還相當(dāng)不規(guī)范，開發(fā)商在開發(fā)時(shí)并不受法律約束，這也讓一些沒有良知的開發(fā)商鉆了空子，比如荷塘月色、黃金礦工、穿越叢林、超級保鏢這幾款應(yīng)用，表面上看上去是游戲，其實(shí)就是一個(gè)用游戲打掩護(hù)的惡意軟件，用戶安裝后風(fēng)險(xiǎn)極大。

移動應(yīng)用發(fā)展迅猛

應(yīng)付權(quán)限和廣告的安全軟件不多，且需要root

　　用戶在使用Android智能手機(jī)時(shí)，首先要對手機(jī)安全引起注意，尤其是在安裝之前，一定要對軟件的權(quán)限有足夠的了解，同時(shí)還要找正規(guī)渠道下載軟件，從谷歌Play商店下載應(yīng)用，就可以有效的避免惡意軟件的攻擊。

版權(quán)所有，未經(jīng)許可不得轉(zhuǎn)載