智能手机中花样繁多的APP丰富着我们的生活,然而,有些APP却被植入恶意程序,吸费、盗取信息、操控着用户手机,成为潜在的安全“炸弹”。
图片来源:视觉中国
原标题:问题APP“潜伏”手机成安全“炸弹”
最近,北京的胡先生下载了一款APP,名为《欢乐斗地主嗨翻天》,却遭遇了恶意吸费。
“感觉看着挺正常,下游戏的时候也没多想,最后才发现用着用着话费无故就少了。”胡先生说。
福建一名用户也遭遇了类似的情况。“给孩子下载了一款《饥饿鲨:世界》的游戏APP,刚安装好都还没开始玩,就瞬间收到7条扣费短信。”该用户感叹,如果是孩子一直玩,大人没及时发现,也就白白被扣费了。
记者调查发现,近年来,恶意吸费的应用软件屡禁不止,用户深受其害。据相关业内人士介绍,吸费类APP一般借助运营商的短信支付通道,开发者在APP中内置恶意扣费代码或者病毒,病毒启动后会私自发送扣费短信或定制高额业务,有的病毒还能恶意拦截回执短信,让用户在不知不觉中被扣费。还有一些APP会故意在页面不显眼处设置扣费广告链接,使得用户不小心“误点”而被扣费。
除了恶意吸费,问题APP还有诸多“陷阱”,危害用户财产、隐私安全。
其一是强行捆绑推广其他应用软件。
目前,工信部公布了2017年前三个季度共104款问题APP。其中,“强行捆绑”占到了84.6%。
记者发现,不少用户曾遇到过“被捆绑下载”的情况。“下载一款软件,却发现手机上自动多出来一些乱七八糟的APP,太烦人了。”据了解,腾讯应用宝、PP助手等应用商城都上架过此类软件。有用户质疑,这样的APP为何能通过平台的审核?
其二是未经同意,收集、使用用户个人信息。
工信部发布的第三季度问题APP“榜单”上,“应用汇”应用商店的一款“互伴”APP在列。这是一款针对汽车车主的服务类应用软件,表面上为车主提供便利,背后却未经用户同意,泄露用户个人信息。
业内人士表示,这类APP通常是社交类产品,需要“偷走”用户通讯录、短信等个人信息,分析所谓的“大数据”来提高用户使用体验,机锋网发布的主打赛事和社交的骑行类APP“野途”、游迅网发布的声控游戏“八分音符酱”等软件也都是如此。
其三是恶意操控用户手机。
去年5月,广东警方曝光了一款名为“AndroidTrace”的APP,该软件可以自己连接网络、拨打电话、发送短信,甚至用户的手机还可以被他人直接远程控制。今年因“恶意操控”被工信部曝光的APP还有IT猫扑网的“千寻免流”和来自金山手机助手的“开心连连看”。
有业内人士透露,就算违规APP被查封下架,在有些小型APP开发商的包装下,也可能会换个“马甲”再次上线。
近三年,工信部共曝光了400多款问题APP。根据《移动互联网恶意程序描述格式》,恶意APP分为恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈及流氓行为八大类。其中游戏类APP占绝大多数,有的下载量高达数百万。
一位受访的通信专家告诉记者,不法分子主要是借助安卓手机系统的开源性和开放性等特点,将恶意程序、扣费代码或病毒嵌进APP中,“用户很难发现,如果平台不注意审核、管理,一旦上架,用户就面临着直接的风险。”
值得注意的是,在工信部公布的问题APP名单中,有些不乏来自较大的、为人所熟知的应用商城,例如三星、酷派、91门户等应用商店。
专家认为,恶意APP屡禁不绝,源头在开发者,同时应用商店等APP下载平台也存在一定责任。平台应对上架的APP进行审核把关,对已有APP尽到安全监测的义务,并及时下架恶意APP。
“恶意APP管不住,主要是还没有细致的法律法规。对恶意APP不能只抽查、公示,没有惩戒机制。”通信行业专家项立刚指出,今年7月1日,工信部实施《移动智能终端应用软件预置和分发管理暂行规定》,对APP生产企业和应用分发平台加以规范,“但规则较为宽泛,下一步应在解决问题方面更有针对性。”
此外,项立刚建议用户选择官方渠道下载APP,不要轻易通过网站、链接和二维码下载来源不明的应用;安装APP时注意勾选权限,比如软件要求“访问通讯录”“读取好友信息”时应谨慎,养成“尽量给最小授权”的习惯;用户发现恶意应用软件后要尽快删除,并向有关部门举报。(记者 霍瑶)