APP黑金鏈：移動廣告公司是背后黑手？

一個備受爭議的晚會，央視“3.15晚會”，除了一些無厘頭的打假，還有沒有有價值的信息？其曝光了大部分移動應(yīng)用（APP）存在私自獲取手機(jī)用戶個人信息的行為究竟怎么回事？在這些隱私信息中，位置信息成第一獲取目標(biāo)，聯(lián)系人、通話記錄、短信記錄這些敏感隱私信息讀取普遍。除此之外呢？隱私用來干嘛？這一系列也都形成了一個未知的環(huán)。

在“3.15”之前，DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心（以下簡稱“DCCI”）發(fā)布了《2013移動隱私安全評測報告》。報告顯示，高達(dá)66.9%的APP擁有獲取用戶隱私的權(quán)限，34.5%的APP涉嫌過度收集用戶隱私行為，即APP除了獲取本身功能需要的數(shù)據(jù)以外，還收集其本身不需要的其他數(shù)據(jù)。

實(shí)際上，據(jù)鈦媒體小編了解，APP不止收集用戶隱私，還亂扣手機(jī)話費(fèi)、植入惡意廣告，游離于法律的灰色空間，業(yè)已形成一條黑暗的隱形暴利鏈條。

黑色產(chǎn)業(yè)鏈：惡意軟件吸費(fèi)

在大量的APP軟件中，手機(jī)游戲和內(nèi)置廣告插件等惡意軟件，存在吸費(fèi)、吃流量、偷發(fā)短信現(xiàn)象最嚴(yán)重。

據(jù)一位知情人士向鈦媒體透露，像吸費(fèi)這種現(xiàn)象在地級市以下的地方更嚴(yán)重，尤其是那種千元智能機(jī)或更便宜的山寨智能機(jī)被安裝了大量吸費(fèi)的手機(jī)游戲，都是盜版和仿冒下載量較高的游戲，比如在山寨版的《憤怒的小鳥》、《神廟》等游戲中內(nèi)置扣費(fèi)插件，用戶下載后插件就會暗中扣費(fèi)。

一般都是游戲前10關(guān)不要錢，到了10關(guān)以后就開始扣費(fèi)了；或者幫用戶訂制增值業(yè)務(wù)短信。“不經(jīng)過你的同意，它就會神不知鬼不覺的扣掉你的錢，唰唰唰幾十塊錢很快就沒了。”

還有就是內(nèi)置廣告插件吸費(fèi)。該知情人士認(rèn)識的一個朋友，2011年在深圳給手機(jī)刷機(jī)，每天大概能出到15萬臺，每臺手機(jī)里刷20個應(yīng)用里就有一半在推廣告?！澳切〢PP開發(fā)者主動找到他，給他錢讓他幫忙在APP里內(nèi)置廣告插件，這個手機(jī)一刷完全是數(shù)據(jù)廣告，等于說就變成了一個肉雞?！?/P>

當(dāng)用戶在使用這些應(yīng)用時，內(nèi)置廣告就會通過聯(lián)網(wǎng)下載和刷新，悶聲不響“吃流量”，什么都沒干，流量就沒了?！斑@是整個產(chǎn)業(yè)鏈條比較黑暗的一條，但這也是很多做APP的被逼無奈，因?yàn)橐窟@個賺錢的。”

除了上述扣手機(jī)費(fèi)、吃流量的現(xiàn)象，還有偷發(fā)手機(jī)短信的。

很多惡意軟件，它會通過你的手機(jī)給你通訊錄里的聯(lián)系人發(fā)垃圾信息。它非常智能，會查看你手機(jī)套餐里發(fā)了多少條短信，還剩多少條沒用完。查看完以后，它只發(fā)你手機(jī)里剩下的這些短信，不會額外扣你的話費(fèi)，這個你一般也不會察覺。

“它會檢測到你的手機(jī)是不是鎖屏。如果你的手機(jī)是鎖屏，說明你沒有在用手機(jī)，它會趁機(jī)把短信發(fā)出去，發(fā)完之后還會刪除，這個你完全看不出來，完全可以做到用戶不知情。”上述知情人士說。

在LBE安全大師COO高偌薇看來，更可怕的事情還在后頭呢，有些惡意軟件在用戶發(fā)現(xiàn)之后還能卸載掉，有些變種的惡意軟件，即便卸載也未必能完成清除，還會繼續(xù)在后臺“為非作歹”。

如復(fù)旦大學(xué)計算機(jī)系統(tǒng)與安全專家楊珉在接受《新民晚報》采訪時分析的那樣，許多用戶下載的熱門應(yīng)用軟件，其實(shí)已經(jīng)被動過手腳了，軟件里被重新打包了一些惡意代碼。

“這種代碼可以讓手機(jī)在用戶未授權(quán)的情況下，通過發(fā)短信或者鏈接指定的扣費(fèi)網(wǎng)站，為機(jī)主訂購不同類型的手機(jī)業(yè)務(wù)。它最厲害的地方在于，可以屏蔽掉扣費(fèi)業(yè)務(wù)發(fā)送給用戶的扣費(fèi)確認(rèn)短信?！?/P>

正常的業(yè)務(wù)模式中，手機(jī)短信正常扣費(fèi)需要經(jīng)過“詢問是否訂購業(yè)務(wù)、服務(wù)器反饋、最終確認(rèn)扣費(fèi)”這三個步驟，但在上述惡意APP上，用戶一個也步驟也收不到，即便遭受了經(jīng)濟(jì)損失也還會完全蒙在鼓里。

灰色地帶：APP“越軌”抓取用戶信息

事實(shí)上，在惡意軟件吸費(fèi)、吃流量和偷發(fā)短信的同時，還有許多用戶自認(rèn)為“安全”的APP也在悄悄地抓取用戶個人信息。

《2013移動隱私安全評測報告》顯示，通過對中國各類安卓市場下載量前1400位的應(yīng)用進(jìn)行了相關(guān)調(diào)查，高達(dá)66.9%的APP擁有獲取用戶隱私的權(quán)限，34.5%的APP涉嫌過度收集用戶隱私行為，即APP除了獲取本身功能需要的數(shù)據(jù)以外，還收集超出本身功能之外的其他信息。

在這些隱私信息中，位置信息成第一獲取目標(biāo)，聯(lián)系人、通話記錄、短信記錄這些敏感隱私信息讀取普遍。

在DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心創(chuàng)始人胡延平看來，有些APP獲取用戶信息是為了應(yīng)用本身功能所需，可以理解；但有些APP除了獲取本身功能需要的信息以外，還會獲取更多其它信息，這是難以理解的。“就好比一款拍照軟件，本來是用來拍照的，但它還要去讀取你的位置信息、通話記錄；一款鬧鐘軟件會去讀取你的短信記錄、聯(lián)系人?！?/P>

這在安全廠商看來，手機(jī)軟件到底有沒有“越軌”竊取用戶過多信息很難辨別清楚，這被安全廠商稱為“灰色地帶”。比如讀取位置信息和通信記錄的拍照軟件，很可能是要在拍照完之后分享給其他人；讀取短信記錄的鬧鐘，它可能未來要增加更多短信相關(guān)的功能。為了推動整個產(chǎn)業(yè)的發(fā)展，只要開發(fā)者給出合理的理由，就無法拒絕他調(diào)取用戶權(quán)限。

就算是用戶為防止個人信息泄露，要卸載這些軟件或者禁止這些軟件使用自己的這些隱私權(quán)限時，仍然沒有辦法，因?yàn)榇蟛糠质謾C(jī)只有經(jīng)過ROOT之后才被允許。（ROOT就好像是手機(jī)系統(tǒng)中唯一的萬能用戶，擁有系統(tǒng)中所有的權(quán)限，如啟動或停止一個進(jìn)程，刪除或增加用戶，增加或者禁用硬件等等。）這也正是安全廠商的為難之處，受ROOT權(quán)限限制只能提醒用戶哪些權(quán)限遭到濫用，而不能前去禁止。

即使在ROOT之后用戶可以限制軟件使用某些權(quán)限，但這又會帶來新的安全隱患，“惡意插件”攻擊的對象往往面向的是ROOT之后的安卓手機(jī)用戶群。只要聯(lián)網(wǎng)，APP在網(wǎng)絡(luò)數(shù)據(jù)交互的過程中就可以得到任何提交過來的用戶信息，包括用戶通訊錄、信息、郵件、賬號等所有隱私信息。

對此，安全廠商建議用戶不開啟ROOT權(quán)限。在高偌薇看來，如果手機(jī)被ROOT，或者沒有安裝安全殺毒軟件，而用戶想要禁止手機(jī)軟件抓取個人信息，幾乎沒有解決方案。

隱形利益鏈：移動廣告公司是黑手？

盡管開發(fā)者為調(diào)取用戶隱私權(quán)限想盡各種理由，但很難有說服力。在高偌薇看來，近40% 的APP涉及濫用權(quán)限的問題，不能單憑開發(fā)者的解釋就能為自己洗脫罪名。如何來鑒別這些應(yīng)用訪問了一些過度的權(quán)限，這涉及到對整個大數(shù)據(jù)的分析。

據(jù)高偌薇所在的LBE安全大師公司分析，確實(shí)有相當(dāng)一部分APP被冤枉了。據(jù)他們的備案顯示，濫用權(quán)限其實(shí)不是開發(fā)者自身直接造成的，而是他們?yōu)E用第三方廣告插件造成的。

在她看來，收集用戶隱私信息的主要黑手為移動廣告公司。為了賺取應(yīng)用內(nèi)置的廣告費(fèi)用，APP開發(fā)商會與移動廣告平臺簽署協(xié)議，在應(yīng)用中內(nèi)置廣告代碼，真正作惡的正是這些代碼，有廣告商利用應(yīng)用安裝時獲得的權(quán)限，大量讀取用戶信息，并上傳至自己的服務(wù)器。

“可能很多APP一開始并沒有涉及到地理定位這個權(quán)限，但可能在加了一批我們現(xiàn)在能檢測到的，最起碼國內(nèi)四五十家的廣告SDK，這么多SDK重合到一起最終導(dǎo)致這個APP過多地訪問了用戶的定位權(quán)限、通信記錄權(quán)限或者說聯(lián)系人的權(quán)限。”她說，“所以在我們看來濫用權(quán)限是由這些SDK強(qiáng)加給APP莫須有的罪名?！?/P>

但事實(shí)上，APP和廣告商是不可分割的一體，雙方相互依存，不能說是誰背負(fù)了誰的罪名。

在安卓應(yīng)用中，除了一些手機(jī)游戲公司賺到錢外，單純的功能型APP賺錢的很少，其生存模式就是靠各種形式的廣告——彈窗、垃圾短信、推薦安裝軟件找推廣方結(jié)算推廣費(fèi)等；而廣告商依靠安卓應(yīng)用抓取用戶信息，將用戶的聯(lián)系人、短信、通話記錄等進(jìn)行綜合分析，作出判斷，從而進(jìn)行精準(zhǔn)的廣告投遞，并以此謀利。

谷歌安卓的開源和免費(fèi)給一些投機(jī)分子提供了可乘之機(jī)。

智能手機(jī)中安卓為何成為吸費(fèi)和泄露個人隱私的重災(zāi)區(qū)？中國紅麥軟件總裁劉興亮此前發(fā)文稱主要有以下三點(diǎn)。

首先，都是“開放”惹的禍。蘋果是封閉的，所以蘋果出現(xiàn)“吸費(fèi)門”和泄露個人隱私的概率就會小很多。谷歌推出安卓平臺之初，就賦予其完全開放的特性，這一方面降低了手機(jī)廠商的使用門檻，也便于更多的應(yīng)用開發(fā)者加入這一陣營之中。然而，開放性與安全性之間本來就是矛盾的，安卓平臺并沒有Symbian平臺一樣的第三方簽名認(rèn)證機(jī)制；應(yīng)用商城過多，缺少對上架應(yīng)用程序進(jìn)行安全審查的機(jī)制與工具。因此，在應(yīng)用中置入后門程序也變得更加容易。

其次，谷歌當(dāng)初開發(fā)手機(jī)操作系統(tǒng)的時候，并沒有考慮到中國市場，對系統(tǒng)的短信和網(wǎng)絡(luò)控制能力很薄弱，一般的程序都能調(diào)用。谷歌實(shí)在想不到中國的SP增值業(yè)務(wù)會這么猖獗，并導(dǎo)致安卓在中國被惡意程序扣費(fèi)和泄露個人隱私這么嚴(yán)重。

再次，安卓系統(tǒng)面世的時間較短、版本也十分混亂，這也使得其軟件底層的漏洞較多，為黑客植入病毒和惡意程序提供了空間，被不法分子盯上。目前，網(wǎng)絡(luò)上大量熱門的安卓第三方應(yīng)用商店也多為個人打造，存在較多的安全隱患，并且缺乏有效的監(jiān)管、審核機(jī)制。這也吸引了一些小軟件開發(fā)商的進(jìn)入，他們會選擇在受歡迎的應(yīng)用中加入惡意代碼。好在，谷歌目前已意識到這一點(diǎn)，在最新的版本中做了改進(jìn)。

解決之道：如何杜絕吸費(fèi)和隱私泄露

如何才能杜絕吸費(fèi)和用戶隱私泄露事件再次發(fā)生呢？

一是要強(qiáng)化標(biāo)準(zhǔn)和監(jiān)管。這方面，楊珉給出了三點(diǎn)建議：

首先，要有移動終端隱私數(shù)據(jù)分級、應(yīng)用程序收集和使用隱私數(shù)據(jù)應(yīng)有標(biāo)準(zhǔn)；二要有相應(yīng)的技術(shù)檢測手段，智能APP程序發(fā)布、審核等方面應(yīng)有國家安全技術(shù)標(biāo)準(zhǔn)和測評機(jī)制；三要有追懲機(jī)制，制定相應(yīng)的法律法規(guī)與管理辦法，明確告知開發(fā)者和運(yùn)營商，能做什么和不能做什么，比如要求應(yīng)用程序顯示聲明對用戶隱私數(shù)據(jù)的收集行為，并要求收集者承擔(dān)對這些數(shù)據(jù)的保護(hù)和不擴(kuò)散的責(zé)任。

去年年底，工信部已決定建立評估體系，對智能APP程序、內(nèi)置軟件進(jìn)行評估和抽查，將第三方平臺納入管理，逐步完善備案、審核、監(jiān)督、抽查等管理環(huán)節(jié)，督促服務(wù)提供商和內(nèi)容提供商加大自我清查，整治惡意APP暗扣費(fèi)等現(xiàn)象。

二是要加強(qiáng)行業(yè)自律。

作為既得利益者，運(yùn)營商必須把好關(guān)，這是堵住非法“吸費(fèi)”和用戶隱私泄露最直接、最有效的途徑。運(yùn)營商可以切斷利益鏈條中核心的利益一環(huán)，針對安卓平臺的特點(diǎn)，采取針對性的打擊措施，切斷吸費(fèi)公司的收入來源，讓依靠垃圾廣告獲利的方式無利可圖。

各個APP開發(fā)企業(yè)也要強(qiáng)調(diào)自律，不賺黑心錢。用戶并非專業(yè)科技人士，往往并不清楚各種APP的使用說明，也很難發(fā)現(xiàn)其中隱藏的吸費(fèi)或竊取隱私的陷阱。

三是要培養(yǎng)公眾的危機(jī)意識，避免上當(dāng)。

在上述建議無法立刻起作用之前，安卓官方以及媒體應(yīng)該對用戶進(jìn)行教育，避免上當(dāng)事件發(fā)生。

對此，劉興亮認(rèn)為，用戶也要加強(qiáng)隱私保護(hù)意識。對于一個安卓用戶來說，最簡單最安全的辦法就是到谷歌官方的應(yīng)用程序商店下載軟件，官方的有審核，扣費(fèi)程序難以通過，是最安全的。除了谷歌官方應(yīng)用商店，其他的也必須要選擇正規(guī)的渠道下載應(yīng)用，如到運(yùn)營商、知名手機(jī)品牌以及第三方的應(yīng)用商店等。用戶切勿輕信“破解版”、“完美修正版”等經(jīng)過二次打包的手機(jī)軟件、手機(jī)游戲、歌曲、音樂、電子書等，謹(jǐn)防其中埋藏手機(jī)病毒。

如果非法“吸費(fèi)”和用戶隱私泄露的問題不能解決，安卓平臺顯然將遭遇危機(jī)。在胡延平看來，谷歌現(xiàn)已認(rèn)識到問題的嚴(yán)重性，諸多動作表明其正在收緊安卓平臺。如果谷歌像蘋果那樣形成一個封閉的生態(tài)系統(tǒng)，建立自己的應(yīng)用商店，那么谷歌將親自上陣審核APP，到時第三方安全廠商和應(yīng)用商店恐難以再繼續(xù)“陪玩”下去。