手機安全亮紅燈 以點看面談智能機安全

　　【手機中國 軟件】已經過去2012年是智能手機以及移動互聯(lián)網高速發(fā)展的一年，就拿目前占有率最高的Android系統(tǒng)來說，2011年11月谷歌公布的Android設備激活量為超過2億部，而到了2012年9月，這個數字已經達到了5億部，不到一年的時間增長了3億部，增長速度相當可怕。與此增長成正比的則是Android智能手機的應用，根據谷歌Play商店的數據截止2012年11月，Android智能手機目前在Play商店上架的應用已經超過了70萬款，下載次數超過235億次，已經出現(xiàn)了趕超App Store的態(tài)勢，這其中還不包括大量第三方應用商店的數據。如此龐大的數據背后隱藏著一個陰暗的利益集團，他們下手的對象正是這5億無辜的Android用戶。

　　Android操作系統(tǒng)開放的本意是善良的，它給了開發(fā)者更多的想象空間，同時也給了開發(fā)者更大的權限，而部分無良的開發(fā)者就是利用這些權限與利益集團扯上關系，來算計用戶的。今天我們就以本文來道出目前Android智能手機所存在的問題，用戶看完可能會后怕：一個小小的手機竟然是個坑，而無數外表光鮮的應用竟然是把我們推進坑的幕后黑手。一個善良而無辜的用戶在享受他們手機所帶來的便捷時，很難發(fā)現(xiàn)這條產業(yè)鏈背后的黑幕，在這樣的環(huán)境下使用手機，真是想不中槍都難。

短信扣費

　　短信扣費在我國已經不是新鮮事了，就在幾年前，國內的眾多SP服務商都在做著這樣的勾當，但由于口碑太差，國內的眾多SP服務商似乎都在同一時間人間蒸發(fā)，看似用戶得到了一個安逸的環(huán)境，實際短信扣費并未因此停止，只不過這些服務變得更加隱蔽。關于SP的話題我們先放一放，來看看現(xiàn)在的Android系統(tǒng)。

　　Android用戶在安裝軟件時，通常都會出現(xiàn)軟件權限提醒，這是Android系統(tǒng)給與用戶保障的最后一道防線，突破這道防線，用戶的經濟就有可能蒙受損失，而用戶則很容易忽視這一權限的重要性，這意味著什么呢？軟件可以不經用戶同意發(fā)送短信。

　　將以上兩點相結合，就可以形成一條新的地下產業(yè)鏈，通過應用內的發(fā)送短信權限進行扣費，從而讓SP服務商受益，而SP服務商也因此從明處轉到了暗處。短信權限是一個非常危險的權限，所以除了第三方的短信增強軟件外，任何涉及到發(fā)送短信權限的軟件都可能存在風險。

測試游戲荷塘春色等

　　為此我們對下載的幾款游戲進行了測試，測試發(fā)現(xiàn)國內某開發(fā)商所開發(fā)的荷塘春色、黃金礦工、穿越叢林、超級酒保等軟件都用到了用戶短信權限。檢測在安裝時就提示了有使用發(fā)送短信權限，而這個權限則是手機游戲不需要的。

一個游戲竟然擁有這么多權限

　　我請問，一款游戲為什么要發(fā)短信呢？除了扣費，沒有第二種解釋，而在實際游戲過程中，我們有沒有發(fā)現(xiàn)這些軟件會彈出扣費提醒，這就是我們常說的暗扣，只要用戶安裝了軟件，軟件就有可能自動啟動，并通過短信的方式扣除手機中的話費。

惡意廣告

　　智能手機上免費的軟件與游戲開始大行其道，開發(fā)者口口聲聲稱自己開發(fā)應用多苦多苦，只能靠可憐巴巴的廣告來維持生計了，也確實有相當多老實的開發(fā)商是通過廣告來獲得收入，善意的用戶聽到這一消息后可能會對開發(fā)商表示同情，并點擊廣告以示對開發(fā)商的尊重，但實際上并沒有大家想象的那么簡單。

移動廣告逐漸流行

　　應用中的廣告形式非常多樣，有通欄廣告、互動廣告、插屏廣告、彈窗廣告、開屏廣告等，廣告公司為廣告主和開發(fā)商提供了平臺，讓開發(fā)商通過點擊可以賺錢，而廣告主則可以達到宣傳的目的。市場競爭日趨激烈，在這個看似透明的平臺交易中就出現(xiàn)了用戶體驗非常差的惡意廣告，比如強制的彈窗廣告，彈出后無法關掉、還包括通知廣告，你無法從廣告上得知是哪款應用推送的。

應用惡意廣告論堆搓

　　還拿剛才我們說過的荷塘春色、黃金礦工、穿越叢林、超級酒保這幾款應用來說，都不同程度的植入了廣告，其中超級酒保的廣告植入數量達到了12款，其中惡意廣告就有8款之多，這樣的應用如果裝在用戶的手機中，會迅速消耗用戶手機的流量、而且也會迅速的消耗手機的電量。

應用廣告太不規(guī)范

　　普渡大學的研究小組發(fā)現(xiàn)，一款Android應用，其應用本身的電量消耗相當少，而一款非網絡應用的流量消耗則幾乎為0，而廣告對于電量和手機流量的消耗則相當大，就拿免費版憤怒的小鳥來說，應用本身電量消耗僅占到30%，70%的電量消耗為上傳用戶信息、位置以及廣告顯示，而憤怒的小鳥只使用了admob的廣告，那么像超級酒保這樣植入12款廣告插件的游戲，幾乎可以說是電池殺手，手機用不了10分鐘就會非常燙手，而且還無形中消耗了大量手機數據流量。

用戶隱私

　　發(fā)送短信權限會導致用戶的手機在使用過程中出現(xiàn)可能被扣費的情況，可能直到現(xiàn)在，大家對于手機軟件的權限概念還很模糊，現(xiàn)在我們就來將短信權限做一個完整的介紹。與手機安全相關的權限包括發(fā)送短信、電話、通話狀態(tài)以及通話監(jiān)聽。而涉及到用戶隱私的權限則包括了短信記錄、聯(lián)系人記錄、通話記錄、手機定位。

　　比如說通話監(jiān)聽，聽起來就是一個很要命的隱私權限，這個權限可以允許用戶自行調整應用的音量、所以也被很多應用內置，但這個權限也有一個更要命的地方就是可以監(jiān)聽通話。而短信記錄、聯(lián)系人記錄等權限則是完全的用戶隱私。

　　繼續(xù)說剛才我們提到的幾款游戲，既不是輸入法也不是通訊錄，根本不會調用用戶的這些數據，然而卻都需要獲取相應的權限，這樣的游戲安裝到手機里，應用就會將用戶的完整信息上傳到開發(fā)商的服務器上，開發(fā)商不光能知道用戶的信息記錄，甚至還可以追蹤用戶的位置，這對于用戶來說非?？膳?。

山寨應用

　　黃金礦工是在國外非常流行的一款游戲，然而我們今天看到的這款黃金礦工則是國內開發(fā)商所開發(fā)的，一個李逵一個李鬼，而這也正是最容易麻痹用戶的一點，用戶不經意的安裝，就有可能被應用吸費。

原版黃金礦工

　　如果發(fā)生了應用吸費，用戶會有怎樣的反應？我們隨機對用戶進行了采訪，得到的答案很令人失望，大部分的用戶都是直接打電話給運營商討要說法，但得到的結果往往令用戶們失望，無法退款。有的用戶會去申請維權，但幾乎沒有用戶會意識到吸費的其實是手機中安裝的應用程序。

各種山寨版本

　　山寨應用在Android和iOS平臺上都非常普遍，大部分的山寨應用是想借機炒作自己，跟原版應用起一個類似的名字或者照搬原版應用的玩法，而高級一點的山寨應用則會仿照原版應用的界面，讓用戶難以辨別。而更有開發(fā)商對原應用進行重新打包，用戶除了安裝時認準權限，沒有其他方法進行判斷了。

應用山寨行為很突出（山寨捕魚達人）

　　山寨應用是普遍現(xiàn)象，其危害也相當大。用戶對山寨應用辨別能力差，讓山寨應用鉆了空子。遏制山寨應用，除了開發(fā)商要自律外沒有別的辦法，同時用戶在下載應用時也應該盡量選擇放心的渠道，而不要相信那些來路不明的應用。更新應用時，遇到簽名不一樣的情況，就肯定是有鬼了，建議用戶全部卸載，并使用正規(guī)渠道重新安裝，以免造成不必要的損失。

總結

　　作為一個新興的產業(yè)，中國的移動應用市場還相當不規(guī)范，開發(fā)商在開發(fā)時并不受法律約束，這也讓一些沒有良知的開發(fā)商鉆了空子，比如荷塘月色、黃金礦工、穿越叢林、超級保鏢這幾款應用，表面上看上去是游戲，其實就是一個用游戲打掩護的惡意軟件，用戶安裝后風險極大。

移動應用發(fā)展迅猛

應付權限和廣告的安全軟件不多，且需要root

　　用戶在使用Android智能手機時，首先要對手機安全引起注意，尤其是在安裝之前，一定要對軟件的權限有足夠的了解，同時還要找正規(guī)渠道下載軟件，從谷歌Play商店下載應用，就可以有效的避免惡意軟件的攻擊。

版權所有，未經許可不得轉載