手機(jī)安全亮紅燈 以點(diǎn)看面談智能機(jī)安全

　　【手機(jī)中國(guó) 軟件】已經(jīng)過(guò)去2012年是智能手機(jī)以及移動(dòng)互聯(lián)網(wǎng)高速發(fā)展的一年，就拿目前占有率最高的Android系統(tǒng)來(lái)說(shuō)，2011年11月谷歌公布的Android設(shè)備激活量為超過(guò)2億部，而到了2012年9月，這個(gè)數(shù)字已經(jīng)達(dá)到了5億部，不到一年的時(shí)間增長(zhǎng)了3億部，增長(zhǎng)速度相當(dāng)可怕。與此增長(zhǎng)成正比的則是Android智能手機(jī)的應(yīng)用，根據(jù)谷歌Play商店的數(shù)據(jù)截止2012年11月，Android智能手機(jī)目前在Play商店上架的應(yīng)用已經(jīng)超過(guò)了70萬(wàn)款，下載次數(shù)超過(guò)235億次，已經(jīng)出現(xiàn)了趕超App Store的態(tài)勢(shì)，這其中還不包括大量第三方應(yīng)用商店的數(shù)據(jù)。如此龐大的數(shù)據(jù)背后隱藏著一個(gè)陰暗的利益集團(tuán)，他們下手的對(duì)象正是這5億無(wú)辜的Android用戶。

　　Android操作系統(tǒng)開放的本意是善良的，它給了開發(fā)者更多的想象空間，同時(shí)也給了開發(fā)者更大的權(quán)限，而部分無(wú)良的開發(fā)者就是利用這些權(quán)限與利益集團(tuán)扯上關(guān)系，來(lái)算計(jì)用戶的。今天我們就以本文來(lái)道出目前Android智能手機(jī)所存在的問(wèn)題，用戶看完可能會(huì)后怕：一個(gè)小小的手機(jī)竟然是個(gè)坑，而無(wú)數(shù)外表光鮮的應(yīng)用竟然是把我們推進(jìn)坑的幕后黑手。一個(gè)善良而無(wú)辜的用戶在享受他們手機(jī)所帶來(lái)的便捷時(shí)，很難發(fā)現(xiàn)這條產(chǎn)業(yè)鏈背后的黑幕，在這樣的環(huán)境下使用手機(jī)，真是想不中槍都難。

短信扣費(fèi)

　　短信扣費(fèi)在我國(guó)已經(jīng)不是新鮮事了，就在幾年前，國(guó)內(nèi)的眾多SP服務(wù)商都在做著這樣的勾當(dāng)，但由于口碑太差，國(guó)內(nèi)的眾多SP服務(wù)商似乎都在同一時(shí)間人間蒸發(fā)，看似用戶得到了一個(gè)安逸的環(huán)境，實(shí)際短信扣費(fèi)并未因此停止，只不過(guò)這些服務(wù)變得更加隱蔽。關(guān)于SP的話題我們先放一放，來(lái)看看現(xiàn)在的Android系統(tǒng)。

　　Android用戶在安裝軟件時(shí)，通常都會(huì)出現(xiàn)軟件權(quán)限提醒，這是Android系統(tǒng)給與用戶保障的最后一道防線，突破這道防線，用戶的經(jīng)濟(jì)就有可能蒙受損失，而用戶則很容易忽視這一權(quán)限的重要性，這意味著什么呢？軟件可以不經(jīng)用戶同意發(fā)送短信。

　　將以上兩點(diǎn)相結(jié)合，就可以形成一條新的地下產(chǎn)業(yè)鏈，通過(guò)應(yīng)用內(nèi)的發(fā)送短信權(quán)限進(jìn)行扣費(fèi)，從而讓SP服務(wù)商受益，而SP服務(wù)商也因此從明處轉(zhuǎn)到了暗處。短信權(quán)限是一個(gè)非常危險(xiǎn)的權(quán)限，所以除了第三方的短信增強(qiáng)軟件外，任何涉及到發(fā)送短信權(quán)限的軟件都可能存在風(fēng)險(xiǎn)。

測(cè)試游戲荷塘春色等

　　為此我們對(duì)下載的幾款游戲進(jìn)行了測(cè)試，測(cè)試發(fā)現(xiàn)國(guó)內(nèi)某開發(fā)商所開發(fā)的荷塘春色、黃金礦工、穿越叢林、超級(jí)酒保等軟件都用到了用戶短信權(quán)限。檢測(cè)在安裝時(shí)就提示了有使用發(fā)送短信權(quán)限，而這個(gè)權(quán)限則是手機(jī)游戲不需要的。

一個(gè)游戲竟然擁有這么多權(quán)限

　　我請(qǐng)問(wèn)，一款游戲?yàn)槭裁匆l(fā)短信呢？除了扣費(fèi)，沒(méi)有第二種解釋，而在實(shí)際游戲過(guò)程中，我們有沒(méi)有發(fā)現(xiàn)這些軟件會(huì)彈出扣費(fèi)提醒，這就是我們常說(shuō)的暗扣，只要用戶安裝了軟件，軟件就有可能自動(dòng)啟動(dòng)，并通過(guò)短信的方式扣除手機(jī)中的話費(fèi)。

惡意廣告

　　智能手機(jī)上免費(fèi)的軟件與游戲開始大行其道，開發(fā)者口口聲聲稱自己開發(fā)應(yīng)用多苦多苦，只能靠可憐巴巴的廣告來(lái)維持生計(jì)了，也確實(shí)有相當(dāng)多老實(shí)的開發(fā)商是通過(guò)廣告來(lái)獲得收入，善意的用戶聽到這一消息后可能會(huì)對(duì)開發(fā)商表示同情，并點(diǎn)擊廣告以示對(duì)開發(fā)商的尊重，但實(shí)際上并沒(méi)有大家想象的那么簡(jiǎn)單。

移動(dòng)廣告逐漸流行

　　應(yīng)用中的廣告形式非常多樣，有通欄廣告、互動(dòng)廣告、插屏廣告、彈窗廣告、開屏廣告等，廣告公司為廣告主和開發(fā)商提供了平臺(tái)，讓開發(fā)商通過(guò)點(diǎn)擊可以賺錢，而廣告主則可以達(dá)到宣傳的目的。市場(chǎng)競(jìng)爭(zhēng)日趨激烈，在這個(gè)看似透明的平臺(tái)交易中就出現(xiàn)了用戶體驗(yàn)非常差的惡意廣告，比如強(qiáng)制的彈窗廣告，彈出后無(wú)法關(guān)掉、還包括通知廣告，你無(wú)法從廣告上得知是哪款應(yīng)用推送的。

應(yīng)用惡意廣告論堆搓

　　還拿剛才我們說(shuō)過(guò)的荷塘春色、黃金礦工、穿越叢林、超級(jí)酒保這幾款應(yīng)用來(lái)說(shuō)，都不同程度的植入了廣告，其中超級(jí)酒保的廣告植入數(shù)量達(dá)到了12款，其中惡意廣告就有8款之多，這樣的應(yīng)用如果裝在用戶的手機(jī)中，會(huì)迅速消耗用戶手機(jī)的流量、而且也會(huì)迅速的消耗手機(jī)的電量。

應(yīng)用廣告太不規(guī)范

　　普渡大學(xué)的研究小組發(fā)現(xiàn)，一款A(yù)ndroid應(yīng)用，其應(yīng)用本身的電量消耗相當(dāng)少，而一款非網(wǎng)絡(luò)應(yīng)用的流量消耗則幾乎為0，而廣告對(duì)于電量和手機(jī)流量的消耗則相當(dāng)大，就拿免費(fèi)版憤怒的小鳥來(lái)說(shuō)，應(yīng)用本身電量消耗僅占到30%，70%的電量消耗為上傳用戶信息、位置以及廣告顯示，而憤怒的小鳥只使用了admob的廣告，那么像超級(jí)酒保這樣植入12款廣告插件的游戲，幾乎可以說(shuō)是電池殺手，手機(jī)用不了10分鐘就會(huì)非常燙手，而且還無(wú)形中消耗了大量手機(jī)數(shù)據(jù)流量。

用戶隱私

　　發(fā)送短信權(quán)限會(huì)導(dǎo)致用戶的手機(jī)在使用過(guò)程中出現(xiàn)可能被扣費(fèi)的情況，可能直到現(xiàn)在，大家對(duì)于手機(jī)軟件的權(quán)限概念還很模糊，現(xiàn)在我們就來(lái)將短信權(quán)限做一個(gè)完整的介紹。與手機(jī)安全相關(guān)的權(quán)限包括發(fā)送短信、電話、通話狀態(tài)以及通話監(jiān)聽。而涉及到用戶隱私的權(quán)限則包括了短信記錄、聯(lián)系人記錄、通話記錄、手機(jī)定位。

　　比如說(shuō)通話監(jiān)聽，聽起來(lái)就是一個(gè)很要命的隱私權(quán)限，這個(gè)權(quán)限可以允許用戶自行調(diào)整應(yīng)用的音量、所以也被很多應(yīng)用內(nèi)置，但這個(gè)權(quán)限也有一個(gè)更要命的地方就是可以監(jiān)聽通話。而短信記錄、聯(lián)系人記錄等權(quán)限則是完全的用戶隱私。

　　繼續(xù)說(shuō)剛才我們提到的幾款游戲，既不是輸入法也不是通訊錄，根本不會(huì)調(diào)用用戶的這些數(shù)據(jù)，然而卻都需要獲取相應(yīng)的權(quán)限，這樣的游戲安裝到手機(jī)里，應(yīng)用就會(huì)將用戶的完整信息上傳到開發(fā)商的服務(wù)器上，開發(fā)商不光能知道用戶的信息記錄，甚至還可以追蹤用戶的位置，這對(duì)于用戶來(lái)說(shuō)非?？膳隆?/P>

山寨應(yīng)用

　　黃金礦工是在國(guó)外非常流行的一款游戲，然而我們今天看到的這款黃金礦工則是國(guó)內(nèi)開發(fā)商所開發(fā)的，一個(gè)李逵一個(gè)李鬼，而這也正是最容易麻痹用戶的一點(diǎn)，用戶不經(jīng)意的安裝，就有可能被應(yīng)用吸費(fèi)。

原版黃金礦工

　　如果發(fā)生了應(yīng)用吸費(fèi)，用戶會(huì)有怎樣的反應(yīng)？我們隨機(jī)對(duì)用戶進(jìn)行了采訪，得到的答案很令人失望，大部分的用戶都是直接打電話給運(yùn)營(yíng)商討要說(shuō)法，但得到的結(jié)果往往令用戶們失望，無(wú)法退款。有的用戶會(huì)去申請(qǐng)維權(quán)，但幾乎沒(méi)有用戶會(huì)意識(shí)到吸費(fèi)的其實(shí)是手機(jī)中安裝的應(yīng)用程序。

各種山寨版本

　　山寨應(yīng)用在Android和iOS平臺(tái)上都非常普遍，大部分的山寨應(yīng)用是想借機(jī)炒作自己，跟原版應(yīng)用起一個(gè)類似的名字或者照搬原版應(yīng)用的玩法，而高級(jí)一點(diǎn)的山寨應(yīng)用則會(huì)仿照原版應(yīng)用的界面，讓用戶難以辨別。而更有開發(fā)商對(duì)原應(yīng)用進(jìn)行重新打包，用戶除了安裝時(shí)認(rèn)準(zhǔn)權(quán)限，沒(méi)有其他方法進(jìn)行判斷了。

應(yīng)用山寨行為很突出（山寨捕魚達(dá)人）

　　山寨應(yīng)用是普遍現(xiàn)象，其危害也相當(dāng)大。用戶對(duì)山寨應(yīng)用辨別能力差，讓山寨應(yīng)用鉆了空子。遏制山寨應(yīng)用，除了開發(fā)商要自律外沒(méi)有別的辦法，同時(shí)用戶在下載應(yīng)用時(shí)也應(yīng)該盡量選擇放心的渠道，而不要相信那些來(lái)路不明的應(yīng)用。更新應(yīng)用時(shí)，遇到簽名不一樣的情況，就肯定是有鬼了，建議用戶全部卸載，并使用正規(guī)渠道重新安裝，以免造成不必要的損失。

總結(jié)

　　作為一個(gè)新興的產(chǎn)業(yè)，中國(guó)的移動(dòng)應(yīng)用市場(chǎng)還相當(dāng)不規(guī)范，開發(fā)商在開發(fā)時(shí)并不受法律約束，這也讓一些沒(méi)有良知的開發(fā)商鉆了空子，比如荷塘月色、黃金礦工、穿越叢林、超級(jí)保鏢這幾款應(yīng)用，表面上看上去是游戲，其實(shí)就是一個(gè)用游戲打掩護(hù)的惡意軟件，用戶安裝后風(fēng)險(xiǎn)極大。

移動(dòng)應(yīng)用發(fā)展迅猛

應(yīng)付權(quán)限和廣告的安全軟件不多，且需要root

　　用戶在使用Android智能手機(jī)時(shí)，首先要對(duì)手機(jī)安全引起注意，尤其是在安裝之前，一定要對(duì)軟件的權(quán)限有足夠的了解，同時(shí)還要找正規(guī)渠道下載軟件，從谷歌Play商店下載應(yīng)用，就可以有效的避免惡意軟件的攻擊。

版權(quán)所有，未經(jīng)許可不得轉(zhuǎn)載