■本报记者 李燕京
中国消费者报社联合全国37省市消协(消保委、消委会)共同开展的“严防信息泄露强化风险防范——构筑移动互联网应用安全防线全国行”活动,在3·15前夕联合全国移动互联网安全测评中心对40家应用商城、手机助手等手机应用下载平台中的应用软件进行了检测。结果发现,有5家下载平台的部分应用存在吸费、盗取流量、捆绑下载等恶意行为。其中,金山手机助手被查出的恶意应用软件最多。中国电信下属天翼空间、中国移动下属的咪咕游戏,也被查出恶意应用软件。
手机软件下载平台藏暗鬼
一直以来,安全是手机应用商城、手机助手等手机应用下载平台吸引消费者下载的卖点。但是检测显示,手机软件下载平台上的软件并不能让消费者完全放心,个别平台问题更是令人担忧。
经检测发现,5家下载平台中暗藏着37款恶意应用。出现恶意应用的下载平台分别为咪咕游戏、百度手机助手、金山手机助手、应用宝、天翼空间。其中,金山手机助手成为检测中的重灾区,在发现的37款恶意应用中有31款都出现在金山手机助手中;咪咕游戏、天翼空间发现各有2款恶意应用软件;百度手机助手、应用宝发现各有一款恶意应用软件。
据了解,此次共检测40家手机应用下载平台,包括20家市场中下载量排名靠前的应用下载平台,20家随机抽取的手机应用下载平台。每家手机应用下载平台都随机抽取500款手机应用软件,一共检测2万款手机应用软件。此次检测出恶意软件的问题主要集中在,强行捆绑推广其他无关应用软件、恶意“吸费”,盗取流量,未经用户同意收集、使用用户个人信息等问题。
另据了解,手机应用下载平台的问题已经存在多年。2016年第二季度工业和信息化部发布问题应用软件名单,其中就包括百度手机助手、天翼空间等在内的14家应用商店的32款手机应用软件存在恶意行为。2016年第三季度发现违规软件29款;2016年第四季度发现违规软件34款。虽然每次曝光后,这些不良软件都被责令全部下架并公开曝光,但是新的问题软件仍然不断出现。
全国移动互联网安全测评中心有关负责人介绍说,自2014年在工业和信息化部的指导下受中国信息通信研究院的委托,连续3年开展移动互联网用户个人信息及权益保护工作,共计检测主流应用商店过百家、应用过50万款、通报问题应用数百款。从长期检测的情况看,恶意软件有淡旺季之分,比如学生放寒暑假的时候恶意软件就比较多。此时学生放假在家,下载游戏等软件的人数增多,所以恶意软件数量也增多。在3·15前,也就是本次检测期间属于恶意软件的淡季。从总体情况看,通过不断加强监管,目前主流应用商店中恶意APP已呈现下降趋势,但是始终都没能杜绝。要想杜绝恶意软件,下载平台要先负起责任,对于上架的软件要逐一进行检测,还要定期进行自检。
捆绑下载引狼入室
下载手机应用的时候经常会遭遇“安一赠一”甚至“安一赠多”的捆绑安装。也就是说,当用户下载一个自己需要的软件时,会有一个恶意软件跟随这个软件一同下载到用户的手机中。这让很多手机用户不胜其烦。捆绑软件下载不仅占用用户手机空间、耗费流量,更关键的是其中经常会携带一些病毒、恶意应用危害手机安全。
此次检测出的恶意软件中最为常见的恶意行为就是捆绑安装,37款恶意软件都是通过捆绑的方式进入到用户手机中。本次检测发现的问题软件有16款通过静默下载方式进入到手机中,19款通过积分墙的方式强行要求用户下载软件。记者发现,被检测出的19款通过积分墙方式捆绑下载的软件中有12款都是要求用户下载涉黄软件,而且这12款软件全部都是在金山手机助手中发现的。
全国移动互联网安全测评中心有关负责人介绍说,现在通过下载软件直接吸费的行为不多,主要是通过静默下载和恶意广告插件的方式将恶意软件推送到手机中,然后该恶意软件进行吸费、盗信息、盗流量。捆绑安装主要分为静默下载、积分墙两种:静默下载是在消费者毫不知情和未授权的情况下偷偷地下载软件,盗取信息、吸费;而积分墙是在应用软件下载前无任何提示,但在安装运行后无法使用并要求用户下载其他无关应用软件,否则该应用将无法使用。
记者在检测报告中看到,金山手机助手中有一款名为“高中化学知识大全”(V4.1.0)的软件。测试发现,该软件下载前无任何提示,但在安装运行后却无法使用,并要求用户下载其他无关应用软件。同样是金山手机助手中的一款名为“公路客票BUS365”(V1.30)的软件,也是通过积分墙的方式强行要求用户下载涉黄软件。
如果说积分墙的捆绑下载方式是让消费者看得见的形式强行让消费者下载,那么静默下载就是不露声色地盗取消费者的流量与钱财。据了解,检测中通过对应用软件的网络数据监控发现,在应用宝中一款名叫“交通城市赛车”(V1.0.4)的游戏,被监测到该软件在后台私自静默下载其他无关应用。也就是说,在用户毫不知情的情况下,软件在繁忙地替用户下载、安装各种软件。而这些软件不仅耗费流量、占用内存,有时还会盗取各种信息、资费。
存在安全风险
据了解,软件捆绑安装是目前病毒、蠕虫、ROOTKIT、木马、僵尸软件等恶意软件传播的重要途径,一旦手机通过捆绑的恶意软件中了上述病毒,恶意软件就会自动监控用户的手机、盗取用户账户,甚至盗取银行里的钱,带来极大的安全风险。
《2016-2017年中国移动应用商店市场监测报告》显示,2016年第四季度,第三方移动应用商店活跃用户规模增长到4.53亿人。手机应用软件下载平台已经成为手机用户下载手机应用软件的主要渠道,如果平台上的恶意软件不能得到有效控制,将会严重影响手机用户的隐私权以及选择权。