監管部門擬整治APP亂象：劍指灰色利益鏈

劉佳

愈演愈烈的APP亂象，將有望進一步規範。

近日，中央網信辦主任魯煒在推進網絡空間法治化的座談會上透露，國家網信辦將出台APP應用程序發展管理辦法，以此監管移動應用行業出現的各種亂象。

北京網信辦主任佟力強也在會上透露，北京正在研究制定《北京市APP應用程序公信息服務發展管理暫行辦法》、《北京市即時通信工具公信息服務發展管理暫時規定實施細則》、《北京市互聯網新技術新業務審批暫行辦法》等系列法規，還將成立首都互聯網協會法律專家委員會，推動各網站人民調解委員會的建立。

APP的興起几乎伴隨病毒、竊取用戶信息等行業問題，而在亂象的背后，手機隱私竊取早已形成一條灰色的利益鏈條。

多位網絡安全人士在接受記者採訪時表示，由於目前APP應用渠道混雜，用戶侵權舉證成本高，因此相關治理問題還需多管齊下。

愈演愈烈的安全問題

APP用戶的安全問題，几乎已經成為移動互聯網普遍的待解難題。

騰訊方面的數據顯示，2014年上半年，全國Android病毒感染用戶數達到8923.52萬，超過江蘇省總人口數，是2012年全年Android手機染毒用戶的3.68倍。其中，Android手機病毒類型位列前三的分別為資費消耗、隱私獲取、流氓行為，占比分別為53.59%、22.08%、6.02%。誘騙欺詐與惡意扣費分別占比5.93%與5.9%。系統破壞、遠程控制、惡意傳播分別占比3.35%、2%、1.14%。

但從今年8月份開始，隱私竊取類病毒占比第一次超越資費消耗類病毒，以34.62%的比例佔據第一位。

而百度安全實驗室的數據則顯示，今年第二季度開始，隱私竊取類的惡意軟件迎來了爆發，和上一季度相比，隱私竊取類惡意軟件的比例上漲非常迅速，達到了17.9%，上漲幅度達到了57%。

騰訊手機管家安全專家對《第一財經日報》記者分析，之所以惡意扣費類手機病毒大幅下降，主要因為運營商對SP的監管越來越嚴格，讓惡意扣費病毒無機可乘。由於Android平台採取開放模式，權限管理鬆散，導致大量手機病毒違規讀取用戶個人隱私信息。

例如，在APP市場中存在大量的被業內人士稱為“打包黨”的團隊或公司，他們通過破解互聯網上最熱門的應用，拆包后插入一些自己想要分發的內容如加入病毒、廣告鏈或吸費指令等惡意程序后，再重新拼裝將這些“二次打包”的盜版軟件重新發布到應用市場中去。

有第三方統計顯示，在今年第二季度裏，中國平均每個APP有26.3個盜版，游戲類APP盜版尤甚。用戶一旦誤下並使用了上述APP，往往遭遇頻繁廣告騷擾、流量損失、扣費，嚴重的則可能被竊取密碼與個人隱私等。

而除了涉及隱私問題的手機病毒之外，更多的APP隱私邊界則掌握在開發者自己的手中。

李鐵軍告訴《第一財經日報》記者，去年獵豹移動曾分析過100多萬款APP，結果發現有50%左右的APP都需要獲取用戶本機的手機號，要求獲取定位信息也是普遍現象。

“APP申請權限有些和功能有關，例如打車軟件、團購APP，需要獲取用戶手機號是可以理解的，但並不是什麼APP都需要獲取手機號碼。”李鐵軍對記者。

而360互聯網安全中心發布的《2014年APP廣告插件安全研究報告》則顯示，在對當前安卓平台1000款熱門應用中最流行的10款正規廠商廣告插件進行全面安全性分析后，結果發現，10款APP廣告插件均涉及收集用戶隱私信息、濫用隱私權限的情況，此外，還存在強制推送廣告、消耗手機流量、躲避安全軟件檢測等多種不良行為。

如何解決開放性與安全性的矛盾，這或許是安卓業鏈業者所需要思考的問題。

商業牟利

這些被泄露的用戶隱私，變現的渠道包括用戶隱私信息的出售，以及自身的廣告推廣。而獲得用戶隱私信息的買家，則可能用於垃圾短信、騷擾甚至詐騙電話等，或者為廣告公司牟利。

騰訊安全專家陸兆華此前在接受《第一財經日報》記者採訪時表示，由於收集地理位置、設備識別信息、本地手機號可面向固定而穩定的手機用戶群精準匹配與投放相應的廣告，併進行有效的用戶消費行為分析，符合部分急功近利的廣告商的利益訴求，APP開發者也可以因此而獲取廣告分成，因而獲取這類信息成為某些不正規廣告商與APP開發者共同的核心利益。

即使是未被病毒感染的手機，一個APP調用用戶權限越多，就越了解用戶信息，越接近ROM的價值，其商業價值空間就越大。

而通過查看一款手機應用調用了哪些權限，如果這些權限不是拿去出售而是自用，也可以大致了解該應用未來可能涉及的一些商業模式。

另一個現象則是，由於隱私獲取類病毒在2014年上半年快速發展，體現出會通過后台上傳用戶短信、通訊錄、短信驗證碼等強隱私信息，而這類強隱私竊取類病毒正越來越偏向於緊盯用戶錢包，轉發用戶短信，呈現與移動支付病毒融合發展趨勢。

2014年7月，一款名為“宅男Film”的手機支付病毒不僅可以攔截支付回執短信，並上傳手機支付短信驗證碼，會導致手機網購用戶銀行卡資金被盜。

今年8月的典型病毒有“XX神奇(器)”、“韓銀大盜”等支付類病毒。其中，“XX神奇”可讀取用戶手機聯繫人，並調用發短信權限，將內容發送至手機通訊錄的聯繫人手機中，該病毒感染手機用戶超過100萬。

百度安全實驗室方面人士則表示，由於涉及用戶隱私的應用種類繁多，比如手機銀行就有數十家，如果對其中的某一種或者某幾種隱私信息進行有針對性的竊取，相比於單純竊取短信、聯繫人等行為隱蔽性更強，更難以被輕易檢測到。

在種種行業亂象背后，一個好的現象是，“安卓系統本身越發重視安全問題，如5.0新系統中引入了多項安全增強措施，加密用戶手機信息，交給用戶更多管理權限，安卓問題在不斷完善。”李鐵軍對記者表示。

而關於如何規範APP安全市場，近年來相關部門一直加大整頓的步伐。

在2013年11月，工信部發布《關於加強移動智能終端進網管理的通知》，根據要求，手機廠商預裝軟件必須經過工信部的審核，並要求手機廠商不得安裝未經用戶同意，擅自收集、修改用戶信息的軟件，以及給用戶造成流量消耗、費用損失、信息泄露等不良后果的軟件。

到了今年，工業和信息化部聯合公安部、工商總局自2014年4月至9月在全國範圍開展打擊移動互聯網惡意程序專項行動。其中一項就包括三部門聯合印發了《打擊治理移動互聯網惡意程序專項行動工作方案》，督促應用商店落實安全責任，開展應用程序安全檢測，實施應用程序開發者簽名試點，依法打擊相關網絡違法犯罪行為。

事實上，包括應用寶、360手機助手、豌豆莢、91等在內的主流應用分發渠道，一直通過多重安全技術手段等來防範病毒應用。

“盡管此前已經從手機出廠方面對手機廠商和軟件預裝進行約束，但手機從出廠到達消費者的這一時間段處在監管真空地帶，這類魚龍混雜的APP或將轉向經銷商、零售商等渠道完成刷機；此外，用戶在使用過程中，由於APP應用渠道繁多混雜，用戶遇到侵權等問題的舉證成本高，”一位網絡安全方面人士對記者，“APP相關治理問題不能靠單點突擊，還需多管齊下。”