32款手机软件上黑榜 部分恶意“吸费”收集隐私
近日,工信部公布的电信服务质量通告显示:二季度,对42家手机应用商店的应用软件进行技术检测,共发现不良软件32款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题。
从工信部提供的信息来看,其中包括主流应用商店如百度手机助手、腾讯应用宝、小米应用商店等都有所涉及。
恶意软件如何吸费?
根据工信部提供的信息,百度手机助手中的高速公路狂飙、恐龙世界等App,以及小米应用商店的鬼步舞视频App涉及强行捆绑推广其他应用软件;应用宝中的Appzapya未经用户同意收集、使用用户个人信息;泡椒网、优亿市场、应用酷等则有App涉及恶意吸费;木蚂蚁市场的应用手机精灵更是在用户不知情的情况下自动向外发送短信。
事实上,这些应用商店涉及的恶意扣费、隐私获取以及诱骗欺诈是用户遇到最多的三类手机安全危害,同时在未遭遇安全危害的用户中也流传较广。
“今年上半年,感染手机病毒的用户超2亿人次,并且呈现逐月增长趋势。仅6月份,感染手机病毒的用户数就与2013年上半年感染病毒的用户数相当。”腾讯手机管家的安全专家陈列介绍,“目前看来,近50%的病毒,来自于捆绑下载的手机软件,近20%源于APP商店。恶意APP会窃取用户信息、恶意扣费等等。”
以恶意吸费为例,第一财经记者看到,此次工信部披露的恶意吸费情况主要集中在手游领域,包括《全民跑酷》、《捕鱼萌萌哒》等。
根据此前腾讯手机管家的分析,目前95%的吸费游戏大小都小于10M(平均5.7M),而正常手机游戏安装包大小通常在20M+以上。之所以设置更小安装包,是为了方便用户快速下载,然后实施吸费。
在被腾讯手机管家截获的手机游戏样本中,《马上斗地主》影响用户28000多人,《QQ群机器人》影响用户14000多人,位居前两位;而涉及的手机病毒包,最多感染手机数量高达61129部。
此前,今年央视315晚会也曾揭露过部分手机恶意软件暗中扣费,这些恶意程序往往伪装成正常的游戏应用或色情应用,利用美女图诱惑用户下载。一旦用户下载安装,这些应用通过引导用户点击收费触发按钮,暗中为用户定制增值业务。由于这些收费触发按钮隐藏在看似正常的按钮中,用户基本都会中招。
安全技术人员分析这些恶意程序,会发现背后暗藏发送短信消费的功能,不仅如此,这些恶意程序会偷偷自动回复短信确认订购,再将扣费有关的短信删掉,让中毒用户完全蒙在鼓里。
短信、银行信息最被“偏爱”
除了恶意吸费,更不容易被用户感知的还包括隐私信息泄露等问题。
例如,360手机卫士在7月发布的《手机恶意程序盗取个人信息形势分析报告》显示,在手机恶意程序中,有一类是专门盗取用户隐私信息,包括通讯录、短信、通话记录、银行信息、社交软件聊天记录、录音和照片等。
隐私窃取类木马往往披着常规应用的外衣,善用伪装术引诱网友下载。用户手机感染恶意程序后,一般会自动发送一条信息到控制者的手机上(一般称为主控手机),或自动上传信息至指定邮箱。
统计显示,23.3%的窃取个人信息类恶意程序会伪装成色情视频或色情软件,是占比最高的伪装类型,如“美女papa秀”、“欲涩影院”、“AV蜜播”、“成人社区”等。其次是常用软件18.9%,系统应用18.8%。
其中,短信、银行信息是恶意程序最“偏爱”的隐私内容。报告统计发现,仅2016年4月,360互联网安全中心就截获盗取个人隐私信息的手机恶意程序样本9.8万个。其中67.4%会盗取短信信息、34.8%盗取银行信息、10%盗取手机联系人信息。同时,一半以上的恶意程序会窃取多种个人信息,其中,盗取两类个人信息的恶意程序占比为49.7%。
通过恶意程序窃取隐私有多恶劣的影响?曾有安全厂商以“个人信息年度窃取量=人均手机信息存储量×中毒后手机信息窃取率×年度恶意程序感染量”来估算,个人信息年度窃取量中,短信信息的规模最大,高达71.8亿条,每年70余亿条短信内容成为了不法分子的赚钱机器。排名第二的是通话记录的窃取规模,年度窃取量高达51.5亿条;之后为联系人信息,14.4亿条;同时估算出照片信息的年度窃取量大致为252万张。
另据安全厂商最新统计,截至2016年4月,全国共有146.2万名用户感染了窃取个人隐私类恶意程序。其中窃取短信的恶意程序感染用户最多,达113.4万人次,其次为窃取银行信息类,感染量达94.6万人次,窃取通话记录类的感染量为43.5万人次,窃取用户联系人信息、窃取用户即时社交软件聊天记录、窃取录音信息、照片信息类恶意程序的感染量分别为31.3万人次、7241人次、5292人次和1077人次。
值得一提的是,为了加强对移动互联网应用程序(指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件),《移动互联网应用程序信息服务管理规定》自8月1日起实施,对APP信息内容进行严格管理。
规定中不仅明确互联网应用商店服务提供者责任,同时要求移动互联网应用程序提供者应当建立健全用户信息安全保护机制,依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示且未经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装与应用无关的程序。对发布违法违规信息内容者,视情节轻重,将分别采取警示、限制功能、暂停更新、关闭账号等处置措施。