警惕“吸血”APP

2017-08-04 10:45 北京晨报

打印 放大 缩小

近日,工信部针对55家国内手机应用商店的APP进行技术检测,共发现了42款不良软件,主要涉及违规收集使用用户个人信息、恶意吸费、强行捆绑推广其他应用软件等问题,其中不乏天天捕鱼、开心连连看、美颜工具等下载量较高的应用。“吸血”APP究竟是谁之责?大家又该如何甄别和防范?

揭秘 恶意软件如何“吸血”?

“吸费”、“偷流量”等“吸血”应用直接导致了我们的资费损失,那么“吸血事件”究竟是如何发生的?

有安全专家指出,恶意“吸费”一般是不法应用开发运营者在软件中内置了恶意扣费代码或病毒,有些病毒甚至会恶意拦截提示扣费的短信,使得消费者在不知不觉中“被扣费”,另外一些应用中会蓄意地在大家容易“误点击”的位置放置扣费广告链接,大家点错或者被引导点击,就会直接导致资费损失。此外,应用频繁联网消耗手机流量也会间接导致资费损失。

违规收集用户个人信息的应用同样需要我们警惕。猎豹移动安全专家李铁军对北京晨报记者表示,“收集个人信息有几种情况,一类是收集硬件基本环境,比如收集机型、屏幕、网络信号等,这类情况几乎每个APP都在收集,开发者主要出于适配APP的目的。另一种情况就是过度收集,将涉及用户隐私的数据收集上来。比如位置信息(该APP的功能本身与位置信息无关)、联系人、手机号。收集的更多一些就是手机病毒了,会被杀毒软件查杀。比如收集短信,基本会被判定为病毒。”

此外李铁军表示,恶意软件的侵权形式还有多种,例如欺骗诱导用户下载其他APP来赚第三方厂商的推广费;直接拦截短信获取隐私的手机拦截马;山寨银行应用骗取银行卡信息;还有打着老人小孩监控为借口的手机后门,全方位监控手机信息,中招就完全没有隐私可言了。“一个简单的APP,如果需要很多有关隐私的权限,那这个APP就是极度可疑的。”

防范 谨慎操作很关键

发现流量、话费等异常,需要及时查找并立刻卸载恶意软件。不过李铁军提醒大家,有的恶意软件卸不掉,病毒会ROOT手机,杀毒软件都未必能处理,这种情况基本上得靠刷机了。

避开恶意软件,更为关键的是有效的防范。具体如何进行防范?瑞星安全专家唐威表示大家需要去官方网站和认证过的网站上下载应用程序,另外手机中一定要安装一些安全软件防止恶意APP入侵;去正规、大的平台下载APP;应按照正常流程操作,不越狱、不ROOT、不下载使用破解版、外挂等。

此外大家在安装APP时也不可掉以轻心,下载某些应用时系统可能会提示该应用即将使用的系统权限信息,例如“访问通讯录”、“获取位置信息”等,此时大家一定要根据自己的需求慎重决定是否继续安装或者是否对该应用授权,与应用常规功能不匹配的权限尤其需要警惕,例如下载某天气软件,提示访问通讯录的权限信息就可能存在问题。

在采访中安全专家们也均提醒大家,手机中一定要安装一些安全软件,一般恶意程序侵入,杀毒和防护软件会给予提醒功能,帮你阻止恶意程序入侵,同时一些恶意程序不小心侵入之后,大家还可以通过杀毒软件来进行全方位的查杀。

追责 责任不止一方

我们从本次工信部公布出的恶意软件中不难发现,游戏类应用的占比非常高,可谓是恶意软件的重灾区。此外唐威表示,“社交类、理财金融类也均是高发区,还有当下最火爆的应用,因为黑客和不法分子也会“跟热点”,哪个APP最火,他们的非法所得就可能越高。”

责任来自多方。恶意软件作者、应用市场、用户三方均是责任方。

恶意软件的制作者自然需要承担法律责任。有律师指出,相关恶意程序的制作者已经构成了侵权,例如应用在用户背后偷偷运行,消耗用户手机流量,且不告知用户,这种行为便侵犯了消费者的知情权和财产权。

此外唐威表示,对于目前市面上的任何第三方APP市场或是官方的APP市场都应有主动防御病毒APP入侵的措施,这是最基本的责任。而用户也需提高自我认知及防范意识。

目前,工信部、公安部也在强制要求国内各应用市场加强安全审计,强制下架有害应用,包括吸费、收集隐私的灰色APP和病毒木马。

去年底工信部下发的《移动智能终端应用软件预置和分发管理暂行规定》,便明确了手机等移动终端设备预装的第三方应用需可卸载,并禁止私自收集用户信息,另外《规定》还加强了对应用软件计费、收费行为的管理,杜绝不明扣费。针对个人隐私信息方面,《规定》同样指出,未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。目前《规定》已于今年7月1日起开始实施。

责任编辑:陈群(QT0001)  作者:杨琳