IT時報記者 李棟
早上起來,手機中莫名其妙多了幾款App,新號碼莫名其妙接到廣告、推銷電話。這些日常生活中遇到的場景,背後則是一條涉及到靜默安裝、網盟推廣、惡意插件等層層環節的成熟產業鏈條。
其中以刷機商、插件制作者、網盟、渠道為代表的各方角色,在商業牟利面前,默許縱容內含竊取用戶通訊錄、電話號,甚至是惡意扣費插件的App上架,為其帶來百萬甚至是千萬級別裝機量。但在這條龐大的地下產業鏈條面前,消費者的個人隱私問題再次被忽視。
* 消費案例
手機在不知不覺中成為“肉雞”
今年2月28日,在北京朝陽區法院審理的一起案件中,北京麥德聯合信息技術有限公司、深圳市安豐易聯信息技術有限公司、深圳萬豐博通信息技術有限公司三家企業負責人,由於利用靜默插件惡意推廣App、獲取用戶隱私數據,以非法獲取、控制計算機信息系統數據被判處有期徒刑1年5個月至3年不等。
公開資料顯示,這三家公司分工非常明確,其中安豐公司為獨立應用市場,負責安卓App的下載、推廣運營。萬豐負責給水貨手機提供手機預裝軟件服務,即通過在ROM包中內置軟件開發商App的形式,獲取軟件開發商支付的推廣費。而麥德國內公司則最終負責靜默插件的研發。
據北京朝陽區法院審理查明,涉事公司在將插件植入線下刷機ROM、線上App軟件後,運營部門會通過後台服務端操控,向被靜默插件感染的手機推送軟件、廣告等商業電子信息。當用戶手機上網後,該插件會自動通過互聯網聯系該插件所在的服務器,該手機即被激活。他們再通過服務器操作,未經用戶允許,給用戶推送軟件及廣告信息,從中獲利。
截至2013年8月案發,被植入靜默插件的用戶已達到40餘萬,推送廣告獲利約20餘萬元。該款插件在除了向用戶手機私自安裝App外,還可在用戶不知情的情況下獲取用戶手機位置、讀寫用戶存儲卡等多種功能,甚至還能夠獲取用戶所存儲的通訊錄、所處地理位置等數據信息。
惡意軟件悄悄被安裝
3·15將至,許多安卓推廣群裏開始變得冷冷清清。以往喊出高額日均安裝激活量的渠道商逐漸沉寂了下來,即便有大量的軟件商開出重金高價碼尋求,也無人問津。
“等過了3·15再說。”當《IT時報》記者聯系到一位安卓推廣網盟的負責人林某後,他表示最近許多第三方渠道和網盟都開始謹慎接單、暫停了大規模刷機安裝。但只要避開這段時間,以往渠道中盛行的誘導安裝、靜默推送又會重新複蘇:“只要這周過後,日均激活量上10萬不是問題。”
在目前國內各大渠道的推廣方式中,憑借獲取用戶成本方式低、能夠快速沖取安裝規模的特點,靜默安裝、誘導安裝方式已經成為不成文的潛規則,並且迅速聚集起插件制作者、網絡聯盟、渠道等各方角色,形成一個龐大的地下產業鏈條。
“我們跟深圳的手機廠家、刷機商有著深度合作,目前手機在出廠銷售前就已經內置了由我們開發的後門軟件。”廣東一家專門從事靜默安裝的負責人蔣星(化名)告訴記者,他們將開發的後門插件封裝打包植入某些主流常用App之中,通過這個後門插件能夠遠程遙控這些手機,在用戶不知不覺之間下載安裝其他程序,“比如可以在淩晨2~4點之間大規模靜默推廣,如果不考慮留存率的話可以在早晨自動卸載,隱蔽性比較強,主流的安全軟件很難查殺出來。”
這種利用後門插件成本遠遠低於正規渠道,也吸引了不少國內的網盟、正規開發者和互聯網公司。當記者以軟件推廣為由聯系到數家第三方推廣渠道和網盟後,對方紛紛開出了1.5~2元/個左右的靜默推送報價,並且表示只要提供程序安裝包,在兩天之內就能完成規模沖量,最多一天能夠悄悄推送安裝到十多萬用戶的手機上。
“第三方應用市場、網站合作推廣等正規方式推廣用戶,成本起碼在5~10元左右,而且初期很難沖起安裝數量。”蔣星告訴記者,采用這種地下推廣的模式,一些App能達到2萬/天的裝機量,甚至有不少正規渠道方、電商及新聞客戶端推廣方,都找到他們利用靜默方式推廣。
竊取個人信息、自動扣費統統都能做到
在業內,這種被靜默程序控制的手機一般被稱為“肉雞”。由於在出廠前便被修改了系統的底層數據,或者是在預置ROM中的主流App裏植入後門插件,具有非常高的系統權限,隱蔽性也非常強,因此很難被第一時間查殺。
另一種用低成本方式獲取用戶的方式,則是盛行的誘導安裝等途徑。軟件推廣方通過和部分中小網站合作,在網站利用美女圖片、低俗視頻等形式,引誘用戶點擊後下載應用文件安裝,雙方再共同結算分成。
“主要是針對手機流量用戶,像利用圖片、視頻的方式,在其中嵌入軟件包下載地址,只要內容不是太過色情和裸露就行。”一家CPA網站聯盟負責人說道,通過這種手法在各家網站進行推廣,每天起碼能夠帶來10萬左右的有效安裝量。
事實上,除了已經被公之於眾的刷機公司外,還有大量潛伏在地下的灰色推廣渠道,為了片面追求安裝量和利潤,卻往往忽視了用戶的隱私與安全,甚至某種程度上在默許、縱容軟件商的行為。
在記者聯系到的幾家推廣聯盟和靜默渠道中,對方表示只需要提供軟件安裝包即可,對於App的權限卻幾乎沒有設置任何限制,一些私自扣費、竊取用戶信息的插件大行其道。
“只要App不讀取用戶短信、支付等信息就可以,像App讀取電話號碼、通訊錄這都不要緊,能夠上架推廣。”林某告訴記者,只要推廣方提供的軟件安裝包不涉及到盜號木馬,一般讀取的數據第三方網盟也會默認,而部分從事靜默渠道安裝的公司更是明碼標價。蔣星對記者表示,如果想要利用靜默渠道推廣部分含有扣費插件的App,需要事先和渠道商結清款項,費用是每個激活2元左右。
監管難執行更難
伴隨著安卓地下推廣鏈條的旺盛,一些竊取隱私的App又重新開始興風作浪。
一組安全管家提供給《IT時報》的數據顯示,檢測出2013年竊取隱私手機病毒占到整體病毒的8%左右,新增10.44萬例。但這一數字在2014年增長了41%,達到了14.75萬例。此前,這家廠商曾為91助手、安智、應用彙等50餘家渠道提供安全查殺服務。
2月5日,在工信部發布的《2014年全年及第四季度電信服務情況》中顯示,在去年組織的對40家手機應用商店撥測篩查過程中,發現不良軟件107款,如搜狐應用中心、91助手、木螞蟻應用市場等知名渠道方提供的《飛語免費網絡電話》《碰碰》《微微網絡免費電話》等App等,涉及違規收集用戶個人信息、惡意“吸費”、軟件自動向外發送短信、強行捆綁推廣其他無關應用軟件等問題。
根據工信部此前發布的《關於打擊治理移動互聯網惡意程序專項行動中做好應用商店安全檢查工作的通知》,應用商店應自行或委托第三方對App進行安全檢測,對於還有信息竊取、惡意扣費、遠程控制等行為,不得上架發布並將其納入應用軟件黑名單。
但記者注意到,截至目前仍有不少涉及到App依然存在,如被點名的《微微免費網絡電話》、《安卓鈴聲大全》、《植物大戰僵屍王2》還堂而皇之出現在魅族、Oppo、搜狐應用中心等安卓市場搜索排行榜中。
“軟件預裝、竊取個人隱私等已經形成一個成熟產業,其中企業違規、違法的成本很低,導致這種現象屢禁不絕。”獨立電信分析師付亮告訴《IT時報》記者,目前從監管層面而言很難對龐大的App市場做出清晰界定,處罰手段和結果也顯得過輕。“部分公司將知名應用加入惡意插件打包後上傳,在後台竊取用戶隱私數據很難第一時間察覺。或者同時在多家應用市場上架不停改頭換面,很難進行有效管理。”
付亮認為,目前僅僅依靠抽查、曝光、下架等形式,無法直接對涉事企業主體進行監管,對背後龐大的產業鏈很難形成有效遏制,“除了監管部門的抽查監督外,還應該完善相關法律法規,對此類惡意行為的企業主體加大處罰打擊力度。”