论文部分内容阅读
在网上频繁出现的未来智能化生活视频中常有这样的想象:下班路上,你拿出手机,选择相应的App点开。这时,家里的电饭煲在远程控制下已经开始自动煮饭,电热水器开始工作烧好热水,空调自动打开为你提前准备一个舒适的环境。你低头看看手机,孩子手腕上的智能手表通过你的手机应用告诉你,她已在回家路上,5分钟后你可以在街角碰到她。你点开另一个应用,通过手机下订单,半小时后,晚饭就会送上门来,在智能化手机的安排之下一切都很完美!
这一幕是当下不少智能化产品为用户提供的完美愿景,一部智能化的手机如今已经涵盖了你生活的方方面面。然而,良莠不齐的软件开发商却在制造大量“伪智能化”的产品,在控制人们手机的同时却没有保护手机的网络信息安全。在各种宣称具有高科技含量的智能手机面前,人们依然显得无所适从。
预装软件背后的产业链
2015年7月,因手机预装软件过多,且大量无法删除,上海市消费者权益保护委员会一纸诉状,将三星和欧珀两家智能手机公司告上法庭。上海消保委称,根据比较试验结果,欧珀X9007和三星SM-N9008S手机不可卸载软件数量位列前两位。欧珀手机总共预装了71个软件,其中不可卸载软件数量达47个,是所有受试手机中最多的。三星手机为44个,且所有预装软件均不可卸载。
但截至记者发稿时为止,这个案子尚没有下文。
消费者对预装软件“天天喊打”,为何手机厂家视而不见?关键是背后的利益。手机预装软件已经形成一条完整产业链条。沪上某手机代工厂负责人告诉记者,目前多数手机出厂预装软件一般在10至30款不等,半数是推广应用软件。这些软件与系统运行无关,却占内存,一般开机后会自行启动,占据内存并使用流量。预装一款不可卸载软件,一般收费在5元左右,如果是游戏软件可能更高。对一家年出货量2000万台的一线手机品牌来说,预装一款软件的收入就高达1亿元。当前,国内手机厂商大打价格战,背后很大一部分就是靠预装软件来抵消成本。
更让人觉得不可思议的是,许多手机商家连老人机也不放过。
2015年端午节,张女士给自己的老母亲买了一部手机。老人家对科技产品不甚了解,要买手机也就是接打电话,连短信都不会发,为此张女士专门挑了一部老人机,高音量、大按键,价格也便宜。但是没想到,才过一个多月,电话就因欠费而停机,预存的100元话费全部用完。去营业厅一查,发现老人从来没用过的上网流量费占去了大头,通话费用才十几块钱。
原来张女士给母亲买的手机里预装了软件,这些软件会自动启动,而且无法卸载。也就是这些顽固的预装软件,在老人不知情的情况下偷偷地跑着流量,吸走了老人手机里的话费。一位黄姓店主告诉记者,这里的老人机每天都能卖出十几台,多是外地人返乡带给家里的老人使用。不过对于老人机内是否有预装流量软件,该店主则不愿多谈。
“每一款手机都必须在工信部备案,通过检测,否则无法上市销售。”生产老人机的一电子公司的负责人说。工信部对预装软件并无限制,但预装软件如果存在恶意偷跑流量和扣费的情况肯定无法通过检测。但是,很多老人机都是“黑手机”,没有经过工信部的备案和检测,对其监管缺失。
以前手机应用程序的管理分发,主要以行业自律为主。2011年中国互联网协会联合企业签署《互联网终端软件服务行业自律公约》,2014年组织互联网企业签署《中国互联网协会移动智能终端应用传播淫秽色情信息自律公约》。2015年11月,工信部出面征求意见,标志着行政主管部门正逐步加强监管。征求意见稿规定,基本功能软件是指保障硬件和操作系统正常运行的移动智能终端应用软件。终端中预置的实现同一功能的基本功能软件,最多有一个可设置为不可卸载。
然而,有业内人士认为,规定对预装的基本功能软件描述不够严谨,很难清晰界定到底何为基本软件,存在被企业钻空子的地方;处罚力度明显不够,也难以起到“杀一儆百”的作用。根据规定,违反规定的企业,由通信主管部门依据职权责令改正,依法进行处罚,但没有处罚细则,容易导致定罪模糊问题。
“流氓软件”有多流氓
曾使用安卓系统手机的陈先生告诉记者,自从他在手机上安装五子棋等几款休闲小游戏后,话费花得特别快,前两天刚充完100块钱,不到一个星期就用完了,于是他打10086进行查询,发现多出很多的业务定制服务,但实际上他并没有定制这些业务。
针对这种情况,安全专家唐威认为这个用户肯定是感染了手机病毒,杀毒软件最近发现了很多安卓手机用户下载打地鼠、五子棋等几款热门小游戏后感染手机病毒,造成手机话费不断流失。据了解,此类被扣费的用户至少有数万人。
那么,这种病毒究竟是怎样吸走用户的手机话费的呢?
安全专家谈到:手机中毒后,恶意扣费软件在用户不知情的情况下定制各种服务,然后通过短信的方式暗地扣费。除此之外,手机病毒程序还会偷偷访问互联网,浪费用户流量资源,同时也获取宝贵的用户流量。同时,一旦进入用户手机中,病毒可能自动寻找用户核心数据,包括文档资料、照片数据、各种帐号并偷偷上传,而手机数据丢失通常很难恢复。“这样一个小游戏就可能会提示需要定位权限(是为了方便游戏联网)、需要访问手机麦克风(开启游戏内的语音功能)、同步通讯录(联网和朋友一起玩,顺便推送给用户的朋友圈),如果用户注册账号那手机号肯定必不可少。”唐威向记者介绍,“一个很简单的小游戏,可能不到1分钟的时间就已经收集到了上述多种信息。有提示算是有良心的,相当部分APP应用在用户下载好之后就已经默默开启了权限,上传用户的信息。”不过也并不是所有的信息目前都能够转化成商业利益。这些从收集用户处调用的权限信息,一些开发商会进行自用,而这个目的实际上也是为了转化成未来可能出现的商业模式。
值得注意的是,手机病毒发作并不像电脑Windows系统中那样清楚地表现出来,为人熟知,普通用户不易察觉,并且懂得智能手机安全知识用户群数量很小,这给发现并处置手机病毒造成了相当大的困难。 工信部通告显示,2015年第三季度该部共发现35款不良手机应用软件,这些手机应用涉及违规收集用户信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题。根据工信部出示的图表,这些违规的手机应用包括车友信、美白相机、捕鱼达人3街机版、酷我音乐盒2014手机版、百度手机助手、GO桌面、万能WiFi密码破解、风云直播以及开心连连看等35款App。据了解,在上榜的App中,百度手机助手、酷我音乐等应用已不是第一次上工信部的黑名单,早在工信部2015年一季度的不良手机应用名单上就已经出现过这几款App的名字。
无独有偶,深圳市消费者委员会在2015年8月的一项报告中显示,手机软件相关的消费投诉已成为投诉新热点。其中,问题最为严重的是恶意吸费,投诉数量最多的是“开心消消乐”软件和“滴滴充话费”软件。“开心消消乐”是一款游戏软件,但不少消费者反映,软件故意制作消费陷阱,一不小心就会进入到购买电子货币的界面,并且扣取电话费。还有“滴滴充话费”软件,这个软件声称首次充电话费可以享受到5.5折的优惠,很多人误以为是给手机充话费,但当充钱后才发现,实际上是给一款网络电话充话费,当用户想退款时却会遭遇难题。此外,很多手机软件还涉及违规收集用户信息、强行捆绑推广其他无关应用软件以及偷跑流量等问题。
这些流氓软件不但影响用户的使用体验,而且侵犯消费者个人信息安全权、知情权和财产权。深圳市消委会还呼吁手机应用商店和软件商,要提供安全可靠的软件服务,杜绝发布存在盗取信息、强行捆绑、吸话费、偷流量等问题软件,并畅通沟通投诉的渠道,及时处理消费者反映的问题。然而,在没有法律监督的条件下,这样的呼吁多少显得有些无力。
支付宝APP的困惑
2015年10月24日,一场挑战网络信息安全的极客“极棒”大赛(GeekPwn)在上海拉开帷幕。在比赛现场,一名白帽黑客现场演示了如何利用美甲嘟嘟充值系统项目的漏洞,通过在自己的手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。这项挑战后来被称为“惊天漏洞”,作为一款每日交易额度达到106亿元的支付工具,这样的漏洞后果不堪设想。
白帽黑客与普通的黑客不同,他们通常会攻击他们自己的系统,或被聘请来攻击客户的系统以便进行安全审查。
在获悉有人展示这一漏洞后,支付宝方面立即作出回应,称“经我们的技术人员排查,原因是商户App发送付款单据给支付应用时,在商户App内部被中间人劫持并篡改所致,跟支付接口无关。”
“这就是问题的关键所在,尽管像支付宝这样每年花费千万元用于保障网络信息安全的大企业仍然无法避免被上千个与它相关联的支付应用软件所拖累。”阿里巴巴的一名信息安全技术人员郑旻向记者解释,这个漏洞通俗来说,就好比吃饭埋单时被服务员换成了另一桌的单子,拿去收银台付款了。这个漏洞实际上是商户APP漏洞导致信息被劫持,结果影响到后端所有支付类应用。
2014年,支付宝曾经宣布投入4000万元建立安全基金确保网络信息安全,然而这场展示的现实显示,在众多良莠不齐的智能化应用泛滥的今天,作为支付工具谁也无法独善其身。支付宝也承认,虽然这个漏洞出在商户端,与支付工具无关,但是前端商户APP漏洞导致的信息被劫持,会影响到后端所有支付类应用。
“目前每天在苹果应用中上线的App数量在500个左右,而能够用于安卓系统的各种应用数量更加庞大,几乎所有涉及互联网的创业公司都在搞App,其中很多都涉及在线支付,并需要绑定你的手机,这意味着每个人的手机都被这些不安全应用留下可供黑客出入的后门。”来自国内顶级黑客团队清华大学蓝莲花战队的杨坤目前已是一家网络安全公司的创业者,他告诉记者,实际上,大多数手机应用APP的开发团队都不配备信息安全专业人才,在这方面投入几乎是零。
美甲嘟嘟、“阿姨帮”等多款O2O产品被选手破解,因为这一类应用在支付接口有着类似的漏洞。而选手选择破解“功夫熊”项目却因为融资失败可能倒闭而根本无法完成。“如果下过这种应用,公司虽然倒闭了,却可能已经在你的手机里留下了隐患,即便你删除应用,危险依然存在。”
“现在很多智能APP产品其实都是伪智能化,真正的智能化是建立在大数据的基础上,而现在很多智能产品只是增加了手机控制功能,而缺乏安全防护的智能化产品反而给黑客们提供了可以攻击破解的后门。”来自国内顶尖的白帽黑客团队KEEN 的创始人兼CEO王琦曾表示。
据2016年1月22日发布的第37次《中国互联网络发展状况统计报告》,我国手机网民规模达6.20亿,较2014年底增加6303万人。网民中使用手机上网人群的占比提升至90.1%,手机依然是拉动网民规模增长的首要设备。其中仅通过手机上网的网民占18.5%,较2014年底提升了3.2个百分点。可以预见的是,在未来,网民个人上网设备进一步向手机端集中。
“很多风险还在路上,而大多数人还不知道要买伞。”王琦认为,智能手机的信息安全问题还没有得到足够的重视。
随着网络环境的日益完善、移动互联网技术的发展,各类移动互联网应用的需求逐渐被开发。从基础的娱乐沟通、信息查询,到商务交易、网络金融,再到教育等公共服务,移动互联网塑造了全新的社会生活形态,潜移默化地改变着移动网民的日常生活。而作为连接移动互联网的终端设备——智能手机,能否真正地实现“智能化”,还有很长的路要走。
这一幕是当下不少智能化产品为用户提供的完美愿景,一部智能化的手机如今已经涵盖了你生活的方方面面。然而,良莠不齐的软件开发商却在制造大量“伪智能化”的产品,在控制人们手机的同时却没有保护手机的网络信息安全。在各种宣称具有高科技含量的智能手机面前,人们依然显得无所适从。
预装软件背后的产业链
2015年7月,因手机预装软件过多,且大量无法删除,上海市消费者权益保护委员会一纸诉状,将三星和欧珀两家智能手机公司告上法庭。上海消保委称,根据比较试验结果,欧珀X9007和三星SM-N9008S手机不可卸载软件数量位列前两位。欧珀手机总共预装了71个软件,其中不可卸载软件数量达47个,是所有受试手机中最多的。三星手机为44个,且所有预装软件均不可卸载。
但截至记者发稿时为止,这个案子尚没有下文。
消费者对预装软件“天天喊打”,为何手机厂家视而不见?关键是背后的利益。手机预装软件已经形成一条完整产业链条。沪上某手机代工厂负责人告诉记者,目前多数手机出厂预装软件一般在10至30款不等,半数是推广应用软件。这些软件与系统运行无关,却占内存,一般开机后会自行启动,占据内存并使用流量。预装一款不可卸载软件,一般收费在5元左右,如果是游戏软件可能更高。对一家年出货量2000万台的一线手机品牌来说,预装一款软件的收入就高达1亿元。当前,国内手机厂商大打价格战,背后很大一部分就是靠预装软件来抵消成本。
更让人觉得不可思议的是,许多手机商家连老人机也不放过。
2015年端午节,张女士给自己的老母亲买了一部手机。老人家对科技产品不甚了解,要买手机也就是接打电话,连短信都不会发,为此张女士专门挑了一部老人机,高音量、大按键,价格也便宜。但是没想到,才过一个多月,电话就因欠费而停机,预存的100元话费全部用完。去营业厅一查,发现老人从来没用过的上网流量费占去了大头,通话费用才十几块钱。
原来张女士给母亲买的手机里预装了软件,这些软件会自动启动,而且无法卸载。也就是这些顽固的预装软件,在老人不知情的情况下偷偷地跑着流量,吸走了老人手机里的话费。一位黄姓店主告诉记者,这里的老人机每天都能卖出十几台,多是外地人返乡带给家里的老人使用。不过对于老人机内是否有预装流量软件,该店主则不愿多谈。
“每一款手机都必须在工信部备案,通过检测,否则无法上市销售。”生产老人机的一电子公司的负责人说。工信部对预装软件并无限制,但预装软件如果存在恶意偷跑流量和扣费的情况肯定无法通过检测。但是,很多老人机都是“黑手机”,没有经过工信部的备案和检测,对其监管缺失。
以前手机应用程序的管理分发,主要以行业自律为主。2011年中国互联网协会联合企业签署《互联网终端软件服务行业自律公约》,2014年组织互联网企业签署《中国互联网协会移动智能终端应用传播淫秽色情信息自律公约》。2015年11月,工信部出面征求意见,标志着行政主管部门正逐步加强监管。征求意见稿规定,基本功能软件是指保障硬件和操作系统正常运行的移动智能终端应用软件。终端中预置的实现同一功能的基本功能软件,最多有一个可设置为不可卸载。
然而,有业内人士认为,规定对预装的基本功能软件描述不够严谨,很难清晰界定到底何为基本软件,存在被企业钻空子的地方;处罚力度明显不够,也难以起到“杀一儆百”的作用。根据规定,违反规定的企业,由通信主管部门依据职权责令改正,依法进行处罚,但没有处罚细则,容易导致定罪模糊问题。
“流氓软件”有多流氓
曾使用安卓系统手机的陈先生告诉记者,自从他在手机上安装五子棋等几款休闲小游戏后,话费花得特别快,前两天刚充完100块钱,不到一个星期就用完了,于是他打10086进行查询,发现多出很多的业务定制服务,但实际上他并没有定制这些业务。
针对这种情况,安全专家唐威认为这个用户肯定是感染了手机病毒,杀毒软件最近发现了很多安卓手机用户下载打地鼠、五子棋等几款热门小游戏后感染手机病毒,造成手机话费不断流失。据了解,此类被扣费的用户至少有数万人。
那么,这种病毒究竟是怎样吸走用户的手机话费的呢?
安全专家谈到:手机中毒后,恶意扣费软件在用户不知情的情况下定制各种服务,然后通过短信的方式暗地扣费。除此之外,手机病毒程序还会偷偷访问互联网,浪费用户流量资源,同时也获取宝贵的用户流量。同时,一旦进入用户手机中,病毒可能自动寻找用户核心数据,包括文档资料、照片数据、各种帐号并偷偷上传,而手机数据丢失通常很难恢复。“这样一个小游戏就可能会提示需要定位权限(是为了方便游戏联网)、需要访问手机麦克风(开启游戏内的语音功能)、同步通讯录(联网和朋友一起玩,顺便推送给用户的朋友圈),如果用户注册账号那手机号肯定必不可少。”唐威向记者介绍,“一个很简单的小游戏,可能不到1分钟的时间就已经收集到了上述多种信息。有提示算是有良心的,相当部分APP应用在用户下载好之后就已经默默开启了权限,上传用户的信息。”不过也并不是所有的信息目前都能够转化成商业利益。这些从收集用户处调用的权限信息,一些开发商会进行自用,而这个目的实际上也是为了转化成未来可能出现的商业模式。
值得注意的是,手机病毒发作并不像电脑Windows系统中那样清楚地表现出来,为人熟知,普通用户不易察觉,并且懂得智能手机安全知识用户群数量很小,这给发现并处置手机病毒造成了相当大的困难。 工信部通告显示,2015年第三季度该部共发现35款不良手机应用软件,这些手机应用涉及违规收集用户信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题。根据工信部出示的图表,这些违规的手机应用包括车友信、美白相机、捕鱼达人3街机版、酷我音乐盒2014手机版、百度手机助手、GO桌面、万能WiFi密码破解、风云直播以及开心连连看等35款App。据了解,在上榜的App中,百度手机助手、酷我音乐等应用已不是第一次上工信部的黑名单,早在工信部2015年一季度的不良手机应用名单上就已经出现过这几款App的名字。
无独有偶,深圳市消费者委员会在2015年8月的一项报告中显示,手机软件相关的消费投诉已成为投诉新热点。其中,问题最为严重的是恶意吸费,投诉数量最多的是“开心消消乐”软件和“滴滴充话费”软件。“开心消消乐”是一款游戏软件,但不少消费者反映,软件故意制作消费陷阱,一不小心就会进入到购买电子货币的界面,并且扣取电话费。还有“滴滴充话费”软件,这个软件声称首次充电话费可以享受到5.5折的优惠,很多人误以为是给手机充话费,但当充钱后才发现,实际上是给一款网络电话充话费,当用户想退款时却会遭遇难题。此外,很多手机软件还涉及违规收集用户信息、强行捆绑推广其他无关应用软件以及偷跑流量等问题。
这些流氓软件不但影响用户的使用体验,而且侵犯消费者个人信息安全权、知情权和财产权。深圳市消委会还呼吁手机应用商店和软件商,要提供安全可靠的软件服务,杜绝发布存在盗取信息、强行捆绑、吸话费、偷流量等问题软件,并畅通沟通投诉的渠道,及时处理消费者反映的问题。然而,在没有法律监督的条件下,这样的呼吁多少显得有些无力。
支付宝APP的困惑
2015年10月24日,一场挑战网络信息安全的极客“极棒”大赛(GeekPwn)在上海拉开帷幕。在比赛现场,一名白帽黑客现场演示了如何利用美甲嘟嘟充值系统项目的漏洞,通过在自己的手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。这项挑战后来被称为“惊天漏洞”,作为一款每日交易额度达到106亿元的支付工具,这样的漏洞后果不堪设想。
白帽黑客与普通的黑客不同,他们通常会攻击他们自己的系统,或被聘请来攻击客户的系统以便进行安全审查。
在获悉有人展示这一漏洞后,支付宝方面立即作出回应,称“经我们的技术人员排查,原因是商户App发送付款单据给支付应用时,在商户App内部被中间人劫持并篡改所致,跟支付接口无关。”
“这就是问题的关键所在,尽管像支付宝这样每年花费千万元用于保障网络信息安全的大企业仍然无法避免被上千个与它相关联的支付应用软件所拖累。”阿里巴巴的一名信息安全技术人员郑旻向记者解释,这个漏洞通俗来说,就好比吃饭埋单时被服务员换成了另一桌的单子,拿去收银台付款了。这个漏洞实际上是商户APP漏洞导致信息被劫持,结果影响到后端所有支付类应用。
2014年,支付宝曾经宣布投入4000万元建立安全基金确保网络信息安全,然而这场展示的现实显示,在众多良莠不齐的智能化应用泛滥的今天,作为支付工具谁也无法独善其身。支付宝也承认,虽然这个漏洞出在商户端,与支付工具无关,但是前端商户APP漏洞导致的信息被劫持,会影响到后端所有支付类应用。
“目前每天在苹果应用中上线的App数量在500个左右,而能够用于安卓系统的各种应用数量更加庞大,几乎所有涉及互联网的创业公司都在搞App,其中很多都涉及在线支付,并需要绑定你的手机,这意味着每个人的手机都被这些不安全应用留下可供黑客出入的后门。”来自国内顶级黑客团队清华大学蓝莲花战队的杨坤目前已是一家网络安全公司的创业者,他告诉记者,实际上,大多数手机应用APP的开发团队都不配备信息安全专业人才,在这方面投入几乎是零。
美甲嘟嘟、“阿姨帮”等多款O2O产品被选手破解,因为这一类应用在支付接口有着类似的漏洞。而选手选择破解“功夫熊”项目却因为融资失败可能倒闭而根本无法完成。“如果下过这种应用,公司虽然倒闭了,却可能已经在你的手机里留下了隐患,即便你删除应用,危险依然存在。”
“现在很多智能APP产品其实都是伪智能化,真正的智能化是建立在大数据的基础上,而现在很多智能产品只是增加了手机控制功能,而缺乏安全防护的智能化产品反而给黑客们提供了可以攻击破解的后门。”来自国内顶尖的白帽黑客团队KEEN 的创始人兼CEO王琦曾表示。
据2016年1月22日发布的第37次《中国互联网络发展状况统计报告》,我国手机网民规模达6.20亿,较2014年底增加6303万人。网民中使用手机上网人群的占比提升至90.1%,手机依然是拉动网民规模增长的首要设备。其中仅通过手机上网的网民占18.5%,较2014年底提升了3.2个百分点。可以预见的是,在未来,网民个人上网设备进一步向手机端集中。
“很多风险还在路上,而大多数人还不知道要买伞。”王琦认为,智能手机的信息安全问题还没有得到足够的重视。
随着网络环境的日益完善、移动互联网技术的发展,各类移动互联网应用的需求逐渐被开发。从基础的娱乐沟通、信息查询,到商务交易、网络金融,再到教育等公共服务,移动互联网塑造了全新的社会生活形态,潜移默化地改变着移动网民的日常生活。而作为连接移动互联网的终端设备——智能手机,能否真正地实现“智能化”,还有很长的路要走。