? ? ?近日，中央網(wǎng)信辦主任魯煒在推進(jìn)網(wǎng)絡(luò)空間法治化的座談會(huì)上透露，國家網(wǎng)信辦將出臺APP應(yīng)用程序發(fā)展管理辦法，以此監(jiān)管移動(dòng)應(yīng)用行業(yè)出現(xiàn)的各種亂象。

? ? ?北京網(wǎng)信辦主任佟力強(qiáng)也在會(huì)上透露，北京正在研究制定《北京市APP應(yīng)用程序公眾信息服務(wù)發(fā)展管理暫行辦法》、《北京市即時(shí)通信工具公眾信息服務(wù)發(fā)展管理暫時(shí)規(guī)定實(shí)施細(xì)則》、《北京市互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)審批暫行辦法》等系列法規(guī)，還將成立首都互聯(lián)網(wǎng)協(xié)會(huì)法律專家委員會(huì)，推動(dòng)各網(wǎng)站人民調(diào)解委員會(huì)的建立。

? ? ?APP的興起幾乎伴隨著病毒、竊取用戶信息等行業(yè)問題，而在亂象的背后，手機(jī)隱私竊取早已形成一條灰色的利益鏈條。

? ? ?多位網(wǎng)絡(luò)安全人士在接受記者采訪時(shí)表示，由于目前APP應(yīng)用渠道混雜，用戶侵權(quán)舉證成本高，因此相關(guān)治理問題還需多管齊下。

? ? ?愈演愈烈的安全問題

? ? ?APP用戶的安全問題，幾乎已經(jīng)成為移動(dòng)互聯(lián)網(wǎng)普遍的待解難題。

? ? ?騰訊方面的數(shù)據(jù)顯示，2014年上半年，全國Android病毒感染用戶數(shù)達(dá)到8923.52萬，超過江蘇省總?cè)丝跀?shù)，是2012年全年Android手機(jī)染毒用戶的3.68倍。其中，Android手機(jī)病毒類型位列前三的分別為資費(fèi)消耗、隱私獲取、流氓行為，占比分別為53.59%、22.08%、6.02%。誘騙欺詐與惡意扣費(fèi)分別占比5.93%與5.9%。系統(tǒng)破壞、遠(yuǎn)程控制、惡意傳播分別占比3.35%、2%、1.14%。

? ? ?但從今年8月份開始，隱私竊取類病毒占比第一次超越資費(fèi)消耗類病毒，以34.62%的比例占據(jù)第一位。

? ? ?而百度安全實(shí)驗(yàn)室的數(shù)據(jù)則顯示，今年第二季度開始，隱私竊取類的惡意軟件迎來了爆發(fā)，和上一季度相比，隱私竊取類惡意軟件的比例上漲非常迅速，達(dá)到了17.9%，上漲幅度達(dá)到了57%。

? ? ?騰訊手機(jī)管家安全專家對《第一財(cái)經(jīng)日報(bào)》記者分析，之所以惡意扣費(fèi)類手機(jī)病毒大幅下降，主要因?yàn)檫\(yùn)營商對SP的監(jiān)管越來越嚴(yán)格，讓惡意扣費(fèi)病毒無機(jī)可乘。由于Android平臺采取開放模式，權(quán)限管理松散，導(dǎo)致大量手機(jī)病毒違規(guī)讀取用戶個(gè)人隱私信息。

? ? ?例如，在APP市場中存在著大量的被業(yè)內(nèi)人士稱為“打包黨”的團(tuán)隊(duì)或公司，他們通過破解互聯(lián)網(wǎng)上最熱門的應(yīng)用，拆包后插入一些自己想要分發(fā)的內(nèi)容如加入病毒、廣告鏈或吸費(fèi)指令等惡意程序后，再重新拼裝將這些“二次打包”的盜版軟件重新發(fā)布到應(yīng)用市場中去。

? ? ?有第三方統(tǒng)計(jì)顯示，在今年第二季度里，中國平均每個(gè)APP有26.3個(gè)盜版，游戲類APP盜版尤甚。用戶一旦誤下并使用了上述APP，往往遭遇頻繁廣告騷擾、流量損失、扣費(fèi)，嚴(yán)重的則可能被竊取密碼與個(gè)人隱私等。

? ? ?而除了涉及隱私問題的手機(jī)病毒之外，更多的APP隱私邊界則掌握在開發(fā)者自己的手中。

? ? ?李鐵軍告訴《第一財(cái)經(jīng)日報(bào)》記者，去年獵豹移動(dòng)曾分析過100多萬款A(yù)PP，結(jié)果發(fā)現(xiàn)有50%左右的APP都需要獲取用戶本機(jī)的手機(jī)號，要求獲取定位信息也是普遍現(xiàn)象。

? ? ?“APP申請權(quán)限有些和功能有關(guān)，例如打車軟件、團(tuán)購APP，需要獲取用戶手機(jī)號是可以理解的，但并不是什么APP都需要獲取手機(jī)號碼。”李鐵軍對記者說。

? ? ?而360互聯(lián)網(wǎng)安全中心發(fā)布的《2014年APP廣告插件安全研究報(bào)告》則顯示，在對當(dāng)前安卓平臺1000款熱門應(yīng)用中最流行的10款正規(guī)廠商廣告插件進(jìn)行全面安全性分析后，結(jié)果發(fā)現(xiàn)，10款A(yù)PP廣告插件均涉及收集用戶隱私信息、濫用隱私權(quán)限的情況，此外，還存在強(qiáng)制推送廣告、消耗手機(jī)流量、躲避安全軟件檢測等多種不良行為。

? ? ?如何解決開放性與安全性的矛盾，這或許是安卓產(chǎn)業(yè)鏈業(yè)者所需要思考的問題。

? ? ?商業(yè)牟利

? ? ?這些被泄露的用戶隱私，變現(xiàn)的渠道包括用戶隱私信息的出售，以及自身的廣告推廣。而獲得用戶隱私信息的買家，則可能用于垃圾短信、騷擾甚至詐騙電話等，或者為廣告公司牟利。

? ? ?騰訊安全專家陸兆華此前在接受《第一財(cái)經(jīng)日報(bào)》記者采訪時(shí)表示，由于收集地理位置、設(shè)備識別信息、本地手機(jī)號可面向固定而穩(wěn)定的手機(jī)用戶群精準(zhǔn)匹配與投放相應(yīng)的廣告，并進(jìn)行有效的用戶消費(fèi)行為分析，符合部分急功近利的廣告商的利益訴求，APP開發(fā)者也可以因此而獲取廣告分成，因而獲取這類信息成為某些不正規(guī)廣告商與APP開發(fā)者共同的核心利益。

? ? ?即使是未被病毒感染的手機(jī)，一個(gè)APP調(diào)用用戶權(quán)限越多，就越了解用戶信息，越接近ROM的價(jià)值，其商業(yè)價(jià)值空間就越大。

? ? ?而通過查看一款手機(jī)應(yīng)用調(diào)用了哪些權(quán)限，如果這些權(quán)限不是拿去出售而是自用，也可以大致了解該應(yīng)用未來可能涉及的一些商業(yè)模式。

? ? ?另一個(gè)現(xiàn)象則是，由于隱私獲取類病毒在2014年上半年快速發(fā)展，體現(xiàn)出會(huì)通過后臺上傳用戶短信、通訊錄、短信驗(yàn)證碼等強(qiáng)隱私信息，而這類強(qiáng)隱私竊取類病毒正越來越偏向于緊盯用戶錢包，轉(zhuǎn)發(fā)用戶短信，呈現(xiàn)與移動(dòng)支付病毒融合發(fā)展趨勢。

? ? ?2014年7月，一款名為“宅男Film”的手機(jī)支付病毒不僅可以攔截支付回執(zhí)短信，并上傳手機(jī)支付短信驗(yàn)證碼，會(huì)導(dǎo)致手機(jī)網(wǎng)購用戶銀行卡資金被盜。

? ? ?今年8月的典型病毒有“XX神奇(器)”、“韓銀大盜”等支付類病毒。其中，“XX神奇”可讀取用戶手機(jī)聯(lián)系人，并調(diào)用發(fā)短信權(quán)限，將內(nèi)容發(fā)送至手機(jī)通訊錄的聯(lián)系人手機(jī)中，該病毒感染手機(jī)用戶超過100萬。

? ? ?百度安全實(shí)驗(yàn)室方面人士則表示，由于涉及用戶隱私的應(yīng)用種類繁多，比如手機(jī)銀行就有數(shù)十家，如果對其中的某一種或者某幾種隱私信息進(jìn)行有針對性的竊取，相比于單純竊取短信、聯(lián)系人等行為隱蔽性更強(qiáng)，更難以被輕易檢測到。

? ? ?在種種行業(yè)亂象背后，一個(gè)好的現(xiàn)象是，“安卓系統(tǒng)本身越發(fā)重視安全問題，如5.0新系統(tǒng)中引入了多項(xiàng)安全增強(qiáng)措施，加密用戶手機(jī)信息，交給用戶更多管理權(quán)限，安卓問題在不斷完善。”李鐵軍對記者表示。

? ? ?而關(guān)于如何規(guī)范APP安全市場，近年來相關(guān)部門一直加大整頓的步伐。

? ? ?在2013年11月，工信部發(fā)布《關(guān)于加強(qiáng)移動(dòng)智能終端進(jìn)網(wǎng)管理的通知》，根據(jù)要求，手機(jī)廠商預(yù)裝軟件必須經(jīng)過工信部的審核，并要求手機(jī)廠商不得安裝未經(jīng)用戶同意，擅自收集、修改用戶信息的軟件，以及給用戶造成流量消耗、費(fèi)用損失、信息泄露等不良后果的軟件。

? ? ?到了今年，工業(yè)和信息化部聯(lián)合公安部、工商總局自2014年4月至9月在全國范圍開展打擊移動(dòng)互聯(lián)網(wǎng)惡意程序?qū)ｍ?xiàng)行動(dòng)。其中一項(xiàng)就包括三部門聯(lián)合印發(fā)了《打擊治理移動(dòng)互聯(lián)網(wǎng)惡意程序?qū)ｍ?xiàng)行動(dòng)工作方案》，督促應(yīng)用商店落實(shí)安全責(zé)任，開展應(yīng)用程序安全檢測，實(shí)施應(yīng)用程序開發(fā)者簽名試點(diǎn)，依法打擊相關(guān)網(wǎng)絡(luò)違法犯罪行為。

? ? ?事實(shí)上，包括應(yīng)用寶、360手機(jī)助手、豌豆莢、91等在內(nèi)的主流應(yīng)用分發(fā)渠道，一直通過多重安全技術(shù)手段等來防范病毒應(yīng)用。

? ? ?“盡管此前已經(jīng)從手機(jī)出廠方面對手機(jī)廠商和軟件預(yù)裝進(jìn)行約束，但手機(jī)從出廠到達(dá)消費(fèi)者的這一時(shí)間段處在監(jiān)管真空地帶，這類魚龍混雜的APP或?qū)⑥D(zhuǎn)向經(jīng)銷商、零售商等渠道完成刷機(jī)；此外，用戶在使用過程中，由于APP應(yīng)用渠道繁多混雜，用戶遇到侵權(quán)等問題的舉證成本高，”一位網(wǎng)絡(luò)安全方面人士對記者說，“APP相關(guān)治理問題不能靠單點(diǎn)突擊，還需多管齊下。”