博客首页|TW首页| 同事录|业界社区

可心的窝

我的 Blog博客

应用市场调查(一):病毒不设防

编者按:从9月起,针对APP行业现状,TechWeb连续报道了《关不掉的APP》、《收不到10086短信 提防恶意APP扣费陷阱》、《窃取隐私的APP》等多篇文章,引发了广大用户对APP应用安全的担忧,扣费,偷跑流量,窃取短信、通讯录、地理位置等隐私……某些APP正在想方设法通过不正当途径牟利。

毫无疑问,这些恶意APP开发者理应承担起责任。但深究下去,背后恶劣的大环境才是问题的关键,正是它们的纵容给这些APP留下了生存的土壤。

这其中,应用市场的问题首当其冲。

TechWeb调查发现,由于谷歌Android Market的不稳定性,国内95%的用户都会选择从国内的第三方应用市场下载APP程序。但在一些业内人士眼中,当下国内的第三方应用市场已经变成了鱼龙混杂,流氓、病毒软件丛生之地。关于这些市场的传言让我们觉得不可思议。

真相如何?第三方应用市场是否是安全的,用户能否放心下载?TechWeb将在近期对第三方应用市场做系列调查,本期为第一期。

本期主题:病毒不设防

【TechWeb报道】在TechWeb之前的报道中,我们报道了大量可疑的APP。这些应用让我们对消费者下载使用后的安全性充满担忧,扣费,偷跑流量,窃取短信、通讯录、地理位置等隐私,一位网友甚至在TechWeb微博上留言:“看了TechWeb的报道,我觉得哥不是在下游戏,简直是在下炸弹。”

危害显而易见。但是如何才是根治问题的关键呢?

“整顿恶意APP只是治标不治本,根本的问题还是应该加强第三方应用市场的管理。苹果的应用市场为什么没有病毒,因为它有一套行之有效的监管措施,想歪门邪道的人拿它根本没辙。在国家法规没有出台之前,只有第三方应用市场切实负起管理的职责,加大打击力度,提高违规者的风险才是杜绝类似行为的好办法。”业内人士YUKII对TechWeb说。

那么,国内的第三方应用市场到底有多乱呢?YUKII和TechWeb一起展开了调查,首先,我们选择了之前反复报道的存有安全隐患的APP进行测试。

(注:本测试只为检测各第三方应用市场对于APP的审核监管能力,为保证广大用户的安全,在通过审核上架之后该开发者迅速将其下架,没有对任何消费者造成伤害)

软件藏天机,应用市场竟不知?

为检测国内各大Android应用市场的安全性,YUKII开发了一款名为“网页导航”的应用对国内主要的第三方软件市场进行了测试:

1.该款软件详细描述如下:本软件记录了常用的网址,使你不用输入网址,直接点击就能进入常用的网站,免去了你输入网址的麻烦。特色是界面简洁、一目了然;启动快速,一点马上能打开,方便频繁打开和关闭,不用等待。

2.“网页导航”存在的问题:可以实现在打开应用时自由添加书签,同其他同类软件一样,但其隐藏了在打开应用时删除给定的书签功能!使用中发现,这款应用符合了其介绍中的那些功能,帮助用户免去了你输入网址的麻烦,启动也非常迅速,我们看不到的是某些特定网站页面即使存为书签也无法找到,早已被系统后台自动删除。

3.将“网页导航”提交至应用汇、机锋、安智、安卓这四家国内知名Android市场,除安智没有通过外,其他均通过了审批,并且很快上架(注:为保证广大用户的安全,在上架后该开发者迅速将其下架),具体审批情况如下:

测试结果显示,这位开发者上传的四家Android市场中应用汇、安卓、机锋均在较短的时间内审核通过,对该软件内藏的功能毫不知情,除了没有通过审批的安智市场,都没有提出任何异议。

“偷跑流量、无法退出!” 应用市场均无视

在我们之前的报道《关不掉的APP》中,我们曾经特别提到了壁纸类应用,这类应用大多存在着后台偷跑流量等问题。

TechWeb联系上一位Android应用开发爱好者“爱死老乔”(网名),他开发了一款名为“Hot壁纸”,他将这款软件上传至四家应用市场,最后全部通过审批。

1.APP存在的安全隐患:在后台偷跑流量,常用的Android软件可以通过点击两次返回键进行安全退出,但该款软件却无法正常关闭,还有,在用户进行开机、切换网络环境、开关飞行模式等情况时该软件会自动启动,即使用户已经结束所有程序进程后依旧反复出现上述情况,这导致了用户在一定程度上无法控制该软件,严重者更会偷跑更多流量产生高额话费。

2.将“Hot壁纸”提交至应用汇、机锋、安智、安卓这四家国内知名Android市场,且均通过了审批,具体审批情况如下:

机锋市场中的“Hot壁纸”

上架应用汇

豌豆荚中可以搜索得到“Hot壁纸”

“窃取用户通讯录” Android市场没人管!

TechWeb联系上了一位不愿透露姓名的Android应用开发者,他利用闲暇时间开发了一款名为“私人通讯录”的通讯录备份器,而它则会上传用户的全部通讯录名单,并未告知用户。开发者将其上传至国内各大Android应用市场,结果令我们大失所望:通过了所有应用市场的审核。

这款软件简洁通用、体积小巧、功能强大,能够在极短的时间内扫描用户手机通讯录,并将其进行备份保存至存储卡中。

APP存在的安全隐患:“使用该软件进行通讯录备份的用户,都会在有网络的情况下反馈回一封邮件,但最令我们惊奇的是,该邮件赫然列出了该用户的全部通讯录名单!”这并不是电影中的窃听画面,这是我们身边真真实实发生的事情,但大家不用担心,在成功收到第一封反馈邮件后,这位开发者便及时下架了这款应用。

与扣费不同,隐私被上传,由于数据较小,不需要花很多时间或流量,很难被用户感知。

根据中国互联网协会的定义,窃取隐私是指用户在不知情或未授权的情况下,获取涉及用户个人信息的,据有隐私窃取属性,可能的行为包括:获取短信、彩信、邮件、通讯录、通话记录、通话内容、地理位置、本机手机号码、本机已安全软件信息、运行进程、各类账号信息、各类密码、用户文件内容、记录分析用户行为、获取用户网络交易信息、收藏夹信息、用户联网信息、用户下载信息,利用移动终端麦克风、摄像头等设备获取音频、视频信息等。

他将“私人通讯录”提交至应用汇、机锋、安智、安卓这四家第三方Android应用市场,在1天之内均通过了审批,具体审批情况如下:

应用市场应加强审核力度 避免法律风险

如果用户从第三方市场下载了扣费、窃取隐私、偷跑流量等问题的APP,该由谁来承担责任?

TechWeb采访了上海大邦律师事务所常识产权律师游云庭,他表示,如果有扣费、窃取隐私、偷跑流量、色情暴力等问题给用户造成损失的,开发者肯定需要承担法律责任。

就应用市场的责任承担而言,应当按照实际情况加以判断。如果应用市场是免费的,且不对上传的应用进行任何审核、编辑、推荐,且事先告知了用户,这种情况下,应用市场无需承担法律责任。反之,如果应用市场有收费或推荐的行为,需要承担间接侵权的责任。

目前,就应用市场内APP的版权问题,可根据应用市场的具体性质,按照《著作权法》及《信息网络传播权保护条例》来处理相关纠纷,这部分的法律基本完善。但除去版权领域,应用的安全性(如偷跑流量、扣费等)问题,对于应用市场的法律定位问题还处于空白状态,目前只能按照法律的公平原则,并参照版权法领域的法律规定来处理类似纠纷。

游云庭律师认为:应用市场在移动互联网中的作用至关重要,其定位类似于传统互联网中的搜索引擎或大型门户网站,是用户进入移动互联网的重要入口。应用市场在发展时,应注重版权保护和提高服务意识,比如,应用市场内不应出现破解版的软件或明显的恶意软件。这需要应用市场的开发、运营者平时增加审查力度,才能在发展中避免法律风险。

苹果App Store:向110种“APP申请”说NO

最新数据显示,苹果App Store应用程序数量已超过40万。苹果对APP具有严格的审核程序,因此苹果审核周期较长,平均2-4周,最多达6-7周。据苹果App?Store程序提交审核指南显示,其审核的内容包括:

跟开发者宣传不符的程序将会被拒绝;

无应用文档或隐藏功能与描述不符的程序将会被拒绝;

与App Store已有程序重复的程序可能会被拒绝;欺骗或有虚假功能,没有明确标明的程序将会被拒绝;

向App Store上传大量相似版本程序的开发者将会从iOS开发者项目中除名、在采集、传送或使用位置数据之前未通知并获得用户同意的程序将会被拒绝;

未获得用户初次同意便发送推送通知的程序将会被拒绝;

如果程序能够传送病毒、文件、计算机代码或程序,并且对APN服务的正常运行造成损害或中断,该程序将会被拒绝;

企图进行反射查找、跟踪、关联、挖掘、获得或利用玩家ID、化名或通过游戏中心获得的其他信息将会从iOS 开发程序员项目中除名;

人工增加访问次数或者广告点击量的应用程序将会被拒绝……

目录22项,条款达110项。

相比苹果App Store,谷歌Android Market、国内的第三方应用商店的审核只能称作宽松。年初,媒体曝光Android手机应用吸费门,引发业内关注,当时应用市场纷纷表示,加强审核力度。安智网相关负责人表示,对于开发者提交的软件,上架前都会进行检测。机锋网相关负责人也表示,设立了专门的检测机制,包括技术审核和人工审核。目前来看,应用市场审核力度仍然很弱,亟待加强。

在接受TechWeb采访时,一位Android开发者充满忧虑地表示,“如果不加强监管,APP很可能重蹈SP覆辙,当受伤的用户都选择离开,整个市场被毁,再说后悔就晚了。”(小纯 杨森林)

Tags: , ,

浏览数: 次 星期日, 10月 30th, 2011 未分类
上一篇:窃取隐私的APP

还没有评论。

发表评论