手机应用商店曝隐患 安全消费短板待补齐

本篇文章2088字，读完约5分钟

智能手机变得越来越“智能”，各种各样的应用让它们成为“知识渊博的人”，但它们也变得越来越不安全。随着android系统及其应用市场的开源和开放，许多手机应用运营商通过技术手段“麻痹”用户，获取不良利润。

根据国家互联网应急中心(cncert)的最新数据，去年，中国移动互联网上的恶意代码数量达到16万，比上年增长25倍，是历史总数的几倍。根据不同的分类，手机病毒最大的威胁是恶意扣款，占39.8%，其次是流氓行为，占27.7%。恶意程序主要集中在安卓平台上，占所有恶意程序的82.5%。“去年，估计全国有5500万手机用户感染了恶意程序。”cncert运营部副主任王明华说。

移动应用商店首当其冲，最容易受到恶意软件的攻击。如今，应用商店的发展似乎是同质的，但事实上，资质和安全性是不均衡的。用户应选择大型标准化应用商店，并注意保护。

拦截支付短信通知信息

目前，中国的许多手机游戏都采用了方便的运营商话费计费方式。运营商的支付sdk本身提供了一个标准化的支付流程，一个清晰的支付信息确认界面，并在支付成功后通过短信通知用户以保护他们的利益。然而，一些游戏开发商利用安卓系统的开放性和用户对手机系统权限的无知，在游戏中恶意拦截运营商的支付通知信息，并在用户不知情的情况下恶意扣款或导致用户重复支付。

目前，移动支付的产业环境并不完善，所以一些在安卓应用中付费的游戏运营商使用sp来扣款是可以理解的。然而，随着安卓系统的开放性，改变底层数据来拦截扣费短信剥夺了用户的知情权，对工业环境造成了极大的破坏。

鉴于这种情况，应用商店有必要采取积极的预防措施，以确保用户的利益不受侵犯。腾讯科技就此事在wostore采访了中国联通(600050)的相关负责人，并表示在wostore下载的同一款应用中，当很多手机游戏破解拦截和扣款时，没有类似的情况，而wostore在这方面采取的安全措施主要是通过建立完善的短信权限机制来避免的。带有嵌入式计费点的安卓应用不允许接收、读取和写入短信，只能通过sdk发布计费短信。检查此类应用程序对系统的应用权限，并删除这些不必要的权限，可以有效避免应用程序篡改短信内容，导致任意扣款和恶意吸收费用的现象，这在其他第三方应用市场是很少见的。

“包装派对”非常猖獗

在目前的安卓应用商店，“包装派对”现象也很流行。“包装方”是指利用消费者追求流行应用的心理，普通人难以辨别正版盗版，应用市场安全监管能力不足，将恶意广告和病毒木马植入流行软件，使恶意广告和病毒木马能够顺利进入用户手机。

最著名的后门程序之一，android.troj.mdk(简称mdk)已经建立了一个“僵尸网络”，覆盖了数百万用户，可以随意远程控制用户的手机。在使用软件的过程中，用户总是会弹出一些不熟悉的软件，点击一下就安装好了，但是不可能删除。Mdk移动僵尸网络已经在7000多个流行游戏中植入了后门。

标准化的应用程序存储可以通过将一些规则与病毒扫描相结合来避免这些问题。例如，运营商的应用商店通过与开发商签署协议直接获得真正的应用。同时，在社区背景中有一个病毒扫描步骤。测试应用功能时，手机会安装相应的安全软件进行查杀，一旦发现病毒就会返回应用。

此外，规定具有嵌入式计费点的应用程序不能有嵌入式广告、自动更新、到其他网站的链接等。，限制了恶意代码二次植入的渠道，避免了使用安全软件打开用户手机的入口，引入不安全软件。

窃取用户隐私，拒绝做“肉鸡”

在不通知用户的前提下，通过云技术控制手机用户隐私的行为在安卓应用市场也频繁发生。为什么授权会暴露隐私？这是因为智能手机通常采用基于权限的安全管理机制。例如，安卓使用大约130个权限控制系统资源，包括打开手机的麦克风或摄像头，收集短信、电子邮件、账号、地址簿、通话记录和位置。

最近，dcci互联网数据中心对安卓市场的前1400个应用进行了安全评估。结果显示，66.9%的智能手机应用程序正在抓取用户隐私数据；通话记录、短信记录和通讯录是用户隐私信息泄露的三个高风险区域。

手机应用程序应该使用什么权限？目前没有行业法规，用户不了解；为了获得人气，第三方手机软件应用商店会自动将热门应用的新版本抓取到自己的商店，而不会严格检查它是否是官方版本。在这方面，运营商的应用商店在审计方面相对严格，软件开发人员申请超出正常需求的许可的要求将被拒绝。例如，许多游戏在申请查看wostore中的地址簿的权限时被拒绝，权限审核正在逐步标准化，希望在不久的将来建立一个标准化的权限机制。

随着应用数量的快速增长，手机游戏应用吸引了大量资金。移动互联网用户在使用智能和便利的同时，需要提高警惕，注意防范。

首先，使用大型正规安卓软件市场，比如运营商应用商店，避免从论坛和一些小型第三方应用商店下载流行应用。其次，在安装安卓手机游戏时，用户应该注意软件应用的权限。如果游戏软件应用了太多的权限，比如访问联系人、短信、通话记录和定位，他们应该保持警惕。第三，用户应该注意电话费和流量消耗是否异常高。如果出现异常情况，建议用户使用手机安全软件进行查杀。