AD
本刊记者/杨阳
在开发APP的过程中,对于一些普遍功能模块,开发者往往会直接使用相应的第三方插件,如果这时候混入了一些恶意插件,又没有相应的安全监测,开发者与运营者无形中就成了恶意插件的‘替罪羊’
。
如果用户因使用某款APP被窃取了流量或者泄露了个人隐私,应该向谁问责?一般情况下,相信大多数用户第一个想到的都会是这款软件的开发者。
不过,业内人士看来,有时候APP的开发者也是有苦难言,甚至连他们自己都不知道问题究竟出在哪里。
第三方插件
“太坑人了!在手机上装了款《植物大战僵尸》的游戏,玩的时候没注意,结果今天上网查话费才知道这几天被扣了180元的短信费。”早在半个月前,武昌区的张女士向记者抱怨,自从在手机上安装了这款游戏后,在毫无察觉的情况下便被屡次恶意扣费,经过查询才知道是手机订制了多条增值业务短信。
张女士所遭遇的正是所谓的“隐形吸费”。即某些SP公司利用扣费代码在幕后作祟,而他们往往给知名游戏添加吸费插件后,将其包装成山寨版推向应用市场牟利。这背后的过程,却出乎意料的简单。
“你花2.5万从我这买个计费平台就可以了,我们会在服务端免费给你做一个扣费插件,你拿回去添加到游戏或者应用后,再把它放在第三方应用市场上去做推广,只要有用户下载使用,这个插件就会暗中扣费。”不久前,记者以开发者的身份联系到武汉某家SP运营公司的负责人张军(化名),他表示这个过程非常简单,没什么技术难度。“SP扣费服务代码和通道都已经在插件中留好了,开发者拿回去添加到APP里面就行了。维护成本也非常低,有一个兼职的Java和Andriod工程师就可以处理了。”
这些添加了吸费插件的APP,很难被用户察觉。在张军给出的一份资料中,记者看到,含有“g+精彩无限”等SP扣费渠道的APP,下载量和扣费率非常之高。其中含有某项SP吸费通道的APP总下载量为5769,而扣费成功为5047,成功率高达87%。
而且此类插件的查杀不易,使得内藏扣费插件的APP在安卓平台上肆意泛滥。“如果被杀毒软件查出来,给这个插件换个签名就能躲开。”据他介绍,添加了吸费插件的APP在后台运行,用户很难发现,而且很轻松就可以避开手机安全软件的查杀。
他称,SP运营公司自己有一个SP服务的代码池,在制作插件的时候会从代码池里拿出多个代码添加到其中。比如要将吸费控制在20元左右/次,我们就会在里面添加3元、6元、8元这样的多个小额通道,这样单次吸费会比较低,不容易被用户发现和投诉,风险小了很多。
他补充道,虽然运营商针对投诉率过高的SP通道会采取封禁措施,但SP们却有办法应对。 毕竟运营商不是天天在严管,另外做这种暗扣的非正向推广,只要不是扣得很过分,一般控制在10~12元/月左右,是没多少用户来投诉的。即使因为投诉被封禁了,我们这边换个通道就可以。
他透露,除了添加多通道的技术手段外,他们还可以在运营商方面解决投诉率过高的问题,可以避免通道被封禁,但当记者问到具体细节时,他表示是内部关系不便透露。
产业链成形
据一位从事SP行业多年的业内人士向记者透露,传统的SP公司转行做暗扣APP,已经是司空见惯的事情。“现在传统的SP行业确实不景气,圈子里有很多规模很大的SP公司转行在做吸费APP,而且现在已经形成了一条完整的产业链条。”
北京江海沐晖科技有限公司变是一家专门开发APP软件的公司。此前,该公司创始人王磊就对媒体坦言,有时候APP的开发者也是有苦难言,甚至连他们自己都不知道问题究竟出在哪里。
“在开发APP的过程中,对于一些普遍功能模块,开发者往往会直接使用相应的第三方插件,如果这时候混入了一些恶意插件,又没有相应的安全监测,开发者与运营者无形中就成了恶意插件的‘替罪羊’。”王磊表示。
他补充道,除了上述APP“拼装”带来的安全风险外,当前APP市场中还存在着大量的“二次打包”现象,即一些个人或公司会对比较热门的APP进行“改装”,加入一些广告推送甚至窃取用户隐私的恶意程序,以此来为自身牟利。
俗话说,哪里有市场哪里就有江湖。据武汉某家从事CP业务公司的负责人孙刚(化名)介绍,用户从下载安装APP到被扣费,背后有着一条从SP公司——开发者——第三方应用市场的极为庞大的利益条。
目前有很多安卓应用的开发者和SP公司,纷纷盯上了技术难度低、堪称暴利的暗扣费APP。“有些SP公司会盗版和仿冒一些下载量比较高的游戏和应用,如将《捕鱼达人》等游戏中内置扣费插件二次打包后,在第三方市场推广。而圈子里也有些公司因为代码太多,做不过来,便会找一些APP开发商或者工作室,将代码提供给他们后从中赚取差价。”
“我们负责提供SP的扣费代码和渠道,开发者负责添加插件和推广。当用户通过SP渠道产生信息费后,添加插件的开发者便能拿到信息费的20%。比如这次产生的信息费是2元,那开发者便能拿到4角,这是阅读和视频SP通道的分成,游戏的相对高一些,能到28%左右。其实我们也就赚取中间差价,拿个信息费的20%左右吧,真正利润的大头不在我们这。”孙刚表示,他们会和一些APP的原创开发者合作,联手分成利润。不仅如此,他所在的SP业务公司自己也在做吸费APP。
“我们自己会选择一些下载量比较大的知名游戏,在其中添加吸费插件后以汉化版、破解版等名义推向第三方市场。而推广费用目前的行情是1.5元/次,像在应用市场中提交吸费APP后,每当用户下载一次,我们就要付给第三方市场1.5元。”此外,据孙刚称,他所在的SP公司已经将应用市场、厂商等下游市场的渠道全部铺到。
加固技术隐忧
第三方插件的无孔不入显然给APP开发者敲响了警钟。
此前,有业内专家呼吁,对于APP“拼装”问题,开发者有义务自行开发或选择组合不含恶意代码的插件;运营者则需要建立完善的管理体系,包括开发方的资质审核、诚信记录,进行安全检测并受理投诉、下架追偿等。
今年4月,通付盾CEO汪德嘉就对媒体表示,目前市场上提供的大部分安全加固方案,都是这种对待加固的应用进行加壳、加密操作,但这种方式只是移动安全的第一步,事实上也是最脆弱的一步,这种安全加固方式只能对抗静态分析和简单的逆向工程。
“这也要求我们不断提升安全加固的技术水平,同时配合动态签名的方式,实时检查程序的完整性,以杜绝恶意程序的动态注入。”汪德嘉认为。
而就在安全加固技术进一步得到重视的同时,恶意程序加固的问题也开始展露端倪。据相关媒体报道, 国家互联网应急中心何能强博士在此前的《2014中国网络安全论坛》上公开表示,2014年监测到的互联网上加固的安全应用程序超过7万个,恶意程序有7000多个。
据何能强介绍,2012年上半年,国家互联网应急中心曾接到过的一个关于仿冒微信客户端的举报事件,该恶意程序就是经过加固的。
“从该案例中不难看出,应用程序的加固本意是好的,是防止应用程序被篡改和攻击,但是这种正当的技术已经被黑客滥用了,他们把这些加固技术用到恶意程序里面,来对抗安全检测。”何能强认为。何能强表示:“以后主管部门应该对提供加固的公司进行严格管理,禁止这些公司向恶意程序公司提供加固服务。APP的正规开发者与恶意开发者之间永远都会存在交锋,想要解决这一问题,最好的出路仍是要不断寻求技术上的超越与提升。”
