近日,上海闵行警方在开展夏季打击整治“百日行动”暨“砺剑”专项行动中,通过溯源流氓软件的开发运营者,成功破获一起非法控制计算机信息系统案,该案中,犯罪嫌疑人以“霸屏”方式播放广告牟利。据悉,该起案件也是上海警方破获的本市首例非法控制手机系统案件。
8月3日,工业和信息化部网站发布关于2022年第二季度电信服务质量的通告。据通告,工信部组织检测57万款App,责令整改358款,公开通报121款。其中,涉及信息安全问题的投诉1.7万件,占比54.2%;涉及个人信息及权限问题的投诉1.38万件,占比44.0%;涉及网络安全问题的投诉568件,占比1.8%。通过行业自律,中国互联网协会联合应用商店、安全检测厂商对其中存在问题的54款不良手机应用进行了下架处理。
手机App违规事件频频发生,后台开发商们缺乏底线,个人信息保护是发展数字经济的底线,却在数字经济的发展中一再沦陷。用户应该如何保障自身的权益,政府和平台又该履行哪些职责呢?
“霸屏”播广告牟利20万
6月上旬,上海市民吴先生发现手机解锁后自动播放广告,且播放的广告无法跳过,杀毒重启后情况非但没有改善,广告播放频率反而越来越高,严重影响正常使用。吴先生维修手机时得知是手机信息系统被劫持,遂到莘庄派出所报案。
警方调查发现,吴先生的手机除了解锁时会自动弹出广告外,在切换后台时播放广告的软件图标也被隐藏,很明显是开发者不想让用户知道是哪款软件在“作恶”。通过对吴先生手机进行检测分析后,警方发现手机内安装的3款工具类软件含有监听、强制弹窗等恶意代码。
经侦查,一个通过在手机软件中内嵌强制弹窗代码,通过隐藏后台图标、软件进程的方式进行伪装,强制用户播放广告变现的犯罪团伙浮出水面。闵行公安网安支队会同莘庄派出所组成专案组,第一时间搜集固定了有关证据。
8月4日早上7时,警方在闵行、浦东两地同时展开抓捕,成功抓获犯罪嫌疑人牛某某、高某,并在现场搜出用于开发的电脑、开发平台的整改声明等证物。在牛某某的笔记本电脑中,技术人员还找到了实现监听、强制弹窗等功能的恶意代码。
经查,牛某某与高某原是某科技公司同事,2020年年中,两人商定由牛某某负责开发,高某负责营销,合伙通过承接广告投放赚外快。为了提高广告播放量,牛某某在开发的20余款工具类软件中,嵌入了自己开发的具有监听、强制弹窗功能的代码。为避免被用户发现删除,牛某某还添加了图标隐藏、进程隐藏功能,用户甚至无法发现弹窗广告来自哪个软件。高某则负责在各类平台推广这些软件,提高用户下载量,一旦软件被下载安装,暗藏的恶意代码就会启动,经过牛某某设置的6小时“潜伏期”后,便会根据代码自动弹窗。
据统计,上述软件已有20余万次安装,约20%的用户被强制弹窗播放广告,牛某某与高某共非法获利20余万元。
本案中犯罪嫌疑人牛某某、高某为通过应用市场审核,专门注册了互联网公司,先研发一款常规App通过应用市场的审核上架后,又相继开发了“雄狮扩音器大师”、“好用来电秀”、“最美充电动画”等3款手机软件并植入恶意代码,并替换掉之前上架的App,上传到应用平台,诱导用户下载,在不经用户授权同意的情况下,以强制弹窗的方式连续播放各类广告,导致用户无法正常使用手机。目前,涉案公司被依法取缔,相关软件已下架。
随着智能手机的不断普及,移动App呈现野蛮生长的态势,即便我国已经出台了很多法律法规,工信部几乎每隔两个月就会发布新的App违规处罚名单,但平台的管制还是有很多把不足。平台监管不力,用户安全意识不足,个人信息等数据在黑灰产的持续火热都是手机App、背后开发商及黑客肆无忌惮的原因。
平台审查屡屡失效
注意看上述案件的作案手法,该案的犯罪嫌疑人先上架常规的App,并通过了应用市场的审核,后续疑似通过版本升级等方式,将暗藏恶意代码的App替换上去,并诱导用户下载。很明显,这是App平台审查的失职。
上个月,小天才系列产品的应用平台也出现了问题,未经国家新闻出版署的审批,没有版权号的游戏赫然出现在服务儿童的产品上,并且其内容多数涉黄涉暴。App审查究竟有多难?为什么在App的把关方面屡屡出现问题?
此前,有用户发现在苹果应用商店中,不少套着马甲的APP,外表看上去人畜无害,打开后却发现在打色情擦边球。部分App被伪装成答题小游戏,进入APP后,从名字到UI设计都和B站高度相似,但App中充满各种黄色视频、美女约会信息等内容。
根据苹果官网的资料显示,App Store上发行App的一般流程主要为5步:选择构建版本、设定价格与销售范围、提交App以供审核、申请促销代码、查看App状态并解决审核问题。
一名从业者解释称,一款App正式登陆苹果应用商店前,需通过苹果的官方审核。但很多不良应用开发者,在提交审核的初版App中,并不会加入违规内容,而是等到应用上架后,再对App进行更新迭代。
深度科技研究院院长张孝荣表示,他认为苹果可能会首先要求开发人员按照一定要求提交软件,这些软件需开发者自行审查是否合规,并做出承诺。提交后苹果内部会通过机器进行技术排查,技术关注不到的部分需要人工排查,但人工审查效率较低。
另一位互联网大厂的技术人员认为,这或许是App Store审核机制的漏洞,通过“机器审核+人工抽检”的方式必定会有漏洞,可全靠人工效率又不够,所以只能不断修补和完善。
全国信息安全标准化技术委员会发布的《信息安全技术应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南(征求意见稿)》,为应用商店运营者审核管理App个人信息处理活动提供指导。面对日趋复杂的App违规方式,应用商店运营者应该怎么做?
应用商店的应对措施
首先,应用检测风险排查关口应前移。在工信部要求下,应用商店对上架App进行严格审核。调查发现,部分应用商店采用“技术+人工”形式进行安全检测,但内容风险经常被忽视。一些被检测结果为“绿色安全”的App,内藏诈骗、有偿色情服务等不良内容,甚至搜出涉黄涉赌App。
北京师范大学法学院教授、亚太网络法律研究中心主任刘德良分析,如果应用商店在没有主管机关要求下,主动提示用户App检测绿色安全,则可理解为应用商店对App的一种信誉信用担保。一旦发生违规,应用商店就要作为担保者承担相应责任。
中国互联网协会法工委副秘书长、中消协律师胡钢也表示,应用商店对App内容风险检测有待加强。应用商店、应用软件做好前期风险排查防控,把关口前移,显然比后期治理效果更好。
其次,应该畅通评价、举报和投诉渠道。武汉大学法学院、网络治理研究院讲师王德夫认为,应用商店监管面临价值和方法创新需求。价值尺度上,海量的网络内容审核要求庞大的资源投入,应用商店审查和自查责任的设置,应体现发展与安全、效率与秩序的平衡。具体方法上,应用商店审查和自查活动应实现精确识别和有效应对,同时不能过度增加相关主体经营成本,致使应用商店对App违规审核面临困境。
中国政法大学传播法研究中心副主任朱巍指出,应用商店对于App内容合规可能无法进行预先判断,应该做好的是畅通评价、举报和投诉渠道。
第三,应该明确应用商店监管权责。胡钢表示,应用商店对App进行合规管理,要责权相符,应用商店内App违规,应用商店要承担多大责任,从法律制度方面需要明确化、清晰化。
从利益捆绑角度来说,应用商店内的软件被更多地下载、付费,软件开发商、应用商店都能获取利益。正因为利益驱动,可能使某些应用商店存有审核灰色地带,甚至纵容之嫌,需牢牢“扭”住平台的龙头作用。
在王德夫看来,应用商店应对网络安全事件高发、影响范围广泛和后果严重领域的App应设计专门的管理和安全检测、报告制度,提升自身市场竞争力,在发生应用程序网络安全或者侵权事件时也能减轻自身法律责任,这也是体现应用商店经营水平、商业信誉和风险规避能力的重要因素。
最后,可以考虑创制信用积分、风险名单等内部管理机制。中国信息通信研究院互联网法律研究中心高级研究员杨婕认为,必须建立内部管理机制,如app开发运营者信用积分、风险App名单、平台信息共享及签名验证等。要完善报送和投诉机制,及时配合监督管理部门开展问题App上报、响应和处置工作。
中国互联网协会法工委副秘书长、中消协律师胡钢提出两点建议:首先,行业协会有必要建立行业治理规范,包括行业性的管理标准、自律规范。其次,规范制定过程中也有赖于相关监管部门及时的指导,使工作既有针对性,也有良好的监管效果。
与此同时,用户又该如何保障自身安全?
第一,注意观察安装页面
在安装软件的时候要注意观察安装页面是否正规,下载应用要通过官方平台或者是大型应用市场下载。对于带有绿色版、汉化版、破解版等样式的应用要谨慎下载。
第二,注意观察安装过程
安装官方App的过程中,一般会有介绍和引导页。但是山寨App安装或会跳出一些购物网站或山寨隐含的登录界面。一定要小心,注意筛查,避免安装后误登录平台。
第三,注意软件授权
安装的软件会提示相机授权、发送短信授权和位置授权等,谨慎开启授权,谨防个人信息泄漏。
第四,可安装安全防护应用
可以给手机安装一个具有扫描手机病毒和手机防护功能的App,可以定期对手机进行安全扫描,找出手机里潜藏的隐患。
最后,一定要通过正规渠道下载。
不良应用更新迭代速度非常快,部分平台审查不及时,就可能被其钻了空子
结语
数据安全已然成为安全产业新的增长点,企业,监管部门对于数据安全的重视程度也越来越高。但在个信保护和App治理方面,还存在着很多不足,并且,随着移动应用使用率的大幅增长,其被攻击的风险也在增加,据Gartner的一项研究表示,“75%的移动应用程序将无法通过基本的安全测试”。
随着对App的监察力度日益提升,应用商店运营者不仅要优化对App内容审查的方式,责任意识也需要进一步提升。另一方面,APP运营者在不触碰监管底线的同时,对安全风险也要足够重视。随着移动设备的进一步普及和用户安全意识的提升,App安全或许将成为安全行业的下一个增长点。
详情请关注安在新媒体—人物、热点、互动、传播,有内涵的信息安全新媒体。
