手機安裝應用程式遭遇“安一贈一”甚至“安一贈多”的捆綁安裝,這讓很多手機用戶煩不勝煩。今年二季度,包括百度手機助手、天翼空間、91門戶、小米應用商店、魅族手機應用商店等在內的14家應用商店的32款軟體,都因強行捆綁推廣其他無關應用軟體、惡意“吸費”,以及未經用戶同意,收集、使用用戶個人資訊等原因被工信部點名批評。
本月,工信部發佈2016年二季度檢測發現問題的應用軟體名單,包括百度手機助手、天翼空間、91門戶、小米應用商店、魅族手機應用商店等在內的14家應用商店的32款APP軟體,因強行捆綁推廣其他無關應用軟體、惡意“吸費”,以及未經用戶同意,收集、使用用戶個人資訊等原因被點名批評。多名用戶表示,安裝應用程式經常會遇到“安一贈一”甚至“安一贈多”的捆綁安裝,這讓用戶煩不勝煩。安全專家提示,這些捆綁軟體多有病毒,會對用戶的系統安全造成隱患。用戶應當選擇正規途徑安裝軟體,且安卓用戶手機上最好安裝一些能夠及時更新病毒庫的殺毒軟體、軟體管家等。
多名用戶遭遇捆綁下載
用戶樊先生經常玩一款微信遊戲保衛蘿蔔。一天,該軟體提示需要“升級”,樊先生根據指引進行升級安裝。在升級過程中,有項“省流量安裝”的選項,樊先生便進行勾選了。誰知,系統自動幫其下載了騰訊的應用寶軟體,此後,樊先生經常收到應用寶的各種推送通知,“各種推送,煩死了”。
學生小劉喜歡更換各種圖片當做手機屏保和壁紙,於是她下載了多個鎖屏和桌面主題軟體。她發現,這些軟體中許多都會彈出廣告窗,只要自己一不小心點擊到廣告窗的位置,就會直接“被下載”,甚至都沒有問詢下載的界面。在下載過程中,小劉想取消都無法取消,她感到“很苦惱”。
市民陳女士一次在網際網路上搜索文件,當點擊進入後系統提示必須安裝相應格式修改軟體才能打開,陳女士隨即點擊下載。然而下載後她發現,除了格式修改器,系統還自動“贈送”了一個百度手機助手的軟體。陳女士並沒有刪除百度手機助手,幾天后她發現,手機又自動下載了百度瀏覽器等同品牌軟體,並且該軟體被設置為自動更新,每過幾天,手機界面上就會多出一些諸如“最強IQ題”、“桌球”、“壁紙下載”等不相關的軟體,讓她煩不勝煩。
遊戲愛好者趙先生下載了一款名為“雷神戰機(口袋風暴)”的遊戲,然而沒多久,他發現自己的話費被意外扣了好多。去營業廳查詢才發現,是一些付費短信“吞”掉了話費,而這些付費短信正是雷神戰機這款遊戲私自發送的。
捆綁下載可能被惡意扣費
根據行為屬性,工信部將移動網際網路惡意程式分為八類:惡意扣費、隱私竊取、遠端控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐及流氓行為。本月,工信部發佈2016年二季度檢測發現問題的應用軟體名單,包括百度手機助手、天翼空間、91門戶、小米應用商店、魅族手機應用商店等在內的14家應用商店的32款軟體,因強行捆綁推廣其他無關應用軟體、惡意“吸費”,以及未經用戶同意,收集、使用用戶個人資訊等原因被點名批評。其中,百度手機助手中有五款軟體因強行捆綁推廣其他無關應用軟體被工信部定為“不良軟體”。
捆綁軟體不僅佔用用戶手機空間、耗費流量,更關鍵的是其中經常會攜帶一些病毒,危害手機安全。根據西安交通大學資訊安全法律研究中心發佈的《軟體捆綁安裝法律規制研究報告》,我國目前主要的軟體捆綁濫用行為包括欺騙或誘導式的軟體捆綁安裝行為、未作任何提示的軟體捆綁安裝行為兩類。而更讓人擔心的是,軟體捆綁安裝是目前病毒、蠕蟲、ROOTKIT、木馬、僵屍軟體等惡意軟體傳播的重要途徑,這是在軟體提供商進行軟體捆綁安裝時必須引起重視的安全風險。
安全牛總編李少鵬對北京青年報記者介紹,一旦手機通過捆綁的惡意軟體中了上述病毒,惡意軟體就會自動監控用戶的手機、盜取用戶賬戶,甚至盜取銀行裏的錢,帶來極大的安全風險。
捆綁軟體半年獲利上百萬
事實上,工信部早已發佈的20號令就明確規定:“網際網路資訊服務終端軟體捆綁其他軟體的,應當以顯著的方式提示用戶,由用戶主動選擇是否安裝或者使用,並提供獨立的卸載或者關閉方式,不得附加不合理條件。”但直到現在,捆綁軟體依然猖獗。
據了解,在預裝軟體的背後,是一些軟體公司為了增加用戶量的不法行為。目前,有一些專門的“軟體推廣聯盟”來進行軟體捆綁的活動,推廣聯盟與軟體開發商合作,為每次軟體下載收費。根據某推廣聯盟的報價,軟體被有效安裝一次,推廣人員可獲得0.5-2元不等的報酬,因此這些推廣聯盟便以捆綁軟體或自動更新等方式,最大化擴展裝機量。
據某網際網路安全機構上半年的統計,一款作為“流氓軟體”的截圖軟體被捆綁了五款軟體,受影響的用戶數量116萬。其中一款軟體每有效安裝一次報價為0.7元,照此計算,該截圖軟體總共可從軟體廠商處獲利81.2萬,捆綁的五款軟體半年獲利或達上百萬元。
除了推廣聯盟的賺錢需要,一些軟體公司也會為了推廣公司的其他軟體而捆綁下載,比如百度係的多款軟體。圖示製作/謝爽
新聞記憶體
軟體是如何被捆綁的?
為何本來只想要下載一個軟體,卻被系統自動識別為兩個呢?360安全專家楊卿表示,捆綁軟體“就是對原始APP進行修改,裝APP的時候會順帶裝上捆綁的木馬或其他應用,算侵犯著作權吧”。他表示,這種現象並非最近剛興起的,多年前就已經存在了。
安全牛總編李少鵬告訴北青報記者,捆綁軟體是利用了一種技術,“打包技術或叫加殼技術,可以把兩個程式放在一起打包,讓安裝器認為是一個軟體。”那麼應用商店可以識別出來這種打包軟體嗎?李少鵬稱,事實上正規的應用商店是擁有相應檢測技術的,是可以識別的。但是用戶如果使用瀏覽器等渠道下載,而同時手機上又沒有安裝安全軟體時,就不好識別了。
至於在自動更新等狀況下下載捆綁軟體,李少鵬表示,這種“自動更新”是一種偽裝的自動更新,事實上捆綁軟體就在原先的軟體中嵌套著,一旦進行自動更新,就會自動下載捆綁軟體。而“點擊廣告就可以直接下載”,則是利用了系統漏洞,“一定是系統有漏洞,否則的話是不可能的。”
不過,上述漏洞和捆綁下載多發於安卓系統中。雖然不能絕對地説蘋果系統比安卓系統更加安全,但是從目前發生的許多案例來看,安卓系統用戶受到侵害的頻率相較于蘋果系統用戶更高。
用戶如何規避“被捆綁”?
360安全專家楊卿稱,捆綁軟體屬於“流氓軟體”,這種行為很難被監管。若想防範捆綁軟體,用戶自己要留意。李少鵬介紹,第一要從正規的應用商店下載,不要從網際網路外部連結或其他小應用商店下載應用;第二,手機上最好安裝一些能夠及時更新病毒庫的殺毒軟體、軟體管家等,它們可以有效阻攔、清理病毒等。本組文/本報記者 溫婧
[責任編輯:葛新燕]
京ICP證130248號京公網安備110102003391