林迪

在網(wǎng)上頻繁出現(xiàn)的未來(lái)智能化生活視頻中常有這樣的想象：下班路上，你拿出手機(jī)，選擇相應(yīng)的App點(diǎn)開。這時(shí)，家里的電飯煲在遠(yuǎn)程控制下已經(jīng)開始自動(dòng)煮飯，電熱水器開始工作燒好熱水，空調(diào)自動(dòng)打開為你提前準(zhǔn)備一個(gè)舒適的環(huán)境。你低頭看看手機(jī)，孩子手腕上的智能手表通過(guò)你的手機(jī)應(yīng)用告訴你，她已在回家路上，5分鐘后你可以在街角碰到她。你點(diǎn)開另一個(gè)應(yīng)用，通過(guò)手機(jī)下訂單，半小時(shí)后，晚飯就會(huì)送上門來(lái)，在智能化手機(jī)的安排之下一切都很完美！

這一幕是當(dāng)下不少智能化產(chǎn)品為用戶提供的完美愿景，一部智能化的手機(jī)如今已經(jīng)涵蓋了你生活的方方面面。然而，良莠不齊的軟件開發(fā)商卻在制造大量“偽智能化”的產(chǎn)品，在控制人們手機(jī)的同時(shí)卻沒(méi)有保護(hù)手機(jī)的網(wǎng)絡(luò)信息安全。在各種宣稱具有高科技含量的智能手機(jī)面前，人們依然顯得無(wú)所適從。

預(yù)裝軟件背后的產(chǎn)業(yè)鏈

2015年7月，因手機(jī)預(yù)裝軟件過(guò)多，且大量無(wú)法刪除，上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)一紙?jiān)V狀，將三星和歐珀兩家智能手機(jī)公司告上法庭。上海消保委稱，根據(jù)比較試驗(yàn)結(jié)果，歐珀X9007和三星SM-N9008S手機(jī)不可卸載軟件數(shù)量位列前兩位。歐珀手機(jī)總共預(yù)裝了71個(gè)軟件，其中不可卸載軟件數(shù)量達(dá)47個(gè)，是所有受試手機(jī)中最多的。三星手機(jī)為44個(gè)，且所有預(yù)裝軟件均不可卸載。

但截至記者發(fā)稿時(shí)為止，這個(gè)案子尚沒(méi)有下文。

消費(fèi)者對(duì)預(yù)裝軟件“天天喊打”，為何手機(jī)廠家視而不見？關(guān)鍵是背后的利益。手機(jī)預(yù)裝軟件已經(jīng)形成一條完整產(chǎn)業(yè)鏈條。滬上某手機(jī)代工廠負(fù)責(zé)人告訴記者，目前多數(shù)手機(jī)出廠預(yù)裝軟件一般在10至30款不等，半數(shù)是推廣應(yīng)用軟件。這些軟件與系統(tǒng)運(yùn)行無(wú)關(guān)，卻占內(nèi)存，一般開機(jī)后會(huì)自行啟動(dòng)，占據(jù)內(nèi)存并使用流量。預(yù)裝一款不可卸載軟件，一般收費(fèi)在5元左右，如果是游戲軟件可能更高。對(duì)一家年出貨量2000萬(wàn)臺(tái)的一線手機(jī)品牌來(lái)說(shuō)，預(yù)裝一款軟件的收入就高達(dá)1億元。當(dāng)前，國(guó)內(nèi)手機(jī)廠商大打價(jià)格戰(zhàn)，背后很大一部分就是靠預(yù)裝軟件來(lái)抵消成本。

更讓人覺(jué)得不可思議的是，許多手機(jī)商家連老人機(jī)也不放過(guò)。

2015年端午節(jié)，張女士給自己的老母親買了一部手機(jī)。老人家對(duì)科技產(chǎn)品不甚了解，要買手機(jī)也就是接打電話，連短信都不會(huì)發(fā)，為此張女士專門挑了一部老人機(jī)，高音量、大按鍵，價(jià)格也便宜。但是沒(méi)想到，才過(guò)一個(gè)多月，電話就因欠費(fèi)而停機(jī)，預(yù)存的100元話費(fèi)全部用完。去營(yíng)業(yè)廳一查，發(fā)現(xiàn)老人從來(lái)沒(méi)用過(guò)的上網(wǎng)流量費(fèi)占去了大頭，通話費(fèi)用才十幾塊錢。

原來(lái)張女士給母親買的手機(jī)里預(yù)裝了軟件，這些軟件會(huì)自動(dòng)啟動(dòng)，而且無(wú)法卸載。也就是這些頑固的預(yù)裝軟件，在老人不知情的情況下偷偷地跑著流量，吸走了老人手機(jī)里的話費(fèi)。一位黃姓店主告訴記者，這里的老人機(jī)每天都能賣出十幾臺(tái)，多是外地人返鄉(xiāng)帶給家里的老人使用。不過(guò)對(duì)于老人機(jī)內(nèi)是否有預(yù)裝流量軟件，該店主則不愿多談。

“每一款手機(jī)都必須在工信部備案，通過(guò)檢測(cè)，否則無(wú)法上市銷售。”生產(chǎn)老人機(jī)的一電子公司的負(fù)責(zé)人說(shuō)。工信部對(duì)預(yù)裝軟件并無(wú)限制，但預(yù)裝軟件如果存在惡意偷跑流量和扣費(fèi)的情況肯定無(wú)法通過(guò)檢測(cè)。但是，很多老人機(jī)都是“黑手機(jī)”，沒(méi)有經(jīng)過(guò)工信部的備案和檢測(cè)，對(duì)其監(jiān)管缺失。

以前手機(jī)應(yīng)用程序的管理分發(fā)，主要以行業(yè)自律為主。2011年中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)聯(lián)合企業(yè)簽署《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》，2014年組織互聯(lián)網(wǎng)企業(yè)簽署《中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)移動(dòng)智能終端應(yīng)用傳播淫穢色情信息自律公約》。2015年11月，工信部出面征求意見，標(biāo)志著行政主管部門正逐步加強(qiáng)監(jiān)管。征求意見稿規(guī)定，基本功能軟件是指保障硬件和操作系統(tǒng)正常運(yùn)行的移動(dòng)智能終端應(yīng)用軟件。終端中預(yù)置的實(shí)現(xiàn)同一功能的基本功能軟件，最多有一個(gè)可設(shè)置為不可卸載。

然而，有業(yè)內(nèi)人士認(rèn)為，規(guī)定對(duì)預(yù)裝的基本功能軟件描述不夠嚴(yán)謹(jǐn)，很難清晰界定到底何為基本軟件，存在被企業(yè)鉆空子的地方；處罰力度明顯不夠，也難以起到“殺一儆百”的作用。根據(jù)規(guī)定，違反規(guī)定的企業(yè)，由通信主管部門依據(jù)職權(quán)責(zé)令改正，依法進(jìn)行處罰，但沒(méi)有處罰細(xì)則，容易導(dǎo)致定罪模糊問(wèn)題。

“流氓軟件”有多流氓

曾使用安卓系統(tǒng)手機(jī)的陳先生告訴記者，自從他在手機(jī)上安裝五子棋等幾款休閑小游戲后，話費(fèi)花得特別快，前兩天剛充完100塊錢，不到一個(gè)星期就用完了，于是他打10086進(jìn)行查詢，發(fā)現(xiàn)多出很多的業(yè)務(wù)定制服務(wù)，但實(shí)際上他并沒(méi)有定制這些業(yè)務(wù)。

針對(duì)這種情況，安全專家唐威認(rèn)為這個(gè)用戶肯定是感染了手機(jī)病毒，殺毒軟件最近發(fā)現(xiàn)了很多安卓手機(jī)用戶下載打地鼠、五子棋等幾款熱門小游戲后感染手機(jī)病毒，造成手機(jī)話費(fèi)不斷流失。據(jù)了解，此類被扣費(fèi)的用戶至少有數(shù)萬(wàn)人。

那么，這種病毒究竟是怎樣吸走用戶的手機(jī)話費(fèi)的呢？

安全專家談到：手機(jī)中毒后，惡意扣費(fèi)軟件在用戶不知情的情況下定制各種服務(wù)，然后通過(guò)短信的方式暗地扣費(fèi)。除此之外，手機(jī)病毒程序還會(huì)偷偷訪問(wèn)互聯(lián)網(wǎng)，浪費(fèi)用戶流量資源，同時(shí)也獲取寶貴的用戶流量。同時(shí)，一旦進(jìn)入用戶手機(jī)中，病毒可能自動(dòng)尋找用戶核心數(shù)據(jù)，包括文檔資料、照片數(shù)據(jù)、各種帳號(hào)并偷偷上傳，而手機(jī)數(shù)據(jù)丟失通常很難恢復(fù)?！斑@樣一個(gè)小游戲就可能會(huì)提示需要定位權(quán)限（是為了方便游戲聯(lián)網(wǎng)）、需要訪問(wèn)手機(jī)麥克風(fēng)（開啟游戲內(nèi)的語(yǔ)音功能）、同步通訊錄（聯(lián)網(wǎng)和朋友一起玩，順便推送給用戶的朋友圈），如果用戶注冊(cè)賬號(hào)那手機(jī)號(hào)肯定必不可少?！碧仆蛴浾呓榻B，“一個(gè)很簡(jiǎn)單的小游戲，可能不到1分鐘的時(shí)間就已經(jīng)收集到了上述多種信息。有提示算是有良心的，相當(dāng)部分APP應(yīng)用在用戶下載好之后就已經(jīng)默默開啟了權(quán)限，上傳用戶的信息。”不過(guò)也并不是所有的信息目前都能夠轉(zhuǎn)化成商業(yè)利益。這些從收集用戶處調(diào)用的權(quán)限信息，一些開發(fā)商會(huì)進(jìn)行自用，而這個(gè)目的實(shí)際上也是為了轉(zhuǎn)化成未來(lái)可能出現(xiàn)的商業(yè)模式。

值得注意的是，手機(jī)病毒發(fā)作并不像電腦Windows系統(tǒng)中那樣清楚地表現(xiàn)出來(lái)，為人熟知，普通用戶不易察覺(jué)，并且懂得智能手機(jī)安全知識(shí)用戶群數(shù)量很小，這給發(fā)現(xiàn)并處置手機(jī)病毒造成了相當(dāng)大的困難。

工信部通告顯示，2015年第三季度該部共發(fā)現(xiàn)35款不良手機(jī)應(yīng)用軟件，這些手機(jī)應(yīng)用涉及違規(guī)收集用戶信息、惡意“吸費(fèi)”、強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件等問(wèn)題。根據(jù)工信部出示的圖表，這些違規(guī)的手機(jī)應(yīng)用包括車友信、美白相機(jī)、捕魚達(dá)人3街機(jī)版、酷我音樂(lè)盒2014手機(jī)版、百度手機(jī)助手、GO桌面、萬(wàn)能WiFi密碼破解、風(fēng)云直播以及開心連連看等35款A(yù)pp。據(jù)了解，在上榜的App中，百度手機(jī)助手、酷我音樂(lè)等應(yīng)用已不是第一次上工信部的黑名單，早在工信部2015年一季度的不良手機(jī)應(yīng)用名單上就已經(jīng)出現(xiàn)過(guò)這幾款A(yù)pp的名字。

無(wú)獨(dú)有偶，深圳市消費(fèi)者委員會(huì)在2015年8月的一項(xiàng)報(bào)告中顯示，手機(jī)軟件相關(guān)的消費(fèi)投訴已成為投訴新熱點(diǎn)。其中，問(wèn)題最為嚴(yán)重的是惡意吸費(fèi)，投訴數(shù)量最多的是“開心消消樂(lè)”軟件和“滴滴充話費(fèi)”軟件。“開心消消樂(lè)”是一款游戲軟件，但不少消費(fèi)者反映，軟件故意制作消費(fèi)陷阱，一不小心就會(huì)進(jìn)入到購(gòu)買電子貨幣的界面，并且扣取電話費(fèi)。還有“滴滴充話費(fèi)”軟件，這個(gè)軟件聲稱首次充電話費(fèi)可以享受到5.5折的優(yōu)惠，很多人誤以為是給手機(jī)充話費(fèi)，但當(dāng)充錢后才發(fā)現(xiàn)，實(shí)際上是給一款網(wǎng)絡(luò)電話充話費(fèi)，當(dāng)用戶想退款時(shí)卻會(huì)遭遇難題。此外，很多手機(jī)軟件還涉及違規(guī)收集用戶信息、強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件以及偷跑流量等問(wèn)題。

這些流氓軟件不但影響用戶的使用體驗(yàn)，而且侵犯消費(fèi)者個(gè)人信息安全權(quán)、知情權(quán)和財(cái)產(chǎn)權(quán)。深圳市消委會(huì)還呼吁手機(jī)應(yīng)用商店和軟件商，要提供安全可靠的軟件服務(wù)，杜絕發(fā)布存在盜取信息、強(qiáng)行捆綁、吸話費(fèi)、偷流量等問(wèn)題軟件，并暢通溝通投訴的渠道，及時(shí)處理消費(fèi)者反映的問(wèn)題。然而，在沒(méi)有法律監(jiān)督的條件下，這樣的呼吁多少顯得有些無(wú)力。

支付寶APP的困惑

2015年10月24日，一場(chǎng)挑戰(zhàn)網(wǎng)絡(luò)信息安全的極客“極棒”大賽（GeekPwn）在上海拉開帷幕。在比賽現(xiàn)場(chǎng)，一名白帽黑客現(xiàn)場(chǎng)演示了如何利用美甲嘟嘟充值系統(tǒng)項(xiàng)目的漏洞，通過(guò)在自己的手機(jī)上調(diào)用支付寶，在實(shí)際支付1分錢的情況下，完成任意價(jià)格的訂單充值。這項(xiàng)挑戰(zhàn)后來(lái)被稱為“驚天漏洞”，作為一款每日交易額度達(dá)到106億元的支付工具，這樣的漏洞后果不堪設(shè)想。

白帽黑客與普通的黑客不同，他們通常會(huì)攻擊他們自己的系統(tǒng)，或被聘請(qǐng)來(lái)攻擊客戶的系統(tǒng)以便進(jìn)行安全審查。

在獲悉有人展示這一漏洞后，支付寶方面立即作出回應(yīng)，稱“經(jīng)我們的技術(shù)人員排查，原因是商戶App發(fā)送付款單據(jù)給支付應(yīng)用時(shí)，在商戶App內(nèi)部被中間人劫持并篡改所致，跟支付接口無(wú)關(guān)?！?/p>

“這就是問(wèn)題的關(guān)鍵所在，盡管像支付寶這樣每年花費(fèi)千萬(wàn)元用于保障網(wǎng)絡(luò)信息安全的大企業(yè)仍然無(wú)法避免被上千個(gè)與它相關(guān)聯(lián)的支付應(yīng)用軟件所拖累?！卑⒗锇桶偷囊幻畔踩夹g(shù)人員鄭旻向記者解釋，這個(gè)漏洞通俗來(lái)說(shuō)，就好比吃飯埋單時(shí)被服務(wù)員換成了另一桌的單子，拿去收銀臺(tái)付款了。這個(gè)漏洞實(shí)際上是商戶APP漏洞導(dǎo)致信息被劫持，結(jié)果影響到后端所有支付類應(yīng)用。

2014年，支付寶曾經(jīng)宣布投入4000萬(wàn)元建立安全基金確保網(wǎng)絡(luò)信息安全，然而這場(chǎng)展示的現(xiàn)實(shí)顯示，在眾多良莠不齊的智能化應(yīng)用泛濫的今天，作為支付工具誰(shuí)也無(wú)法獨(dú)善其身。支付寶也承認(rèn)，雖然這個(gè)漏洞出在商戶端，與支付工具無(wú)關(guān)，但是前端商戶APP漏洞導(dǎo)致的信息被劫持，會(huì)影響到后端所有支付類應(yīng)用。

“目前每天在蘋果應(yīng)用中上線的App數(shù)量在500個(gè)左右，而能夠用于安卓系統(tǒng)的各種應(yīng)用數(shù)量更加龐大，幾乎所有涉及互聯(lián)網(wǎng)的創(chuàng)業(yè)公司都在搞App，其中很多都涉及在線支付，并需要綁定你的手機(jī)，這意味著每個(gè)人的手機(jī)都被這些不安全應(yīng)用留下可供黑客出入的后門。”來(lái)自國(guó)內(nèi)頂級(jí)黑客團(tuán)隊(duì)清華大學(xué)藍(lán)蓮花戰(zhàn)隊(duì)的楊坤目前已是一家網(wǎng)絡(luò)安全公司的創(chuàng)業(yè)者，他告訴記者，實(shí)際上，大多數(shù)手機(jī)應(yīng)用APP的開發(fā)團(tuán)隊(duì)都不配備信息安全專業(yè)人才，在這方面投入幾乎是零。

美甲嘟嘟、“阿姨幫”等多款O2O產(chǎn)品被選手破解，因?yàn)檫@一類應(yīng)用在支付接口有著類似的漏洞。而選手選擇破解“功夫熊”項(xiàng)目卻因?yàn)槿谫Y失敗可能倒閉而根本無(wú)法完成?！叭绻逻^(guò)這種應(yīng)用，公司雖然倒閉了，卻可能已經(jīng)在你的手機(jī)里留下了隱患，即便你刪除應(yīng)用，危險(xiǎn)依然存在。”

“現(xiàn)在很多智能APP產(chǎn)品其實(shí)都是偽智能化，真正的智能化是建立在大數(shù)據(jù)的基礎(chǔ)上，而現(xiàn)在很多智能產(chǎn)品只是增加了手機(jī)控制功能，而缺乏安全防護(hù)的智能化產(chǎn)品反而給黑客們提供了可以攻擊破解的后門?！眮?lái)自國(guó)內(nèi)頂尖的白帽黑客團(tuán)隊(duì)KEEN 的創(chuàng)始人兼CEO王琦曾表示。

據(jù)2016年1月22日發(fā)布的第37次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)6.20億，較2014年底增加6303萬(wàn)人。網(wǎng)民中使用手機(jī)上網(wǎng)人群的占比提升至90.1%，手機(jī)依然是拉動(dòng)網(wǎng)民規(guī)模增長(zhǎng)的首要設(shè)備。其中僅通過(guò)手機(jī)上網(wǎng)的網(wǎng)民占18.5%，較2014年底提升了3.2個(gè)百分點(diǎn)?？梢灶A(yù)見的是，在未來(lái)，網(wǎng)民個(gè)人上網(wǎng)設(shè)備進(jìn)一步向手機(jī)端集中。

“很多風(fēng)險(xiǎn)還在路上，而大多數(shù)人還不知道要買傘?！蓖蹒J(rèn)為，智能手機(jī)的信息安全問(wèn)題還沒(méi)有得到足夠的重視。

隨著網(wǎng)絡(luò)環(huán)境的日益完善、移動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展，各類移動(dòng)互聯(lián)網(wǎng)應(yīng)用的需求逐漸被開發(fā)。從基礎(chǔ)的娛樂(lè)溝通、信息查詢，到商務(wù)交易、網(wǎng)絡(luò)金融，再到教育等公共服務(wù)，移動(dòng)互聯(lián)網(wǎng)塑造了全新的社會(huì)生活形態(tài)，潛移默化地改變著移動(dòng)網(wǎng)民的日常生活。而作為連接移動(dòng)互聯(lián)網(wǎng)的終端設(shè)備——智能手機(jī)，能否真正地實(shí)現(xiàn)“智能化”，還有很長(zhǎng)的路要走。