隨著 Android 在中國(guó)的爆炸式增長(zhǎng)����,用戶和開(kāi)發(fā)者在享受其開(kāi)放性帶來(lái)的繁榮和便利的同時(shí)����,也開(kāi)始不斷遭遇各種問(wèn)題的困擾:扣費(fèi)等惡意代碼、應(yīng)用內(nèi)廣告�����、仿冒和山寨應(yīng)用�、以及濫用敏感權(quán)限,已經(jīng)成為威脅手機(jī)信息安全的首要問(wèn)題����。
近日�,針對(duì)智能手機(jī)安全隱患���,國(guó)內(nèi)最大的 Android 應(yīng)用分發(fā)平臺(tái)豌豆莢����,憑借對(duì)海量應(yīng)用的掃描和元數(shù)據(jù)分析����,公布了 Android 應(yīng)用的安全現(xiàn)狀的相關(guān)數(shù)據(jù)。并針對(duì)應(yīng)用的安全性�、是否包含廣告插件、是否為正版����、以及對(duì)敏感權(quán)限的調(diào)用等問(wèn)題推出「綠色標(biāo)簽」機(jī)制,并在應(yīng)用詳情頁(yè)�����、搜索結(jié)果頁(yè)����、首頁(yè)及二級(jí)榜單頁(yè)面均予以標(biāo)注,為用戶提供最安全放心的應(yīng)用下載體驗(yàn)。
Android 應(yīng)用安全第一�,3 家安全廠商聯(lián)合檢測(cè)
在應(yīng)用安全方面,豌豆莢聯(lián)合騰訊手機(jī)管家���、360手機(jī)衛(wèi)士、LBE安全大師等 3 家知名手機(jī)安全廠商對(duì)扣費(fèi)代碼等安全隱患進(jìn)行聯(lián)合檢測(cè)�,并綜合 3 家的檢測(cè)結(jié)果力圖得到更準(zhǔn)確、更謹(jǐn)慎的結(jié)論���。
令人意外的是�����,3 家安全廠商對(duì)同一款應(yīng)用的檢測(cè)結(jié)果存在一定差異�。騰訊認(rèn)為有安全風(fēng)險(xiǎn)的應(yīng)用中�,有 28.4% 360 和 LBE 都認(rèn)為是安全的; 360認(rèn)為危險(xiǎn)的應(yīng)用中����, 29.1% 被騰訊和 LBE 判定為安全; LBE 認(rèn)為危險(xiǎn)的應(yīng)用中 76.8% 是 360 和騰訊都認(rèn)為安全的���。
(圖:三家安全廠商掃描結(jié)果對(duì)比)
針對(duì)安全廠商檢測(cè)結(jié)果的差異�����,豌豆莢采取了相對(duì)嚴(yán)謹(jǐn)?shù)奶幚矸绞剑簝H有一家安全廠商判定為存在風(fēng)險(xiǎn)的應(yīng)用�����,即會(huì)被明顯標(biāo)識(shí)為可疑��;而兩家或兩家以上安全廠商判定為不安全的應(yīng)用�,將被直接下架。
(圖:經(jīng)3家安全廠商綜合認(rèn)證的安全標(biāo)簽)
六成應(yīng)用包含廣告���,下載前豌豆莢清晰提示
豌豆莢整理了超過(guò) 1000 個(gè)廣告特征���,對(duì)應(yīng)用進(jìn)行代碼級(jí)的廣告插件檢測(cè)。數(shù)據(jù)表明: 目前���,在數(shù)據(jù)樣本中39% 的應(yīng)用是無(wú)廣告的�����;有 34.6% 的應(yīng)用內(nèi)嵌廣告��,此類廣告可能在應(yīng)用內(nèi)放置了廣告橫幅或單獨(dú)的廣告欄目�。此類廣告除了對(duì)用戶體驗(yàn)的影響外,還會(huì)造成更多的流量���、電量消耗���,并且有可能會(huì)收集用戶的地理位置等數(shù)據(jù)。針對(duì)此類應(yīng)用����,豌豆莢會(huì)醒目地提示用戶其中包含內(nèi)嵌廣告����。
另外,數(shù)據(jù)也驚人的表明����,約有 26.4% 的應(yīng)用包含通知欄廣告。此類廣告形式飽受爭(zhēng)議�����,當(dāng)用戶安裝了含此類廣告的應(yīng)用后�����,會(huì)經(jīng)常發(fā)現(xiàn)通知欄里面多了一些廣告信息,有的甚至在用戶點(diǎn)擊后就會(huì)開(kāi)始安裝另一款應(yīng)用����。
豌豆莢在用戶下載安裝此類應(yīng)用的過(guò)程中會(huì)提示用戶風(fēng)險(xiǎn)、并且引導(dǎo)用戶去下載無(wú)廣告的其他版本�。并且,含通知欄廣告的應(yīng)用也不會(huì)出現(xiàn)在豌豆莢首頁(yè)的各類榜單推薦中�����。
(圖:國(guó)內(nèi) Android 應(yīng)用內(nèi)廣告分布情況)
1/4 的應(yīng)用為仿冒或被篡改���,豌豆莢與 Google Play 雙重認(rèn)證
應(yīng)用的簽名是開(kāi)發(fā)者的唯一標(biāo)識(shí)�,同一應(yīng)用的不同簽名版本中有時(shí)存在若干款是仿冒或篡改的版本��。豌豆莢各項(xiàng)數(shù)據(jù)預(yù)估����,目前國(guó)內(nèi)用戶接觸到的不同應(yīng)用數(shù)量為 55.8 萬(wàn)。而如果計(jì)算應(yīng)用的不同簽名版本���,則總數(shù)量超過(guò) 75W�,這意味著其中有將近 1/4 的應(yīng)用為仿冒或被篡改�。
(圖:國(guó)內(nèi) Android 應(yīng)用簽名對(duì)應(yīng)情況)
非官方開(kāi)發(fā)者仿冒和篡改應(yīng)用的目的����,除了有出于個(gè)人興趣的漢化等�,有相當(dāng)一部分是在應(yīng)用中嵌入廣告插件或惡意扣費(fèi)代碼等、牟取利潤(rùn)���。目前大部分應(yīng)用下載渠道在提供應(yīng)用下載時(shí)都沒(méi)有對(duì)簽名進(jìn)行檢測(cè)�,仿冒和被篡改的應(yīng)用混雜在官方版本之間�,用戶和開(kāi)發(fā)者權(quán)益都得不到保障。
豌豆莢「綠色標(biāo)簽」中的「Google 驗(yàn)證」標(biāo)簽����,通過(guò)檢驗(yàn)應(yīng)用簽名與豌豆莢認(rèn)證的應(yīng)用是否一致�����,用做判斷應(yīng)用是否是官方版的參考����、確保應(yīng)用沒(méi)有被第三方篡改同時(shí),通過(guò)與 Google Play 中簽名作對(duì)比����,輔助判斷是否被第三方篡改�。
(圖:豌豆莢與 Google Play 雙重認(rèn)證)
17.8% 應(yīng)用調(diào)用敏感權(quán)限���,豌豆莢明確標(biāo)注不再談隱私色變
Android 系統(tǒng)的開(kāi)放性讓開(kāi)發(fā)者能調(diào)用上百種手機(jī)權(quán)限以完善產(chǎn)品功能��,但也有不少應(yīng)用調(diào)用本身功能并不需要的敏感權(quán)限��,以竊取用戶隱私��。目前����,豌豆莢從中挑出了4種權(quán)限是涉及隱私的�,它們分別為:讀取通訊錄、讀取短信信息�����、撥打電話��、發(fā)送短信���。如果某款應(yīng)用一旦調(diào)用了其中某一項(xiàng)權(quán)限����,就會(huì)在豌豆莢中被標(biāo)記為紅色可疑。通過(guò)掃描樣本���,豌豆莢發(fā)現(xiàn)17.8%的應(yīng)用涉及到此類隱私的問(wèn)題����。當(dāng)然��,如果這些應(yīng)用經(jīng)過(guò)人工審核�����,發(fā)現(xiàn)調(diào)用的范圍在合理的范圍��,就會(huì)被標(biāo)記回綠色信任��。
(圖:檢測(cè)應(yīng)用是否調(diào)用隱私權(quán)限)
憑借出色的用戶體驗(yàn)��,豌豆莢已經(jīng)擁有超過(guò) 8500 萬(wàn)用戶�����。目前收錄應(yīng)用超過(guò) 40 萬(wàn)款�����,每日應(yīng)用分發(fā)量逾 1500 萬(wàn)�����,從最初單純的個(gè)人信息管理工具成長(zhǎng)為國(guó)內(nèi)最大的 Android 應(yīng)用獲取和手機(jī)管理平臺(tái)��。新版應(yīng)用搜索的發(fā)布和「綠色標(biāo)簽」機(jī)制的建立���,標(biāo)志著豌豆莢應(yīng)用平臺(tái)由「全」向「精」的發(fā)展���。據(jù)豌豆莢相關(guān)負(fù)責(zé)人透露�,之后豌豆莢還會(huì)對(duì)應(yīng)用本身的信息做進(jìn)一步的挖掘和整合�,讓用戶可以進(jìn)行細(xì)分標(biāo)簽的篩選�����,以保證更加方便、放心的下載體驗(yàn)���。
