隨著 Android 在中國的爆炸式增長,用戶和開發(fā)者在享受其開放性帶來的繁榮和便利的同時,也開始不斷遭遇各種問題的困擾:扣費等惡意代碼、應(yīng)用內(nèi)廣告、仿冒和山寨應(yīng)用、以及濫用敏感權(quán)限,已經(jīng)成為威脅手機信息安全的首要問題。
近日,針對智能手機安全隱患,國內(nèi)最大的 Android 應(yīng)用分發(fā)平臺豌豆莢,憑借對海量應(yīng)用的掃描和元數(shù)據(jù)分析,公布了 Android 應(yīng)用的安全現(xiàn)狀的相關(guān)數(shù)據(jù)。并針對應(yīng)用的安全性、是否包含廣告插件、是否為正版、以及對敏感權(quán)限的調(diào)用等問題推出「綠色標(biāo)簽」機制,并在應(yīng)用詳情頁、搜索結(jié)果頁、首頁及二級榜單頁面均予以標(biāo)注,為用戶提供最安全放心的應(yīng)用下載體驗。
Android 應(yīng)用安全第一,3 家安全廠商聯(lián)合檢測
在應(yīng)用安全方面,豌豆莢聯(lián)合騰訊手機管家、360手機衛(wèi)士、LBE安全大師等 3 家知名手機安全廠商對扣費代碼等安全隱患進行聯(lián)合檢測,并綜合 3 家的檢測結(jié)果力圖得到更準(zhǔn)確、更謹(jǐn)慎的結(jié)論。
令人意外的是,3 家安全廠商對同一款應(yīng)用的檢測結(jié)果存在一定差異。騰訊認(rèn)為有安全風(fēng)險的應(yīng)用中,有 28.4% 360 和 LBE 都認(rèn)為是安全的; 360認(rèn)為危險的應(yīng)用中, 29.1% 被騰訊和 LBE 判定為安全; LBE 認(rèn)為危險的應(yīng)用中 76.8% 是 360 和騰訊都認(rèn)為安全的。
針對安全廠商檢測結(jié)果的差異,豌豆莢采取了相對嚴(yán)謹(jǐn)?shù)奶幚矸绞剑簝H有一家安全廠商判定為存在風(fēng)險的應(yīng)用,即會被明顯標(biāo)識為可疑;而兩家或兩家以上安全廠商判定為不安全的應(yīng)用,將被直接下架。
(圖:經(jīng)3家安全廠商綜合認(rèn)證的安全標(biāo)簽)
六成應(yīng)用包含廣告,下載前豌豆莢清晰提示
豌豆莢整理了超過 1000 個廣告特征,對應(yīng)用進行代碼級的廣告插件檢測。數(shù)據(jù)表明: 目前,在數(shù)據(jù)樣本中39% 的應(yīng)用是無廣告的;有 34.6% 的應(yīng)用內(nèi)嵌廣告,此類廣告可能在應(yīng)用內(nèi)放置了廣告橫幅或單獨的廣告欄目。此類廣告除了對用戶體驗的影響外,還會造成更多的流量、電量消耗,并且有可能會收集用戶的地理位置等數(shù)據(jù)。針對此類應(yīng)用,豌豆莢會醒目地提示用戶其中包含內(nèi)嵌廣告。
另外,數(shù)據(jù)也驚人的表明,約有 26.4% 的應(yīng)用包含通知欄廣告。此類廣告形式飽受爭議,當(dāng)用戶安裝了含此類廣告的應(yīng)用后,會經(jīng)常發(fā)現(xiàn)通知欄里面多了一些廣告信息,有的甚至在用戶點擊后就會開始安裝另一款應(yīng)用。
豌豆莢在用戶下載安裝此類應(yīng)用的過程中會提示用戶風(fēng)險、并且引導(dǎo)用戶去下載無廣告的其他版本。并且,含通知欄廣告的應(yīng)用也不會出現(xiàn)在豌豆莢首頁的各類榜單推薦中。
(圖:國內(nèi) Android 應(yīng)用內(nèi)廣告分布情況)
1/4 的應(yīng)用為仿冒或被篡改,豌豆莢與 Google Play 雙重認(rèn)證
應(yīng)用的簽名是開發(fā)者的唯一標(biāo)識,同一應(yīng)用的不同簽名版本中有時存在若干款是仿冒或篡改的版本。豌豆莢各項數(shù)據(jù)預(yù)估,目前國內(nèi)用戶接觸到的不同應(yīng)用數(shù)量為 55.8 萬。而如果計算應(yīng)用的不同簽名版本,則總數(shù)量超過 75W,這意味著其中有將近 1/4 的應(yīng)用為仿冒或被篡改。
(圖:國內(nèi) Android 應(yīng)用簽名對應(yīng)情況)
非官方開發(fā)者仿冒和篡改應(yīng)用的目的,除了有出于個人興趣的漢化等,有相當(dāng)一部分是在應(yīng)用中嵌入廣告插件或惡意扣費代碼等、牟取利潤。目前大部分應(yīng)用下載渠道在提供應(yīng)用下載時都沒有對簽名進行檢測,仿冒和被篡改的應(yīng)用混雜在官方版本之間,用戶和開發(fā)者權(quán)益都得不到保障。
豌豆莢「綠色標(biāo)簽」中的「Google 驗證」標(biāo)簽,通過檢驗應(yīng)用簽名與豌豆莢認(rèn)證的應(yīng)用是否一致,用做判斷應(yīng)用是否是官方版的參考、確保應(yīng)用沒有被第三方篡改同時,通過與 Google Play 中簽名作對比,輔助判斷是否被第三方篡改。
(圖:豌豆莢與 Google Play 雙重認(rèn)證)
17.8% 應(yīng)用調(diào)用敏感權(quán)限,豌豆莢明確標(biāo)注不再談隱私色變
Android 系統(tǒng)的開放性讓開發(fā)者能調(diào)用上百種手機權(quán)限以完善產(chǎn)品功能,但也有不少應(yīng)用調(diào)用本身功能并不需要的敏感權(quán)限,以竊取用戶隱私。目前,豌豆莢從中挑出了4種權(quán)限是涉及隱私的,它們分別為:讀取通訊錄、讀取短信信息、撥打電話、發(fā)送短信。如果某款應(yīng)用一旦調(diào)用了其中某一項權(quán)限,就會在豌豆莢中被標(biāo)記為紅色可疑。通過掃描樣本,豌豆莢發(fā)現(xiàn)17.8%的應(yīng)用涉及到此類隱私的問題。當(dāng)然,如果這些應(yīng)用經(jīng)過人工審核,發(fā)現(xiàn)調(diào)用的范圍在合理的范圍,就會被標(biāo)記回綠色信任。
(圖:檢測應(yīng)用是否調(diào)用隱私權(quán)限)
憑借出色的用戶體驗,豌豆莢已經(jīng)擁有超過 8500 萬用戶。目前收錄應(yīng)用超過 40 萬款,每日應(yīng)用分發(fā)量逾 1500 萬,從最初單純的個人信息管理工具成長為國內(nèi)最大的 Android 應(yīng)用獲取和手機管理平臺。新版應(yīng)用搜索的發(fā)布和「綠色標(biāo)簽」機制的建立,標(biāo)志著豌豆莢應(yīng)用平臺由「全」向「精」的發(fā)展。據(jù)豌豆莢相關(guān)負(fù)責(zé)人透露,之后豌豆莢還會對應(yīng)用本身的信息做進一步的挖掘和整合,讓用戶可以進行細(xì)分標(biāo)簽的篩選,以保證更加方便、放心的下載體驗。
關(guān)于CNMO | 聯(lián)系我們 | 站點地圖 | 精英招聘 | CNMO記事 | 家長監(jiān)護工程 | 舉報不良信息
Copyright © 2007 -
北京沃德斯瑪特網(wǎng)絡(luò)科技有限責(zé)任公司.All rights reserved 發(fā)郵件給我們
京ICP證-070681號 京ICP備09081256號 京公網(wǎng)安備 11010502036320號