文|王涵
编|小戎
身为低头族的一员,当你正在和朋友谈论冬天要买毛衣的时候,打开淘宝主页正巧给你推荐毛衣,这是你和你的手机心有灵犀,还是说自己正在被最信任的它监听呢?
近期,金立参股的子公司致璞科技被曝曾与北京佰策公司合作,签订“拉活”协议,甚至将木马植入到手机当中,让人不禁后怕,手机究竟是越来越安全还是越来越危险?
▲2017年12月3日,金立董事长兼CEO刘立荣参加重庆“2017国际手机产业领袖峰会”现场活动。图/旭日大数据提供
手机厂商和软件开发共同盈利
对于手机厂商来说,上游供应链的涨价潮推高了手机的制造成本,尤其是疫情期间,零件的短缺更是助长了这股风气。
三星相关负责人曾向腾讯科技透露,“手机制造商不再单纯依靠手机硬件盈利,也要让软件应用成为新的利润增长点,手机厂商自己的应用商店,就是打通硬件设备和软件服务的连接桥梁。”
对于应用分发,手机厂商此前主要有两个方式,应用商店和手机预装。但很多手机厂商和软件厂商却对这方面动了歪心思,这次被爆出来的金立只是其中之一。
北京福至久久软件科技股份有限公司董事长兼CEO孙晖对科技新智造透露,像金立致璞科技和北京佰策公司这种给公司可不少,只是程度不一。他们的主要目的是骗广告主的钱,广告主一般来说是To VC(互联网模式有To C和To B两种,即面向个人需求和面向企业需求,但有一类创业者并没有自己的创业思想,而仅是针对怎样迎合vc风险投资人的兴趣和爱好进行项目创立,业类把这种行为戏称为To VC)。
而金立这件事安装木马的原因是要控制其他App,正常程序是不能控制其他App的行为的,他们要在其他App里模仿出正常用户的行为。这会使出现手机运行速度减缓、卡顿等副作用,因为多了程序在后台运行,肯定会一定程度影响手机运行效果。
软件技术人员杨雯告诉科技新智造,金立手机的事件跟安装的SDK有很大关系。SDK并不是一个软件,而是一个语言包,他可以在上层封一个UI(对软件的人机交互、操作逻辑、界面美观的整体设计)。比如说有一个软件很多东西不是封装完毕,表面进入一个网页,实际上指向(操作)的不是这个网页,这些都是封装在SDK里面。
杨雯还表示,SDK安装和手机厂商并没有太多关系,它能够直接授权某特定网络能否允许这个APP进入,或者说直接允许访问摄像头、麦克风等,有些就可以跳过授权自动安置,就像金立这种。虽然全程其实并不需要金立手机厂商配合,但是金立手机可能会故意暴露给软件开发者自己手机的一些安全漏洞方便进行操作,或者通过底层获取手机信息,设定金立手机为特定标签,让SDK在金立手机上产生特殊性,才能进行操作,这与其他使用同类型SDK的手机合作厂商并无关联。但也存在有手机自身系统安全性没那么健全的情况,所以只要获取就自动同意。
“拉活”是潜规则
实际上,“拉活”其实更像手机行业的潜规则,你做我也做,好像就构不成犯罪。
早在2014年3月,央视“3.15晚会”就曾经爆出北京鼎开联合信息技术有限公司通过和手机厂商联合设置应用软件赖在手机里删不掉。因为删它必须要root权限,root掉以后它的质保就没了,但是通过这些“看不见的”应用程序,用户都被定制了一些服务,每个月都被频频扣费,并且他们还能监测用户的使用情况。
无独有偶,大唐高鸿数据网络技术股份的一款大唐神器,号称可以做到“全自动智能安装软件”,是“智能手持终端高端软件预装推广利器”。而当时的大唐神器已经拥有4604家加盟代理商,每个月能安装100万部以上的手机,安装的软件超过了4600万个。手机经销商每安装一款软件,可以从大唐高鸿获得0.7元到3元钱不等,同样通过大唐神器安装的软件也能监测用户的使用情况。但很快遭到大唐高鸿数据网络技术股份否认。
2020年“3.15”晚会,央视财经再次曝光上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件都存在偷偷窃取用户隐私的嫌疑,涉及国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件。一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。
▲2020年7月16日,央视“3.15”晚会曝光SDK插件都存在偷偷窃取用户隐私的嫌疑视频截图。图/央视财经微博提供
孙晖表示,厂商都是利用广告变现,广告主一般对广告效果都会有考核,流量不够就需要强迫用户看广告、下载App才能和广告商保持合作,所以就有很多歪门邪道出现了。很多用户只是觉得莫名其妙某个App启动了,以为是自己不小心点的,一般不会在意。但一般都是软件开发商自己做,手机厂商干的不多见,就算要干,也是单独拉出队伍干,像金立这样,他们的广告部门是独立的,这样出事了也比较容易切割。当然,如果厂商愿意合作当然流量更大,但是这个事情毕竟是违法的,敢做的也不多,这种行为不单是对用户有影响,更会造成广告主的损失。
根据《刑法》第二百八十六条破坏计算机信息系统罪显示,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
孙晖认为,如果不干预用户的安装,卸载,注册,可能到不了刑法,但如果数量大,那肯定是破坏信息罪了,但是因为这个很难计算用户的实际损失,也算是法律上的一个漏洞。
语音撞库都能盗走用户信息
2020年9月,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现,多款游戏类移动应用存在隐私不合规行为,违反网络安全法相关规定,涉嫌超范围采集个人隐私信息。包括 《汤姆猫跑酷》(版本4.3.2.351)、《宾果消消消 》(版本7.5.1)等14款。
孙晖告诉科技新智造,“这些软件大多数就是存点数据备用,现在不是流行大数据分析吗?如果是恶意采集,应该是犯罪行为,不会只下架了事。”
但如果真的有人恶意盗取用户信息,那后果难以想象。
科技新智造访问18名用户中,有两名表示不接陌生电话,一人基本不在网上留联系方式之外,有13人反应基本都会有多多少少接到过推销、骚扰电话,主要围绕在贷款,卖房(租房),学历,推销卖东西等,而这些他们认为是因为浏览过特定类型App、网址后输入过联系方式或者通过手机输入验证码有关。
杨雯表示,现在手机App平台都有连锁效应,比如A平台锁了信息,B平台没锁,B平台的信息就被获取了,通过B平台获取到信息后A也就被打开,里面的信息也同样暴露了。以前获取个人信息还需要黑客,黑客这类人是通过信息传递过程中实行截获,这时候信息还没有传送至服务器加密,就可以获取用户个人信息。现在都不用黑客,黑客的成本有些高,甚至很多招聘网站App就是信息流出的聚发地,内部有一些会公开售卖求职者信息。
除此之外,杨雯还表示,还有一种软件很不容易被发现,就是语音识别,它其实也在一直监听用户周围的声音,这种就很容易暴露信息。
2020年12月7日,小米公司官方发布一条微博,和家人朋友聊了想买的东西,转眼手机就收到了相关广告?这可能不是心有灵犀,而是你的行为和喜好正在被监控。来开启虚拟身份ID,保护隐私安全,防止信息骚扰。
▲2020年11月7日,小米公司提醒用户保护安全隐私截图。图/小米公司微博提供
可以看出,语音识别也是不安全的。
但杨雯惋惜道,“行业对于手机安全性其实都不太愿意做,因为操作是很复杂的,而且不管怎么做总会有漏洞。以输密码举例,很多都是明文的密码,安全算法都是一个,相当于一个编码一个解码,顺序打乱后即使变成乱码,按照算法依旧能解开,想要获取其实都能获取,这是安全性的局限性。”
转载请超链接注明:头条资讯 » 手机黑产利益链:预装木马骗广告主掏钱,厂商拉活是潜规则
免责声明
:非本网注明原创的信息,皆为程序自动获取互联网,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责;如此页面有侵犯到您的权益,请给站长发送邮件,并提供相关证明(版权证明、身份证正反面、侵权链接),站长将在收到邮件24小时内删除。