文|王涵
編|小戎
身為低頭族的一員,當你正在和朋友談論冬天要買毛衣的時候,打開淘寶主頁正巧給你推薦毛衣,這是你和你的手機心有靈犀,還是說自己正在被最信任的它監聽呢?
近期,金立參股的子公司致璞科技被曝曾與北京佰策公司合作,簽訂“拉活”協議,甚至將木馬植入到手機當中,讓人不禁後怕,手機究竟是越來越安全還是越來越危險?
▲2017年12月3日,金立董事長兼CEO劉立榮參加重慶“2017國際手機產業領袖峰會”現場活動。圖/旭日大數據提供
手機廠商和軟件開發共同盈利
對於手機廠商來說,上游供應鏈的漲價潮推高了手機的製造成本,尤其是疫情期間,零件的短缺更是助長了這股風氣。
三星相關負責人曾向騰訊科技透露,“手機制造商不再單純依靠手機硬件盈利,也要讓軟件應用成為新的利潤增長點,手機廠商自己的應用商店,就是打通硬件設備和軟件服務的連接橋樑。”
對於應用分發,手機廠商此前主要有兩個方式,應用商店和手機預裝。但很多手機廠商和軟件廠商卻對這方面動了歪心思,這次被爆出來的金立只是其中之一。
北京福至久久軟件科技股份有限公司董事長兼CEO孫暉對科技新智造透露,像金立致璞科技和北京佰策公司這種給公司可不少,只是程度不一。他們的主要目的是騙廣告主的錢,廣告主一般來說是To VC(互聯網模式有To C和To B兩種,即面向個人需求和麵向企業需求,但有一類創業者並沒有自己的創業思想,而僅是針對怎樣迎合vc風險投資人的興趣和愛好進行項目創立,業類把這種行為戲稱為To VC)。
而金立這件事安裝木馬的原因是要控制其他App,正常程序是不能控制其他App的行為的,他們要在其他App裡模仿出正常用戶的行為。這會使出現手機運行速度減緩、卡頓等副作用,因為多了程序在後臺運行,肯定會一定程度影響手機運行效果。
軟件技術人員楊雯告訴科技新智造,金立手機的事件跟安裝的SDK有很大關係。SDK並不是一個軟件,而是一個語言包,他可以在上層封一個UI(對軟件的人機交互、操作邏輯、界面美觀的整體設計)。比如說有一個軟件很多東西不是封裝完畢,表面進入一個網頁,實際上指向(操作)的不是這個網頁,這些都是封裝在SDK裡面。
楊雯還表示,SDK安裝和手機廠商並沒有太多關係,它能夠直接授權某特定網絡能否允許這個APP進入,或者說直接允許訪問攝像頭、麥克風等,有些就可以跳過授權自動安置,就像金立這種。雖然全程其實並不需要金立手機廠商配合,但是金立手機可能會故意暴露給軟件開發者自己手機的一些安全漏洞方便進行操作,或者通過底層獲取手機信息,設定金立手機為特定標籤,讓SDK在金立手機上產生特殊性,才能進行操作,這與其他使用同類型SDK的手機合作廠商並無關聯。但也存在有手機自身系統安全性沒那麼健全的情況,所以只要獲取就自動同意。
“拉活”是潛規則
實際上,“拉活”其實更像手機行業的潛規則,你做我也做,好像就構不成犯罪。
早在2014年3月,央視“3.15晚會”就曾經爆出北京鼎開聯合信息技術有限公司通過和手機廠商聯合設置應用軟件賴在手機裡刪不掉。因為刪它必須要root權限,root掉以後它的質保就沒了,但是通過這些“看不見的”應用程序,用戶都被定製了一些服務,每個月都被頻頻扣費,並且他們還能監測用戶的使用情況。
無獨有偶,大唐高鴻數據網絡技術股份的一款大唐神器,號稱可以做到“全自動智能安裝軟件”,是“智能手持終端高端軟件預裝推廣利器”。而當時的大唐神器已經擁有4604家加盟代理商,每個月能安裝100萬部以上的手機,安裝的軟件超過了4600萬個。手機經銷商每安裝一款軟件,可以從大唐高鴻獲得0.7元到3元錢不等,同樣通過大唐神器安裝的軟件也能監測用戶的使用情況。但很快遭到大唐高鴻數據網絡技術股份否認。
2020年“3.15”晚會,央視財經再次曝光上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家公司的SDK插件都存在偷偷竊取用戶隱私的嫌疑,涉及國美易卡、遙控器、最強手電、全能遙控器、91極速購、天天回收、閃到、蘿蔔商城、紫金普惠等50多款手機軟件。一旦用戶有網絡交易的驗證碼被獲取,極有可能造成嚴重的經濟損失。
▲2020年7月16日,央視“3.15”晚會曝光SDK插件都存在偷偷竊取用戶隱私的嫌疑視頻截圖。圖/央視財經微博提供
孫暉表示,廠商都是利用廣告變現,廣告主一般對廣告效果都會有考核,流量不夠就需要強迫用戶看廣告、下載App才能和廣告商保持合作,所以就有很多歪門邪道出現了。很多用戶只是覺得莫名其妙某個App啟動了,以為是自己不小心點的,一般不會在意。但一般都是軟件開發商自己做,手機廠商乾的不多見,就算要幹,也是單獨拉出隊伍幹,像金立這樣,他們的廣告部門是獨立的,這樣出事了也比較容易切割。當然,如果廠商願意合作當然流量更大,但是這個事情畢竟是違法的,敢做的也不多,這種行為不單是對用戶有影響,更會造成廣告主的損失。
根據《刑法》第二百八十六條破壞計算機信息系統罪顯示,違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,後果嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。 違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,後果嚴重的,依照前款的規定處罰。 故意製作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的,依照第一款的規定處罰。 單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照第一款的規定處罰。
孫暉認為,如果不干預用戶的安裝,卸載,註冊,可能到不了刑法,但如果數量大,那肯定是破壞信息罪了,但是因為這個很難計算用戶的實際損失,也算是法律上的一個漏洞。
語音撞庫都能盜走用戶信息
2020年9月,國家計算機病毒應急處理中心在“淨網2020”專項行動中通過互聯網監測發現,多款遊戲類移動應用存在隱私不合規行為,違反網絡安全法相關規定,涉嫌超範圍採集個人隱私信息。包括 《湯姆貓跑酷》(版本4.3.2.351)、《賓果消消消 》(版本7.5.1)等14款。
孫暉告訴科技新智造,“這些軟件大多數就是存點數據備用,現在不是流行大數據分析嗎?如果是惡意採集,應該是犯罪行為,不會只下架了事。”
但如果真的有人惡意盜取用戶信息,那後果難以想象。
科技新智造訪問18名用戶中,有兩名錶示不接陌生電話,一人基本不在網上留聯繫方式之外,有13人反應基本都會有多多少少接到過推銷、騷擾電話,主要圍繞在貸款,賣房(租房),學歷,推銷賣東西等,而這些他們認為是因為瀏覽過特定類型App、網址後輸入過聯繫方式或者通過手機輸入驗證碼有關。
楊雯表示,現在手機App平臺都有連鎖效應,比如A平臺鎖了信息,B平臺沒鎖,B平臺的信息就被獲取了,通過B平臺獲取到信息後A也就被打開,裡面的信息也同樣暴露了。以前獲取個人信息還需要黑客,黑客這類人是通過信息傳遞過程中實行截獲,這時候信息還沒有傳送至服務器加密,就可以獲取用戶個人信息。現在都不用黑客,黑客的成本有些高,甚至很多招聘網站App就是信息流出的聚發地,內部有一些會公開售賣求職者信息。
除此之外,楊雯還表示,還有一種軟件很不容易被發現,就是語音識別,它其實也在一直監聽用戶周圍的聲音,這種就很容易暴露信息。
2020年12月7日,小米公司官方發佈一條微博,和家人朋友聊了想買的東西,轉眼手機就收到了相關廣告?這可能不是心有靈犀,而是你的行為和喜好正在被監控。來開啟虛擬身份ID,保護隱私安全,防止信息騷擾。
▲2020年11月7日,小米公司提醒用戶保護安全隱私截圖。圖/小米公司微博提供
可以看出,語音識別也是不安全的。
但楊雯惋惜道,“行業對於手機安全性其實都不太願意做,因為操作是很複雜的,而且不管怎麼做總會有漏洞。以輸密碼舉例,很多都是明文的密碼,安全算法都是一個,相當於一個編碼一個解碼,順序打亂後即使變成亂碼,按照算法依舊能解開,想要獲取其實都能獲取,這是安全性的侷限性。”
轉載請超鏈接註明:頭條資訊 » 手機黑產利益鏈:預裝木馬騙廣告主掏錢,廠商拉活是潛規則
免責聲明
:非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件24小時內刪除。