林迪

在網(wǎng)上頻繁出現(xiàn)的未來智能化生活視頻中常有這樣的想象：下班路上，你拿出手機，選擇相應的App點開。這時，家里的電飯煲在遠程控制下已經(jīng)開始自動煮飯，電熱水器開始工作燒好熱水，空調自動打開為你提前準備一個舒適的環(huán)境。你低頭看看手機，孩子手腕上的智能手表通過你的手機應用告訴你，她已在回家路上，5分鐘后你可以在街角碰到她。你點開另一個應用，通過手機下訂單，半小時后，晚飯就會送上門來，在智能化手機的安排之下一切都很完美！

這一幕是當下不少智能化產(chǎn)品為用戶提供的完美愿景，一部智能化的手機如今已經(jīng)涵蓋了你生活的方方面面。然而，良莠不齊的軟件開發(fā)商卻在制造大量“偽智能化”的產(chǎn)品，在控制人們手機的同時卻沒有保護手機的網(wǎng)絡信息安全。在各種宣稱具有高科技含量的智能手機面前，人們依然顯得無所適從。

預裝軟件背后的產(chǎn)業(yè)鏈

2015年7月，因手機預裝軟件過多，且大量無法刪除，上海市消費者權益保護委員會一紙訴狀，將三星和歐珀兩家智能手機公司告上法庭。上海消保委稱，根據(jù)比較試驗結果，歐珀X9007和三星SM-N9008S手機不可卸載軟件數(shù)量位列前兩位。歐珀手機總共預裝了71個軟件，其中不可卸載軟件數(shù)量達47個，是所有受試手機中最多的。三星手機為44個，且所有預裝軟件均不可卸載。

但截至記者發(fā)稿時為止，這個案子尚沒有下文。

消費者對預裝軟件“天天喊打”，為何手機廠家視而不見？關鍵是背后的利益。手機預裝軟件已經(jīng)形成一條完整產(chǎn)業(yè)鏈條。滬上某手機代工廠負責人告訴記者，目前多數(shù)手機出廠預裝軟件一般在10至30款不等，半數(shù)是推廣應用軟件。這些軟件與系統(tǒng)運行無關，卻占內存，一般開機后會自行啟動，占據(jù)內存并使用流量。預裝一款不可卸載軟件，一般收費在5元左右，如果是游戲軟件可能更高。對一家年出貨量2000萬臺的一線手機品牌來說，預裝一款軟件的收入就高達1億元。當前，國內手機廠商大打價格戰(zhàn)，背后很大一部分就是靠預裝軟件來抵消成本。

更讓人覺得不可思議的是，許多手機商家連老人機也不放過。

2015年端午節(jié)，張女士給自己的老母親買了一部手機。老人家對科技產(chǎn)品不甚了解，要買手機也就是接打電話，連短信都不會發(fā)，為此張女士專門挑了一部老人機，高音量、大按鍵，價格也便宜。但是沒想到，才過一個多月，電話就因欠費而停機，預存的100元話費全部用完。去營業(yè)廳一查，發(fā)現(xiàn)老人從來沒用過的上網(wǎng)流量費占去了大頭，通話費用才十幾塊錢。

原來張女士給母親買的手機里預裝了軟件，這些軟件會自動啟動，而且無法卸載。也就是這些頑固的預裝軟件，在老人不知情的情況下偷偷地跑著流量，吸走了老人手機里的話費。一位黃姓店主告訴記者，這里的老人機每天都能賣出十幾臺，多是外地人返鄉(xiāng)帶給家里的老人使用。不過對于老人機內是否有預裝流量軟件，該店主則不愿多談。

“每一款手機都必須在工信部備案，通過檢測，否則無法上市銷售?！鄙a(chǎn)老人機的一電子公司的負責人說。工信部對預裝軟件并無限制，但預裝軟件如果存在惡意偷跑流量和扣費的情況肯定無法通過檢測。但是，很多老人機都是“黑手機”，沒有經(jīng)過工信部的備案和檢測，對其監(jiān)管缺失。

以前手機應用程序的管理分發(fā)，主要以行業(yè)自律為主。2011年中國互聯(lián)網(wǎng)協(xié)會聯(lián)合企業(yè)簽署《互聯(lián)網(wǎng)終端軟件服務行業(yè)自律公約》，2014年組織互聯(lián)網(wǎng)企業(yè)簽署《中國互聯(lián)網(wǎng)協(xié)會移動智能終端應用傳播淫穢色情信息自律公約》。2015年11月，工信部出面征求意見，標志著行政主管部門正逐步加強監(jiān)管。征求意見稿規(guī)定，基本功能軟件是指保障硬件和操作系統(tǒng)正常運行的移動智能終端應用軟件。終端中預置的實現(xiàn)同一功能的基本功能軟件，最多有一個可設置為不可卸載。

然而，有業(yè)內人士認為，規(guī)定對預裝的基本功能軟件描述不夠嚴謹，很難清晰界定到底何為基本軟件，存在被企業(yè)鉆空子的地方；處罰力度明顯不夠，也難以起到“殺一儆百”的作用。根據(jù)規(guī)定，違反規(guī)定的企業(yè)，由通信主管部門依據(jù)職權責令改正，依法進行處罰，但沒有處罰細則，容易導致定罪模糊問題。

“流氓軟件”有多流氓

曾使用安卓系統(tǒng)手機的陳先生告訴記者，自從他在手機上安裝五子棋等幾款休閑小游戲后，話費花得特別快，前兩天剛充完100塊錢，不到一個星期就用完了，于是他打10086進行查詢，發(fā)現(xiàn)多出很多的業(yè)務定制服務，但實際上他并沒有定制這些業(yè)務。

針對這種情況，安全專家唐威認為這個用戶肯定是感染了手機病毒，殺毒軟件最近發(fā)現(xiàn)了很多安卓手機用戶下載打地鼠、五子棋等幾款熱門小游戲后感染手機病毒，造成手機話費不斷流失。據(jù)了解，此類被扣費的用戶至少有數(shù)萬人。

那么，這種病毒究竟是怎樣吸走用戶的手機話費的呢？

安全專家談到：手機中毒后，惡意扣費軟件在用戶不知情的情況下定制各種服務，然后通過短信的方式暗地扣費。除此之外，手機病毒程序還會偷偷訪問互聯(lián)網(wǎng)，浪費用戶流量資源，同時也獲取寶貴的用戶流量。同時，一旦進入用戶手機中，病毒可能自動尋找用戶核心數(shù)據(jù)，包括文檔資料、照片數(shù)據(jù)、各種帳號并偷偷上傳，而手機數(shù)據(jù)丟失通常很難恢復。“這樣一個小游戲就可能會提示需要定位權限（是為了方便游戲聯(lián)網(wǎng)）、需要訪問手機麥克風（開啟游戲內的語音功能）、同步通訊錄（聯(lián)網(wǎng)和朋友一起玩，順便推送給用戶的朋友圈），如果用戶注冊賬號那手機號肯定必不可少?！碧仆蛴浾呓榻B，“一個很簡單的小游戲，可能不到1分鐘的時間就已經(jīng)收集到了上述多種信息。有提示算是有良心的，相當部分APP應用在用戶下載好之后就已經(jīng)默默開啟了權限，上傳用戶的信息?！辈贿^也并不是所有的信息目前都能夠轉化成商業(yè)利益。這些從收集用戶處調用的權限信息，一些開發(fā)商會進行自用，而這個目的實際上也是為了轉化成未來可能出現(xiàn)的商業(yè)模式。

值得注意的是，手機病毒發(fā)作并不像電腦Windows系統(tǒng)中那樣清楚地表現(xiàn)出來，為人熟知，普通用戶不易察覺，并且懂得智能手機安全知識用戶群數(shù)量很小，這給發(fā)現(xiàn)并處置手機病毒造成了相當大的困難。

工信部通告顯示，2015年第三季度該部共發(fā)現(xiàn)35款不良手機應用軟件，這些手機應用涉及違規(guī)收集用戶信息、惡意“吸費”、強行捆綁推廣其他無關應用軟件等問題。根據(jù)工信部出示的圖表，這些違規(guī)的手機應用包括車友信、美白相機、捕魚達人3街機版、酷我音樂盒2014手機版、百度手機助手、GO桌面、萬能WiFi密碼破解、風云直播以及開心連連看等35款App。據(jù)了解，在上榜的App中，百度手機助手、酷我音樂等應用已不是第一次上工信部的黑名單，早在工信部2015年一季度的不良手機應用名單上就已經(jīng)出現(xiàn)過這幾款App的名字。

無獨有偶，深圳市消費者委員會在2015年8月的一項報告中顯示，手機軟件相關的消費投訴已成為投訴新熱點。其中，問題最為嚴重的是惡意吸費，投訴數(shù)量最多的是“開心消消樂”軟件和“滴滴充話費”軟件?！伴_心消消樂”是一款游戲軟件，但不少消費者反映，軟件故意制作消費陷阱，一不小心就會進入到購買電子貨幣的界面，并且扣取電話費。還有“滴滴充話費”軟件，這個軟件聲稱首次充電話費可以享受到5.5折的優(yōu)惠，很多人誤以為是給手機充話費，但當充錢后才發(fā)現(xiàn)，實際上是給一款網(wǎng)絡電話充話費，當用戶想退款時卻會遭遇難題。此外，很多手機軟件還涉及違規(guī)收集用戶信息、強行捆綁推廣其他無關應用軟件以及偷跑流量等問題。

這些流氓軟件不但影響用戶的使用體驗，而且侵犯消費者個人信息安全權、知情權和財產(chǎn)權。深圳市消委會還呼吁手機應用商店和軟件商，要提供安全可靠的軟件服務，杜絕發(fā)布存在盜取信息、強行捆綁、吸話費、偷流量等問題軟件，并暢通溝通投訴的渠道，及時處理消費者反映的問題。然而，在沒有法律監(jiān)督的條件下，這樣的呼吁多少顯得有些無力。

支付寶APP的困惑

2015年10月24日，一場挑戰(zhàn)網(wǎng)絡信息安全的極客“極棒”大賽（GeekPwn）在上海拉開帷幕。在比賽現(xiàn)場，一名白帽黑客現(xiàn)場演示了如何利用美甲嘟嘟充值系統(tǒng)項目的漏洞，通過在自己的手機上調用支付寶，在實際支付1分錢的情況下，完成任意價格的訂單充值。這項挑戰(zhàn)后來被稱為“驚天漏洞”，作為一款每日交易額度達到106億元的支付工具，這樣的漏洞后果不堪設想。

白帽黑客與普通的黑客不同，他們通常會攻擊他們自己的系統(tǒng)，或被聘請來攻擊客戶的系統(tǒng)以便進行安全審查。

在獲悉有人展示這一漏洞后，支付寶方面立即作出回應，稱“經(jīng)我們的技術人員排查，原因是商戶App發(fā)送付款單據(jù)給支付應用時，在商戶App內部被中間人劫持并篡改所致，跟支付接口無關?！?/p>

“這就是問題的關鍵所在，盡管像支付寶這樣每年花費千萬元用于保障網(wǎng)絡信息安全的大企業(yè)仍然無法避免被上千個與它相關聯(lián)的支付應用軟件所拖累?！卑⒗锇桶偷囊幻畔踩夹g人員鄭旻向記者解釋，這個漏洞通俗來說，就好比吃飯埋單時被服務員換成了另一桌的單子，拿去收銀臺付款了。這個漏洞實際上是商戶APP漏洞導致信息被劫持，結果影響到后端所有支付類應用。

2014年，支付寶曾經(jīng)宣布投入4000萬元建立安全基金確保網(wǎng)絡信息安全，然而這場展示的現(xiàn)實顯示，在眾多良莠不齊的智能化應用泛濫的今天，作為支付工具誰也無法獨善其身。支付寶也承認，雖然這個漏洞出在商戶端，與支付工具無關，但是前端商戶APP漏洞導致的信息被劫持，會影響到后端所有支付類應用。

“目前每天在蘋果應用中上線的App數(shù)量在500個左右，而能夠用于安卓系統(tǒng)的各種應用數(shù)量更加龐大，幾乎所有涉及互聯(lián)網(wǎng)的創(chuàng)業(yè)公司都在搞App，其中很多都涉及在線支付，并需要綁定你的手機，這意味著每個人的手機都被這些不安全應用留下可供黑客出入的后門?！眮碜試鴥软敿壓诳蛨F隊清華大學藍蓮花戰(zhàn)隊的楊坤目前已是一家網(wǎng)絡安全公司的創(chuàng)業(yè)者，他告訴記者，實際上，大多數(shù)手機應用APP的開發(fā)團隊都不配備信息安全專業(yè)人才，在這方面投入幾乎是零。

美甲嘟嘟、“阿姨幫”等多款O2O產(chǎn)品被選手破解，因為這一類應用在支付接口有著類似的漏洞。而選手選擇破解“功夫熊”項目卻因為融資失敗可能倒閉而根本無法完成。“如果下過這種應用，公司雖然倒閉了，卻可能已經(jīng)在你的手機里留下了隱患，即便你刪除應用，危險依然存在。”

“現(xiàn)在很多智能APP產(chǎn)品其實都是偽智能化，真正的智能化是建立在大數(shù)據(jù)的基礎上，而現(xiàn)在很多智能產(chǎn)品只是增加了手機控制功能，而缺乏安全防護的智能化產(chǎn)品反而給黑客們提供了可以攻擊破解的后門。”來自國內頂尖的白帽黑客團隊KEEN 的創(chuàng)始人兼CEO王琦曾表示。

據(jù)2016年1月22日發(fā)布的第37次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》，我國手機網(wǎng)民規(guī)模達6.20億，較2014年底增加6303萬人。網(wǎng)民中使用手機上網(wǎng)人群的占比提升至90.1%，手機依然是拉動網(wǎng)民規(guī)模增長的首要設備。其中僅通過手機上網(wǎng)的網(wǎng)民占18.5%，較2014年底提升了3.2個百分點?？梢灶A見的是，在未來，網(wǎng)民個人上網(wǎng)設備進一步向手機端集中。

“很多風險還在路上，而大多數(shù)人還不知道要買傘?！蓖蹒J為，智能手機的信息安全問題還沒有得到足夠的重視。

隨著網(wǎng)絡環(huán)境的日益完善、移動互聯(lián)網(wǎng)技術的發(fā)展，各類移動互聯(lián)網(wǎng)應用的需求逐漸被開發(fā)。從基礎的娛樂溝通、信息查詢，到商務交易、網(wǎng)絡金融，再到教育等公共服務，移動互聯(lián)網(wǎng)塑造了全新的社會生活形態(tài)，潛移默化地改變著移動網(wǎng)民的日常生活。而作為連接移動互聯(lián)網(wǎng)的終端設備——智能手機，能否真正地實現(xiàn)“智能化”，還有很長的路要走。