程秀才，王 蕊，榮鼎慧

（國家軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，江蘇 南京 210012）

智能手機(jī)APP軟件質(zhì)量現(xiàn)狀與分析

程秀才，王 蕊，榮鼎慧

（國家軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，江蘇 南京 210012）

隨著智能手機(jī)的普及，人們在溝通、社交、娛樂等活動(dòng)中越來越依賴于手機(jī) APP軟件（APP，英文Application的簡稱，即應(yīng)用軟件，通常是指iphone、安卓等手機(jī)應(yīng)用軟件）。但是目前，我國對手機(jī)APP的管理體制尚不成熟，加上不法商家的逐利特點(diǎn)，導(dǎo)致手機(jī)App的質(zhì)量問題，尤其是安全隱患頻發(fā)，例如難以卸載、偷跑流量、推送廣告、植入病毒、收集通信錄信息或位置信息、竊取用戶隱私和賬戶資金等等。隨著大眾質(zhì)量和隱私意識(shí)的不斷提高，手機(jī)APP軟件的質(zhì)量和安全問題也越來越引起人們的關(guān)注。本文將站在第三方軟件檢測機(jī)構(gòu)的角度，論述當(dāng)前我國手機(jī)APP的質(zhì)量安全問題，以及相關(guān)防范建議。

智能手機(jī)APP；質(zhì)量；安全

0 手機(jī)APP軟件特點(diǎn)

智能手機(jī)，是指像個(gè)人電腦一樣，具有獨(dú)立的操作系統(tǒng)、獨(dú)立的運(yùn)行空間，可以由用戶自行安裝軟件、游戲、導(dǎo)航等第三方服務(wù)商提供的程序，并可以通過移動(dòng)通訊網(wǎng)絡(luò)來實(shí)現(xiàn)無線網(wǎng)絡(luò)接入手機(jī)類型的總稱。

智能手機(jī)通常具有以下五大特點(diǎn)：

（1）具備無線接入互聯(lián)網(wǎng)的能力；

（2）具有PDA的功能，包括個(gè)人信息管理、日程記事、任務(wù)安排、多媒體應(yīng)用、瀏覽網(wǎng)頁；

（3）具有開放性的操作系統(tǒng)：擁有獨(dú)立的核心處理器（CPU）和內(nèi)存，可以安裝更多的應(yīng)用程序，使智能手機(jī)的功能可以得到無限擴(kuò)展；

（4）人性化：可以根據(jù)個(gè)人需要擴(kuò)展機(jī)器功能。根據(jù)個(gè)人需要，實(shí)時(shí)擴(kuò)展機(jī)器內(nèi)置功能，以及軟件升級，智能識(shí)別軟件兼容性，實(shí)現(xiàn)了軟件市場同步的人性化功能；

（5）功能強(qiáng)大：擴(kuò)展性能強(qiáng)，第三方軟件支持多。

根據(jù)手機(jī)APP安裝來源不同，又可分為手機(jī)預(yù)裝軟件和用戶自己安裝的第三方應(yīng)用軟件。

手機(jī)預(yù)裝軟件一般指手機(jī)出廠自帶、或第三方刷機(jī)渠道預(yù)裝到消費(fèi)者手機(jī)當(dāng)中、且消費(fèi)者無法自行刪除的應(yīng)用或軟件。

除了手機(jī)預(yù)裝軟件之外，還有用戶從91助手，豌豆莢，百度或360手機(jī)助手等手機(jī)應(yīng)用市場自己下載安裝的第三方手機(jī)APP應(yīng)用，下載類型主要集中在社交社區(qū)類軟件如陌陌、貼吧、天涯、直播，游戲類軟件如王者榮耀、魔獸世界等等。

1 手機(jī)APP質(zhì)量與安全現(xiàn)狀

隨著智能手機(jī)市場的蓬勃發(fā)展，智能手機(jī)預(yù)裝軟件已經(jīng)漸漸成為用戶體驗(yàn)的一大威脅。各大運(yùn)營商、手機(jī)設(shè)計(jì)生產(chǎn)廠商為了打造所謂“生態(tài)圈”，大多數(shù)智能手機(jī)出廠時(shí)預(yù)裝了很多工具軟件、娛樂軟件、社交軟件、電商軟件、安全軟件、學(xué)習(xí)軟件、以及游戲軟件等應(yīng)用，除了生產(chǎn)廠家自帶的系統(tǒng)軟件外，手機(jī)軟件開發(fā)商、刷機(jī)渠道還推出第三方應(yīng)用軟件。這些軟件由手機(jī)制造商進(jìn)行預(yù)裝，寫入手機(jī)系統(tǒng)，或者由刷機(jī)渠道預(yù)裝進(jìn)用戶手機(jī)，通常不可以被消費(fèi)者刪除。這些智能手機(jī)中的預(yù)裝軟件占用大量手機(jī)內(nèi)存，影響運(yùn)行速度，偷跑手機(jī)流量，泄露用戶隱私等，特別是一些刷機(jī)渠道，為了自己的商業(yè)利益在用戶手機(jī)中預(yù)裝了大量軟件，給手機(jī)用戶的資費(fèi)和隱私帶來巨大安全隱患。

目前，行貨手機(jī)強(qiáng)制預(yù)裝軟件的三個(gè)條件如下：

（1）手機(jī)出廠前預(yù)裝

所謂手機(jī)出廠前預(yù)裝，就是消費(fèi)者在購買到未拆封、未使用過的全新手機(jī)時(shí)，在手機(jī)默認(rèn)的初始狀態(tài)、出廠設(shè)置下，手機(jī)軟件已經(jīng)在手機(jī)中由廠商預(yù)先安裝好了，并且第一次開機(jī)后可以直接使用。

（2）第三方應(yīng)用范疇

強(qiáng)制預(yù)裝的手機(jī)軟件都屬于第三方應(yīng)用的范疇。所謂第三方應(yīng)用，首先排除了手機(jī)系統(tǒng)自帶的功能和程序，如系統(tǒng)原生相冊。其次，廠商提供的原廠服務(wù)作為手機(jī)整體的組成部分也不屬于第三方應(yīng)用，如應(yīng)用商店。

（3）無法使用正常手段刪除

強(qiáng)制預(yù)裝的手機(jī)軟件，其強(qiáng)制性就在于消費(fèi)者沒有對它們刪除、卸載的權(quán)限。這些軟件被寫入手機(jī)的固件，常規(guī)卸載軟件的方法甚至恢復(fù)出廠設(shè)置都無法刪除它們，除非對手機(jī)進(jìn)行破解、刷機(jī)。

市場上，許多手機(jī)生產(chǎn)廠商用的都是安卓系統(tǒng)，包括小米、酷派、華為、三星等，如此一來，安卓系統(tǒng)的開源性就導(dǎo)致很多的手機(jī)廠商可以任意修改個(gè)別設(shè)置和自由安裝，這就很容易導(dǎo)致安卓手機(jī)的安全性得不到保證，危險(xiǎn)也較多。目前市場上出現(xiàn)的APP安全漏洞主要是安卓系統(tǒng)上的，尤其是用戶隱私泄露一直比較嚴(yán)重。據(jù) 2016年某檢測機(jī)構(gòu)統(tǒng)計(jì)，在安卓系統(tǒng)中，有近 55.3%的移動(dòng)應(yīng)用具備讀取位置信息的權(quán)限，對于用戶隱私最重要的三項(xiàng)信息：通訊錄、通話記錄和短信記錄，其所占比例分別為22.8%、16.4%和13.9%。目前，存在隱私獲取權(quán)限的應(yīng)用在總應(yīng)用數(shù)量中的比例如下圖1所示。

圖1 存在隱私獲取權(quán)限的應(yīng)用在總應(yīng)用數(shù)量中的比例%Fig.1 The percentage of the total number of applications in which privacy access permissions are applied

安卓系統(tǒng)下的安全漏洞現(xiàn)狀更是不容樂觀，2016年，在對安卓系統(tǒng)下的APP軟件檢測時(shí)發(fā)現(xiàn)，近97%的APP軟件都存在安全漏洞問題，有的APP軟件上的漏洞竟高達(dá)30多個(gè)。具體數(shù)據(jù)可見下圖2、圖3和圖4所示。

圖2 不同類別手機(jī)APP軟件動(dòng)態(tài)掃描漏洞總數(shù)Fig.2 The total number of dynamic scanning vulnerabilities in different types of mobile APP software

另外，工信部于今年二季度發(fā)布的《工業(yè)和信息化部關(guān)于電信服務(wù)質(zhì)量的通告（2017年第3號）》顯示，在對55家手機(jī)應(yīng)用商店的應(yīng)用軟件進(jìn)行技術(shù)檢測時(shí)，發(fā)現(xiàn)違規(guī)軟件42款，涉及違規(guī)收集使用用戶個(gè)人信息、惡意“吸費(fèi)”、強(qiáng)行捆綁推廣其他應(yīng)用軟件等，可見，雖然很多政府部門嚴(yán)加監(jiān)管，但手機(jī)安全隱患并沒有徹底消除。

圖3 安卓系統(tǒng)手機(jī)APP軟件漏洞類別分布Fig.3 The class distribution of android mobile phone APP software vulnerabilities

圖4 安卓系統(tǒng)手機(jī)APP軟件漏洞風(fēng)險(xiǎn)級別分布Fig.4 The risk level distribution of android mobile phone APP software vulnerabilities

2 手機(jī)APP安全隱患產(chǎn)生的原因分析

以目前占據(jù)市場份額最多的安卓手機(jī)為例，當(dāng)下許多手機(jī)生產(chǎn)廠商用的都是安卓系統(tǒng)，包括小米、酷派、華為等，如此一來，安卓系統(tǒng)的開源性就導(dǎo)致很多的手機(jī)廠商可以任意修改個(gè)別設(shè)置并自由安裝，這就很容易導(dǎo)致安卓手機(jī)的安全性得不到保證，危險(xiǎn)也就增多。目前市場上出現(xiàn)的APP安全漏洞主要是安卓系統(tǒng)上的，它的安全性確實(shí)比蘋果的 IOS系統(tǒng)稍遜。

手機(jī)安全問題的幕后，其實(shí)是一個(gè)復(fù)雜的灰色生產(chǎn)鏈，該生產(chǎn)鏈涉及到：APP開發(fā)商、移動(dòng)平臺(tái)廣告商、手機(jī)生產(chǎn)商和某些不法創(chuàng)業(yè)團(tuán)體等。而這一切的來源就是利益驅(qū)動(dòng)，這也是安全隱患產(chǎn)生的最根本原因。

2.1 APP 開發(fā)商

很多的APP漏洞都是由一些簡單的錯(cuò)誤編碼或參數(shù)使用不當(dāng)所導(dǎo)致，開發(fā)者寫錯(cuò)一個(gè)編碼或是將參數(shù)稍微變動(dòng)一下，APP上的關(guān)鍵數(shù)據(jù)就很有可能被暴露，從而帶來安全問題。

有些開發(fā)商在后期檢測中不會(huì)主動(dòng)去關(guān)注這些看似較小的細(xì)節(jié)問題，沒有對APP源碼進(jìn)行修改，安全問題就很容易出現(xiàn)。

對于許多的 APP開發(fā)者（尤其是那些違規(guī)的APP生產(chǎn)商）而言，他們的目的就是要?jiǎng)?chuàng)造出更多、更吸引人購買的APP應(yīng)用程序。這種相對功利性、任務(wù)性的工作意識(shí)，讓他們在開發(fā)時(shí)往往忽略掉很多安全性方面的考慮，在推廣前更沒有進(jìn)行反復(fù)的功能測試和安全測試，就匆匆上市發(fā)布，這樣開發(fā)出來的產(chǎn)品或許會(huì)賣個(gè)好價(jià)錢，但是對用戶而言，

后期的損失可能比這個(gè)價(jià)錢要多得多。

如果是那些急功近利的違規(guī)APP生產(chǎn)商，利益的驅(qū)動(dòng)更會(huì)讓他們鋌而走險(xiǎn)，在APP中直接嵌入某些病毒和惡意程序，如果這有這樣的事情發(fā)生，后果更是不可想象。

2.2 移動(dòng)平臺(tái)廣告商

截至 2017年 6月，我國網(wǎng)民規(guī)模已達(dá)到 7.51億，半年共計(jì)新增網(wǎng)民1992萬人?；ヂ?lián)網(wǎng)普及率為54.3%，較2016年底提升1.1個(gè)百分點(diǎn)。手機(jī)網(wǎng)民規(guī)模達(dá)7.24億，較2016年底增加2830萬人。網(wǎng)民使用手機(jī)上網(wǎng)的比例由 2016年底的 95.1%提升至96.3%。中國已經(jīng)進(jìn)入移動(dòng)互聯(lián)網(wǎng)全民時(shí)代，因此，大數(shù)據(jù)的優(yōu)勢對于生產(chǎn)廠商而言就變得十分重要。

因此，許多廣告商都在試圖去搜集大數(shù)據(jù)，以期為自己所用。而移動(dòng)應(yīng)用平臺(tái)的快速發(fā)展更是給這些商家提供了更加便利的途徑。

況且，如此龐大的市場前景，必然也會(huì)出現(xiàn)魚龍混雜的情況。因?yàn)闊o論是手機(jī)還是手機(jī)號碼，都是相對穩(wěn)定的因素。通過APP預(yù)先設(shè)定的程序收集設(shè)備識(shí)別信息、地理位置等必要的信息可以幫著廣告商適時(shí)而又準(zhǔn)確的將廣告投放到對應(yīng)的用戶當(dāng)中（廣告商利用APP的“針對性”將廣告嵌在應(yīng)用程序中，待用戶啟動(dòng)APP時(shí)就自動(dòng)彈出或顯示），而APP的開發(fā)者也會(huì)因此而獲得相應(yīng)的利益分紅。既節(jié)省了廣告商在發(fā)布廣告時(shí)所產(chǎn)生的中間費(fèi)用又能夠有效的控制廣告目標(biāo)用戶的準(zhǔn)確性，保證廣告的有效性，只賺不賠，自然蜂擁而至。

2.3 不法手機(jī)生產(chǎn)商和創(chuàng)業(yè)團(tuán)體

手機(jī)作為APP的移動(dòng)終端設(shè)備，它們的存在就是給這些品種繁多的APP們使用。一般情況下，手機(jī)中并不會(huì)搭配APP進(jìn)行出售，除非是客戶提出要求。但是一些違規(guī)的手機(jī)生產(chǎn)廠商或創(chuàng)業(yè)團(tuán)體甚至為達(dá)到目的向用戶出售已經(jīng)安裝過某些特定用途APP的手機(jī)，將惡意軟件或廣告嵌在手機(jī)中，以此來達(dá)到惡意扣費(fèi)或違法強(qiáng)制宣傳推廣等目的。例如，一些走私版 HTC智能手機(jī)在出廠時(shí)就曾內(nèi)置過MobileReader看書軟件，這些軟件會(huì)自動(dòng)收費(fèi)，稍不注意，就會(huì)向用戶收取高額增值稅。還有某些品牌的智能手機(jī)，其正品行貨手機(jī)開機(jī)后已經(jīng)內(nèi)置了360手機(jī)安全衛(wèi)士、youni短信等眾多軟件，雖然無害但是依舊會(huì)影響用戶的正常生活。這些APP是通過一些專門的“一鍵刷機(jī)”軟件刷入手機(jī)之中，并非品牌官方安裝。

3 手機(jī)APP安全風(fēng)險(xiǎn)防范

3.1 政府部門加強(qiáng)市場規(guī)范與監(jiān)管

2016年12月23日，工信部發(fā)布《移動(dòng)智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定》，該《規(guī)定》共14條，自2017年7月1日起實(shí)施。其中第七條明確規(guī)定：生產(chǎn)企業(yè)和互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)確保除基本功能軟件外的移動(dòng)智能終端應(yīng)用軟件可卸載。這意味著，只要不是基本功能軟件，哪怕是手機(jī)廠商自家開發(fā)的應(yīng)用，也應(yīng)該支持卸載。第五條第二款還規(guī)定：未經(jīng)明示且經(jīng)用戶同意，不得實(shí)施收集使用用戶個(gè)人信息、開啟應(yīng)用軟件、捆綁推廣其他應(yīng)用軟件等侵害用戶合法權(quán)益或危害網(wǎng)絡(luò)安全的行為。第八條第二款更是明確提出，應(yīng)建立應(yīng)用軟件管理機(jī)制，對應(yīng)用軟件進(jìn)行審核及安全、服務(wù)等相關(guān)檢測，對審核和檢測中發(fā)現(xiàn)的惡意應(yīng)用軟件等違法違規(guī)軟件，不得向用戶提供；對所提供應(yīng)用軟件進(jìn)行跟蹤監(jiān)測，及時(shí)處理違法違規(guī)軟件，建立完善用戶舉報(bào)投訴處置措施等。

各地方政府主管部門，例如下屬第三方軟件質(zhì)檢機(jī)構(gòu)，完全可以以此為依據(jù)，開展智能手機(jī)APP軟件風(fēng)險(xiǎn)監(jiān)測工作，重點(diǎn)關(guān)注其安全性，及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)并通報(bào)，為社會(huì)創(chuàng)造一個(gè)較為安全的使用環(huán)境。

同時(shí)，建議質(zhì)監(jiān)部門盡快制定手機(jī)APP軟件的各類詳細(xì)標(biāo)準(zhǔn)，甚至是強(qiáng)制性標(biāo)準(zhǔn)，約束各大手機(jī)廠商，從前期就把好關(guān)口，做好手機(jī)軟件的產(chǎn)品質(zhì)量安全工作，杜絕偷跑流量、做好安全防護(hù)、防止隱私泄露等，規(guī)范預(yù)置軟件的開發(fā)、測試等一系列行為，從根本上保障消費(fèi)者的權(quán)益。

3.2 個(gè)人用戶增強(qiáng)安全防范意識(shí)

針對手機(jī)預(yù)置軟件，給消費(fèi)者建議如下：

1、安裝可靠的手機(jī)安全防護(hù)軟件，定期升級，以提升信息安全性。

2、盡量選擇從手機(jī)軟件的官方網(wǎng)站、信譽(yù)良好的第三方應(yīng)用商店等正規(guī)渠道下載APP，不要輕易點(diǎn)擊APP中的彈出廣告和各種不明鏈接，不掃描來源不明的二維碼。

3、通過安全應(yīng)用查殺手機(jī)木馬、管理 APP權(quán)限，阻止APP收集隱私和通過各種途徑上傳。

4、養(yǎng)成及時(shí)關(guān)閉后臺(tái)應(yīng)用程序的習(xí)慣、關(guān)閉自動(dòng)更新，使用手動(dòng)更新、刪除或減少耗電量高的預(yù)裝軟件。

[1] 工信部, 《工業(yè)和信息化部關(guān)于電信服務(wù)質(zhì)量的通告（2017年第3號）》.

[2] 工信部, 《移動(dòng)智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定》.

[3] 榮鼎慧. 國內(nèi)軟件質(zhì)量評價(jià)服務(wù)現(xiàn)狀[J]. 軟件, 2016,37(10): 51-54.

[4] 王象剛. 基于產(chǎn)品競爭優(yōu)勢的手機(jī)開發(fā)設(shè)計(jì)研究[J]. 軟件,2014. 35(1): 150-151.

[5] 孟祥雨, 李學(xué)軍. 智能手機(jī)軍事化應(yīng)用前景研究[J]. 軟件,2014, 35(4): 78-79.

[6] 李藝琳. 基于Android 平臺(tái)智能手機(jī)短信應(yīng)用的研究與改善[J]. 軟件, 2014, 35(9): 109-114.

[7] 李淑民. Android 手機(jī)隱私泄露研究[J]. 軟件, 2015, 36(2):69-72.

[8] 司亞清, 劉蕾. 智能手機(jī)用戶體驗(yàn)的影響因素研究[J]. 軟件, 2015, 36(3): 111-115.

[9] 汪文彬, 楊少輝. 基于短信控制的Android手機(jī)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件, 2015, 36(6): 21-25.

[10] 程衛(wèi)軍, 艾中良. 一種基于智能手機(jī)的可穿戴設(shè)備安全架構(gòu)[J]. 軟件, 2015, 36(11): 105-107.

Status and Analysis of Smartphone APP Software Quality

CHENG Xiu-cai, WANG Rui, Rong Ding-hui
(National Center of Supervision & Inspection on Software Products Quality (Jiangsu), Nanjing, 210012, China)

With the popularity of smart mobile phone, people in communication, social, entertainment and other activities in the increasingly dependent on mobile phone APP software (APP, English Application, which usually refers to the application software, iPhone, Android and other mobile phone applications). But at present, China's mobile phone on the APP management system is not mature, plus profit characteristics of illegal businesses, resulting in quality problems of App mobile phone, especially the frequency of security risks, for example, it is difficult to uninstall, sneak flow, push advertising, implant viruses, recorded in the information communication or collect location information, steal user privacy and the account funds and so on. With the continuous improvement of public quality and privacy awareness, the quality and security of mobile APP software has attracted more and more attention. This paper will discuss the quality and safety of mobile phone APP in our country from the angle of third party software inspection organization, and some relevant suggestions.

Smartphone APP; Quality; Security

TP311.56

A

10.3969/j.issn.1003-6970.2017.11.030

本文著錄格式：程秀才，王蕊，榮鼎慧. 智能手機(jī)APP軟件質(zhì)量現(xiàn)狀與分析[J]. 軟件，2017，38（11）：156-159

程秀才，男，(1979-），博士，副高，主要研究方向：軟件及智能化檢驗(yàn)檢測公共技術(shù)服務(wù)平臺(tái)的建設(shè)與運(yùn)營；王蕊，女，(1983-），碩士，工程師，主要研究方向：軟件及智能化檢驗(yàn)檢測技術(shù)；榮鼎慧，女，(1983-），碩士，工程師，主要研究方向：標(biāo)準(zhǔn)化。