隨著 Android 在中國的爆炸式增長�,用戶和開發(fā)者在享受其開放性帶來的繁榮和便利的同時����,也開始不斷遭遇各種問題的困擾:扣費等惡意代碼、應(yīng)用內(nèi)廣告����、仿冒和山寨應(yīng)用����、以及濫用敏感權(quán)限,已經(jīng)成為威脅手機(jī)信息安全的首要問題���。
近日��,針對智能手機(jī)安全隱患����,國內(nèi)最大的 Android 應(yīng)用分發(fā)平臺豌豆莢,憑借對海量應(yīng)用的掃描和元數(shù)據(jù)分析����,公布了 Android 應(yīng)用的安全現(xiàn)狀的相關(guān)數(shù)據(jù)。并針對應(yīng)用的安全性��、是否包含廣告插件��、是否為正版���、以及對敏感權(quán)限的調(diào)用等問題推出「綠色標(biāo)簽」機(jī)制���,并在應(yīng)用詳情頁、搜索結(jié)果頁��、首頁及二級榜單頁面均予以標(biāo)注����,為用戶提供最安全放心的應(yīng)用下載體驗。
Android 應(yīng)用安全第一�,3 家安全廠商聯(lián)合檢測
在應(yīng)用安全方面,豌豆莢聯(lián)合騰訊手機(jī)管家�、360手機(jī)衛(wèi)士、LBE安全大師等 3 家知名手機(jī)安全廠商對扣費代碼等安全隱患進(jìn)行聯(lián)合檢測,并綜合 3 家的檢測結(jié)果力圖得到更準(zhǔn)確�、更謹(jǐn)慎的結(jié)論。
令人意外的是�,3 家安全廠商對同一款應(yīng)用的檢測結(jié)果存在一定差異。騰訊認(rèn)為有安全風(fēng)險的應(yīng)用中���,有 28.4% 360 和 LBE 都認(rèn)為是安全的��; 360認(rèn)為危險的應(yīng)用中���, 29.1% 被騰訊和 LBE 判定為安全; LBE 認(rèn)為危險的應(yīng)用中 76.8% 是 360 和騰訊都認(rèn)為安全的�����。
(圖:三家安全廠商掃描結(jié)果對比)
針對安全廠商檢測結(jié)果的差異�,豌豆莢采取了相對嚴(yán)謹(jǐn)?shù)奶幚矸绞剑簝H有一家安全廠商判定為存在風(fēng)險的應(yīng)用,即會被明顯標(biāo)識為可疑�;而兩家或兩家以上安全廠商判定為不安全的應(yīng)用���,將被直接下架���。
(圖:經(jīng)3家安全廠商綜合認(rèn)證的安全標(biāo)簽)
六成應(yīng)用包含廣告,下載前豌豆莢清晰提示
豌豆莢整理了超過 1000 個廣告特征���,對應(yīng)用進(jìn)行代碼級的廣告插件檢測�。數(shù)據(jù)表明: 目前,在數(shù)據(jù)樣本中39% 的應(yīng)用是無廣告的����;有 34.6% 的應(yīng)用內(nèi)嵌廣告,此類廣告可能在應(yīng)用內(nèi)放置了廣告橫幅或單獨的廣告欄目�����。此類廣告除了對用戶體驗的影響外����,還會造成更多的流量、電量消耗��,并且有可能會收集用戶的地理位置等數(shù)據(jù)�����。針對此類應(yīng)用�,豌豆莢會醒目地提示用戶其中包含內(nèi)嵌廣告。
另外�����,數(shù)據(jù)也驚人的表明,約有 26.4% 的應(yīng)用包含通知欄廣告�����。此類廣告形式飽受爭議����,當(dāng)用戶安裝了含此類廣告的應(yīng)用后,會經(jīng)常發(fā)現(xiàn)通知欄里面多了一些廣告信息����,有的甚至在用戶點擊后就會開始安裝另一款應(yīng)用。
豌豆莢在用戶下載安裝此類應(yīng)用的過程中會提示用戶風(fēng)險��、并且引導(dǎo)用戶去下載無廣告的其他版本�。并且,含通知欄廣告的應(yīng)用也不會出現(xiàn)在豌豆莢首頁的各類榜單推薦中�。
(圖:國內(nèi) Android 應(yīng)用內(nèi)廣告分布情況)
1/4 的應(yīng)用為仿冒或被篡改,豌豆莢與 Google Play 雙重認(rèn)證
應(yīng)用的簽名是開發(fā)者的唯一標(biāo)識����,同一應(yīng)用的不同簽名版本中有時存在若干款是仿冒或篡改的版本���。豌豆莢各項數(shù)據(jù)預(yù)估��,目前國內(nèi)用戶接觸到的不同應(yīng)用數(shù)量為 55.8 萬���。而如果計算應(yīng)用的不同簽名版本,則總數(shù)量超過 75W��,這意味著其中有將近 1/4 的應(yīng)用為仿冒或被篡改����。
(圖:國內(nèi) Android 應(yīng)用簽名對應(yīng)情況)
非官方開發(fā)者仿冒和篡改應(yīng)用的目的����,除了有出于個人興趣的漢化等,有相當(dāng)一部分是在應(yīng)用中嵌入廣告插件或惡意扣費代碼等�����、牟取利潤。目前大部分應(yīng)用下載渠道在提供應(yīng)用下載時都沒有對簽名進(jìn)行檢測����,仿冒和被篡改的應(yīng)用混雜在官方版本之間�����,用戶和開發(fā)者權(quán)益都得不到保障�。
豌豆莢「綠色標(biāo)簽」中的「Google 驗證」標(biāo)簽���,通過檢驗應(yīng)用簽名與豌豆莢認(rèn)證的應(yīng)用是否一致,用做判斷應(yīng)用是否是官方版的參考�、確保應(yīng)用沒有被第三方篡改同時,通過與 Google Play 中簽名作對比�,輔助判斷是否被第三方篡改。
(圖:豌豆莢與 Google Play 雙重認(rèn)證)
17.8% 應(yīng)用調(diào)用敏感權(quán)限�,豌豆莢明確標(biāo)注不再談隱私色變
Android 系統(tǒng)的開放性讓開發(fā)者能調(diào)用上百種手機(jī)權(quán)限以完善產(chǎn)品功能,但也有不少應(yīng)用調(diào)用本身功能并不需要的敏感權(quán)限���,以竊取用戶隱私����。目前�,豌豆莢從中挑出了4種權(quán)限是涉及隱私的,它們分別為:讀取通訊錄����、讀取短信信息、撥打電話���、發(fā)送短信�。如果某款應(yīng)用一旦調(diào)用了其中某一項權(quán)限����,就會在豌豆莢中被標(biāo)記為紅色可疑。通過掃描樣本�����,豌豆莢發(fā)現(xiàn)17.8%的應(yīng)用涉及到此類隱私的問題���。當(dāng)然�,如果這些應(yīng)用經(jīng)過人工審核����,發(fā)現(xiàn)調(diào)用的范圍在合理的范圍,就會被標(biāo)記回綠色信任���。
(圖:檢測應(yīng)用是否調(diào)用隱私權(quán)限)
憑借出色的用戶體驗�,豌豆莢已經(jīng)擁有超過 8500 萬用戶。目前收錄應(yīng)用超過 40 萬款�����,每日應(yīng)用分發(fā)量逾 1500 萬�����,從最初單純的個人信息管理工具成長為國內(nèi)最大的 Android 應(yīng)用獲取和手機(jī)管理平臺�。新版應(yīng)用搜索的發(fā)布和「綠色標(biāo)簽」機(jī)制的建立,標(biāo)志著豌豆莢應(yīng)用平臺由「全」向「精」的發(fā)展�����。據(jù)豌豆莢相關(guān)負(fù)責(zé)人透露��,之后豌豆莢還會對應(yīng)用本身的信息做進(jìn)一步的挖掘和整合����,讓用戶可以進(jìn)行細(xì)分標(biāo)簽的篩選,以保證更加方便����、放心的下載體驗。
