近日，中央網(wǎng)信辦主任魯煒在推進網(wǎng)絡(luò)空間法治化的座談會上透露，國家網(wǎng)信辦將出臺APP應(yīng)用程序發(fā)展管理辦法，以此監(jiān)管移動應(yīng)用行業(yè)出現(xiàn)的各種亂象。

　　北京網(wǎng)信辦主任佟力強也在會上透露，北京正在研究制定《北京市APP應(yīng)用程序公眾信息服務(wù)發(fā)展管理暫行辦法》、《北京市即時通信工具公眾信息服務(wù)發(fā)展管理暫時規(guī)定實施細則》、《北京市互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)審批暫行辦法》等系列法規(guī)，還將成立首都互聯(lián)網(wǎng)協(xié)會法律專家委員會，推動各網(wǎng)站人民調(diào)解委員會的建立。

　　APP的興起幾乎伴隨著病毒、竊取用戶信息等行業(yè)問題，而在亂象的背后，手機隱私竊取早已形成一條灰色的利益鏈條。

　　多位網(wǎng)絡(luò)安全人士在接受記者采訪時表示，由于目前APP應(yīng)用渠道混雜，用戶侵權(quán)舉證成本高，因此相關(guān)治理問題還需多管齊下。

　　愈演愈烈的安全問題

　　APP用戶的安全問題，幾乎已經(jīng)成為移動互聯(lián)網(wǎng)普遍的待解難題。

　　騰訊方面的數(shù)據(jù)顯示，2014年上半年，全國Android病毒感染用戶數(shù)達到8923.52萬，超過江蘇省總?cè)丝跀?shù)，是2012年全年Android手機染毒用戶的3.68倍。其中，Android手機病毒類型位列前三的分別為資費消耗、隱私獲取、流氓行為，占比分別為53.59%、22.08%、6.02%。誘騙欺詐與惡意扣費分別占比5.93%與5.9%。系統(tǒng)破壞、遠程控制、惡意傳播分別占比3.35%、2%、1.14%。

　　但從今年8月份開始，隱私竊取類病毒占比第一次超越資費消耗類病毒，以34.62%的比例占據(jù)第一位。

　　而百度安全實驗室的數(shù)據(jù)則顯示，今年第二季度開始，隱私竊取類的惡意軟件迎來了爆發(fā)，和上一季度相比，隱私竊取類惡意軟件的比例上漲非常迅速，達到了17.9%，上漲幅度達到了57%。

　　騰訊手機管家安全專家對《第一財經(jīng)日報》記者分析，之所以惡意扣費類手機病毒大幅下降，主要因為運營商對SP的監(jiān)管越來越嚴格，讓惡意扣費病毒無機可乘。由于Android平臺采取開放模式，權(quán)限管理松散，導(dǎo)致大量手機病毒違規(guī)讀取用戶個人隱私信息。

　　例如，在APP市場中存在著大量的被業(yè)內(nèi)人士稱為“打包黨”的團隊或公司，他們通過破解互聯(lián)網(wǎng)上最熱門的應(yīng)用，拆包后插入一些自己想要分發(fā)的內(nèi)容如加入病毒、廣告鏈或吸費指令等惡意程序后，再重新拼裝將這些“二次打包”的盜版軟件重新發(fā)布到應(yīng)用市場中去。

　　有第三方統(tǒng)計顯示，在今年第二季度里，中國平均每個APP有26.3個盜版，游戲類APP盜版尤甚。用戶一旦誤下并使用了上述APP，往往遭遇頻繁廣告騷擾、流量損失、扣費，嚴重的則可能被竊取密碼與個人隱私等。

　　而除了涉及隱私問題的手機病毒之外，更多的APP隱私邊界則掌握在開發(fā)者自己的手中。

　　李鐵軍告訴《第一財經(jīng)日報》記者，去年獵豹移動曾分析過100多萬款A(yù)PP，結(jié)果發(fā)現(xiàn)有50%左右的APP都需要獲取用戶本機的手機號，要求獲取定位信息也是普遍現(xiàn)象。

　　“APP申請權(quán)限有些和功能有關(guān)，例如打車軟件、團購APP，需要獲取用戶手機號是可以理解的，但并不是什么APP都需要獲取手機號碼。”李鐵軍對記者說。

　　而360互聯(lián)網(wǎng)安全中心發(fā)布的《2014年APP廣告插件安全研究報告》則顯示，在對當前安卓平臺1000款熱門應(yīng)用中最流行的10款正規(guī)廠商廣告插件進行全面安全性分析后，結(jié)果發(fā)現(xiàn)，10款A(yù)PP廣告插件均涉及收集用戶隱私信息、濫用隱私權(quán)限的情況，此外，還存在強制推送廣告、消耗手機流量、躲避安全軟件檢測等多種不良行為。

　　如何解決開放性與安全性的矛盾，這或許是安卓產(chǎn)業(yè)鏈業(yè)者所需要思考的問題。

　　商業(yè)牟利

　　這些被泄露的用戶隱私，變現(xiàn)的渠道包括用戶隱私信息的出售，以及自身的廣告推廣。而獲得用戶隱私信息的買家，則可能用于垃圾短信、騷擾甚至詐騙電話等，或者為廣告公司牟利。

　　騰訊安全專家陸兆華此前在接受《第一財經(jīng)日報》記者采訪時表示，由于收集地理位置、設(shè)備識別信息、本地手機號可面向固定而穩(wěn)定的手機用戶群精準匹配與投放相應(yīng)的廣告，并進行有效的用戶消費行為分析，符合部分急功近利的廣告商的利益訴求，APP開發(fā)者也可以因此而獲取廣告分成，因而獲取這類信息成為某些不正規(guī)廣告商與APP開發(fā)者共同的核心利益。

　　即使是未被病毒感染的手機，一個APP調(diào)用用戶權(quán)限越多，就越了解用戶信息，越接近ROM的價值，其商業(yè)價值空間就越大。

　　而通過查看一款手機應(yīng)用調(diào)用了哪些權(quán)限，如果這些權(quán)限不是拿去出售而是自用，也可以大致了解該應(yīng)用未來可能涉及的一些商業(yè)模式。

　　另一個現(xiàn)象則是，由于隱私獲取類病毒在2014年上半年快速發(fā)展，體現(xiàn)出會通過后臺上傳用戶短信、通訊錄、短信驗證碼等強隱私信息，而這類強隱私竊取類病毒正越來越偏向于緊盯用戶錢包，轉(zhuǎn)發(fā)用戶短信，呈現(xiàn)與移動支付病毒融合發(fā)展趨勢。

　　2014年7月，一款名為“宅男Film”的手機支付病毒不僅可以攔截支付回執(zhí)短信，并上傳手機支付短信驗證碼，會導(dǎo)致手機網(wǎng)購用戶銀行卡資金被盜。

　　今年8月的典型病毒有“XX神奇(器)”、“韓銀大盜”等支付類病毒。其中，“XX神奇”可讀取用戶手機聯(lián)系人，并調(diào)用發(fā)短信權(quán)限，將內(nèi)容發(fā)送至手機通訊錄的聯(lián)系人手機中，該病毒感染手機用戶超過100萬。

　　百度安全實驗室方面人士則表示，由于涉及用戶隱私的應(yīng)用種類繁多，比如手機銀行就有數(shù)十家，如果對其中的某一種或者某幾種隱私信息進行有針對性的竊取，相比于單純竊取短信、聯(lián)系人等行為隱蔽性更強，更難以被輕易檢測到。

　　在種種行業(yè)亂象背后，一個好的現(xiàn)象是，“安卓系統(tǒng)本身越發(fā)重視安全問題，如5.0新系統(tǒng)中引入了多項安全增強措施，加密用戶手機信息，交給用戶更多管理權(quán)限，安卓問題在不斷完善。”李鐵軍對記者表示。

　　而關(guān)于如何規(guī)范APP安全市場，近年來相關(guān)部門一直加大整頓的步伐。

　　在2013年11月，工信部發(fā)布《關(guān)于加強移動智能終端進網(wǎng)管理的通知》，根據(jù)要求，手機廠商預(yù)裝軟件必須經(jīng)過工信部的審核，并要求手機廠商不得安裝未經(jīng)用戶同意，擅自收集、修改用戶信息的軟件，以及給用戶造成流量消耗、費用損失、信息泄露等不良后果的軟件。

　　到了今年，工業(yè)和信息化部聯(lián)合公安部、工商總局自2014年4月至9月在全國范圍開展打擊移動互聯(lián)網(wǎng)惡意程序?qū)ｍ椥袆?。其中一項就包括三部門聯(lián)合印發(fā)了《打擊治理移動互聯(lián)網(wǎng)惡意程序?qū)ｍ椥袆庸ぷ鞣桨浮?，督促?yīng)用商店落實安全責(zé)任，開展應(yīng)用程序安全檢測，實施應(yīng)用程序開發(fā)者簽名試點，依法打擊相關(guān)網(wǎng)絡(luò)違法犯罪行為。

　　事實上，包括應(yīng)用寶、360手機助手、豌豆莢、91等在內(nèi)的主流應(yīng)用分發(fā)渠道，一直通過多重安全技術(shù)手段等來防范病毒應(yīng)用。

　　“盡管此前已經(jīng)從手機出廠方面對手機廠商和軟件預(yù)裝進行約束，但手機從出廠到達消費者的這一時間段處在監(jiān)管真空地帶，這類魚龍混雜的APP或?qū)⑥D(zhuǎn)向經(jīng)銷商、零售商等渠道完成刷機;此外，用戶在使用過程中，由于APP應(yīng)用渠道繁多混雜，用戶遇到侵權(quán)等問題的舉證成本高，”一位網(wǎng)絡(luò)安全方面人士對記者說，“APP相關(guān)治理問題不能靠單點突擊，還需多管齊下?！?