手机安装应用程序遭遇“安一赠一”甚至“安一赠多”的捆绑安装,这让很多手机用户烦不胜烦。今年二季度,包括百度手机助手、天翼空间、91门户、小米应用商店、魅族手机应用商店等在内的14家应用商店的32款软件,都因强行捆绑推广其他无关应用软件、恶意“吸费”,以及未经用户同意,收集、使用用户个人信息等原因被工信部点名批评。
本月,工信部发布2016年二季度检测发现问题的应用软件名单,包括百度手机助手、天翼空间、91门户、小米应用商店、魅族手机应用商店等在内的14家应用商店的32款APP软件,因强行捆绑推广其他无关应用软件、恶意“吸费”,以及未经用户同意,收集、使用用户个人信息等原因被点名批评。多名用户表示,安装应用程序经常会遇到“安一赠一”甚至“安一赠多”的捆绑安装,这让用户烦不胜烦。安全专家提示,这些捆绑软件多有病毒,会对用户的系统安全造成隐患。用户应当选择正规途径安装软件,且安卓用户手机上最好安装一些能够及时更新病毒库的杀毒软件、软件管家等。
多名用户遭遇捆绑下载
用户樊先生经常玩一款微信游戏保卫萝卜。一天,该软件提示需要“升级”,樊先生根据指引进行升级安装。在升级过程中,有项“省流量安装”的选项,樊先生便进行勾选了。谁知,系统自动帮其下载了腾讯的应用宝软件,此后,樊先生经常收到应用宝的各种推送通知,“各种推送,烦死了”。
学生小刘喜欢更换各种图片当做手机屏保和壁纸,于是她下载了多个锁屏和桌面主题软件。她发现,这些软件中许多都会弹出广告窗,只要自己一不小心点击到广告窗的位置,就会直接“被下载”,甚至都没有问询下载的界面。在下载过程中,小刘想取消都无法取消,她感到“很苦恼”。
市民陈女士一次在互联网上搜索文件,当点击进入后系统提示必须安装相应格式修改软件才能打开,陈女士随即点击下载。然而下载后她发现,除了格式修改器,系统还自动“赠送”了一个百度手机助手的软件。陈女士并没有删除百度手机助手,几天后她发现,手机又自动下载了百度浏览器等同品牌软件,并且该软件被设置为自动更新,每过几天,手机界面上就会多出一些诸如“最强IQ题”、“桌球”、“壁纸下载”等不相关的软件,让她烦不胜烦。
游戏爱好者赵先生下载了一款名为“雷神战机(口袋风暴)”的游戏,然而没多久,他发现自己的话费被意外扣了好多。去营业厅查询才发现,是一些付费短信“吞”掉了话费,而这些付费短信正是雷神战机这款游戏私自发送的。
捆绑下载可能被恶意扣费
根据行为属性,工信部将移动互联网恶意程序分为八类:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈及流氓行为。本月,工信部发布2016年二季度检测发现问题的应用软件名单,包括百度手机助手、天翼空间、91门户、小米应用商店、魅族手机应用商店等在内的14家应用商店的32款软件,因强行捆绑推广其他无关应用软件、恶意“吸费”,以及未经用户同意,收集、使用用户个人信息等原因被点名批评。其中,百度手机助手中有五款软件因强行捆绑推广其他无关应用软件被工信部定为“不良软件”。
捆绑软件不仅占用用户手机空间、耗费流量,更关键的是其中经常会携带一些病毒,危害手机安全。根据西安交通大学信息安全法律研究中心发布的《软件捆绑安装法律规制研究报告》,我国目前主要的软件捆绑滥用行为包括欺骗或诱导式的软件捆绑安装行为、未作任何提示的软件捆绑安装行为两类。而更让人担心的是,软件捆绑安装是目前病毒、蠕虫、ROOTKIT、木马、僵尸软件等恶意软件传播的重要途径,这是在软件提供商进行软件捆绑安装时必须引起重视的安全风险。
安全牛总编李少鹏对北京青年报记者介绍,一旦手机通过捆绑的恶意软件中了上述病毒,恶意软件就会自动监控用户的手机、盗取用户账户,甚至盗取银行里的钱,带来极大的安全风险。
捆绑软件半年获利上百万
事实上,工信部早已发布的20号令就明确规定:“互联网信息服务终端软件捆绑其他软件的,应当以显著的方式提示用户,由用户主动选择是否安装或者使用,并提供独立的卸载或者关闭方式,不得附加不合理条件。”但直到现在,捆绑软件依然猖獗。
据了解,在预装软件的背后,是一些软件公司为了增加用户量的不法行为。目前,有一些专门的“软件推广联盟”来进行软件捆绑的活动,推广联盟与软件开发商合作,为每次软件下载收费。根据某推广联盟的报价,软件被有效安装一次,推广人员可获得0.5-2元不等的报酬,因此这些推广联盟便以捆绑软件或自动更新等方式,最大化扩展装机量。
据某互联网安全机构上半年的统计,一款作为“流氓软件”的截图软件被捆绑了五款软件,受影响的用户数量116万。其中一款软件每有效安装一次报价为0.7元,照此计算,该截图软件总共可从软件厂商处获利81.2万,捆绑的五款软件半年获利或达上百万元。
除了推广联盟的赚钱需要,一些软件公司也会为了推广公司的其他软件而捆绑下载,比如百度系的多款软件。图示制作/谢爽
新闻内存
软件是如何被捆绑的?
为何本来只想要下载一个软件,却被系统自动识别为两个呢?360安全专家杨卿表示,捆绑软件“就是对原始APP进行修改,装APP的时候会顺带装上捆绑的木马或其他应用,算侵犯著作权吧”。他表示,这种现象并非最近刚兴起的,多年前就已经存在了。
安全牛总编李少鹏告诉北青报记者,捆绑软件是利用了一种技术,“打包技术或叫加壳技术,可以把两个程序放在一起打包,让安装器认为是一个软件。”那么应用商店可以识别出来这种打包软件吗?李少鹏称,事实上正规的应用商店是拥有相应检测技术的,是可以识别的。但是用户如果使用浏览器等渠道下载,而同时手机上又没有安装安全软件时,就不好识别了。
至于在自动更新等状况下下载捆绑软件,李少鹏表示,这种“自动更新”是一种伪装的自动更新,事实上捆绑软件就在原先的软件中嵌套着,一旦进行自动更新,就会自动下载捆绑软件。而“点击广告就可以直接下载”,则是利用了系统漏洞,“一定是系统有漏洞,否则的话是不可能的。”
不过,上述漏洞和捆绑下载多发于安卓系统中。虽然不能绝对地说苹果系统比安卓系统更加安全,但是从目前发生的许多案例来看,安卓系统用户受到侵害的频率相较于苹果系统用户更高。
用户如何规避“被捆绑”?
360安全专家杨卿称,捆绑软件属于“流氓软件”,这种行为很难被监管。若想防范捆绑软件,用户自己要留意。李少鹏介绍,第一要从正规的应用商店下载,不要从互联网外部链接或其他小应用商店下载应用;第二,手机上最好安装一些能够及时更新病毒库的杀毒软件、软件管家等,它们可以有效阻拦、清理病毒等。本组文/本报记者 温婧
(责任编辑:宋雅静)
