Android開(kāi)放機(jī)制存漏洞 業(yè)內(nèi)支招防隱蔽吸費(fèi)
2011/01/06
1月6日消息, Android平臺(tái)軟件吸費(fèi)成為業(yè)內(nèi)關(guān)注的焦點(diǎn)。有業(yè)內(nèi)人士表示,部分Android軟件存在暗扣費(fèi)用的現(xiàn)象,不過(guò)這一比例在10%,甚至在5%以下。而要做到防范隱蔽吸費(fèi),運(yùn)營(yíng)商、開(kāi)發(fā)者和用戶(hù)應(yīng)協(xié)同防范。
Android隱蔽吸費(fèi)軟件在5%以下
有媒體此前報(bào)道稱(chēng),被植入惡意扣費(fèi)代碼的Android平臺(tái)軟件達(dá)到40%。易聯(lián)致遠(yuǎn)CEO、eoe android社區(qū)創(chuàng)始人靳巖在新浪微博中表示,“我覺(jué)得有點(diǎn)扯,估計(jì)是某些公司散布出來(lái)的噱頭,不過(guò)暗扣應(yīng)該是存在的!彼硎荆40%的比例有些夸張了,被暗扣的Android平臺(tái)軟件不到10%,甚至不到5%。”
靳巖認(rèn)為,Android平臺(tái)軟件如果要植入扣費(fèi)代碼,SP需要有短信代扣費(fèi)的資質(zhì),而要具備這樣的資質(zhì),SP需要向運(yùn)營(yíng)商申請(qǐng)發(fā)短信的權(quán)限!耙?yàn)橐恍⿷?yīng)用,比如主題應(yīng)用、游戲應(yīng)用,無(wú)需收發(fā)短信權(quán)限,所以運(yùn)營(yíng)商在向SP釋放權(quán)限時(shí)也會(huì)審核,目前,運(yùn)營(yíng)商向SP發(fā)放的短信代扣費(fèi)的權(quán)限并不多!
一位專(zhuān)做Android平臺(tái)應(yīng)用商店的負(fù)責(zé)人表示,這種Android平臺(tái)的吸費(fèi)十分隱蔽,軟件上的用戶(hù)協(xié)議特別長(zhǎng),一般的用戶(hù)沒(méi)有耐心將協(xié)議讀完就會(huì)確認(rèn)“下一步”,而這些吸費(fèi)軟件往往是在協(xié)議的最后注明收取短信的費(fèi)用,或者要用戶(hù)開(kāi)通使用權(quán)限,而普通的用戶(hù)根本注意不到這些。吸費(fèi)軟件利用用戶(hù)的大意鉆了空子。
Android開(kāi)放機(jī)制存漏洞
2007年11月5日,谷歌宣布推出基于Linux平臺(tái)的Android開(kāi)源手機(jī)操作系統(tǒng),開(kāi)放性成為其最大特征。靳巖坦言,Android平臺(tái)軟件出現(xiàn)吸費(fèi)現(xiàn)象與Android的開(kāi)放機(jī)制有很大的關(guān)系!疤貏e是一些國(guó)外收費(fèi),國(guó)內(nèi)卻免費(fèi)的軟件,在漢化的過(guò)程中,開(kāi)發(fā)者很容易在軟件中植入一段吸費(fèi)代碼,這樣很容易讓‘小白用戶(hù)’上當(dāng)。”
而另一位業(yè)內(nèi)人士表示,Android平臺(tái)軟件出現(xiàn)吸費(fèi)主要是因?yàn)槎胃脑,Android平臺(tái)的開(kāi)放,很容易讓SP們進(jìn)行反編譯,內(nèi)置吸費(fèi)代碼。
除了Android平臺(tái)本身的問(wèn)題,還有一點(diǎn)值得注意的是,在軟件論壇里存在的吸費(fèi)軟件比例遠(yuǎn)遠(yuǎn)大于用戶(hù)從軟件商店里直接下載的比例。 “應(yīng)用商店里,已經(jīng)經(jīng)過(guò)了相對(duì)嚴(yán)格的審核和測(cè)試,將更加安全!币粯I(yè)內(nèi)人士表示。
協(xié)同防范Android隱蔽吸費(fèi)
靳巖表示,應(yīng)該從源頭和用戶(hù)兩端去防范Android平臺(tái)軟件吸費(fèi)問(wèn)題,在軟件開(kāi)發(fā)商方面,他認(rèn)為作為軟件的發(fā)行者,應(yīng)該加強(qiáng)對(duì)軟件的檢測(cè),一旦發(fā)現(xiàn)軟件存在短信吸費(fèi)的后門(mén),應(yīng)該及時(shí)提醒和告知用戶(hù)。
而在用戶(hù)方面,靳巖建議用戶(hù)了解Android平臺(tái)的開(kāi)放機(jī)制,遇有需要訪問(wèn)聯(lián)系人權(quán)限及當(dāng)前應(yīng)用有用戶(hù)協(xié)議的,應(yīng)謹(jǐn)慎留意。
也有網(wǎng)友建議稱(chēng),”在安裝軟件時(shí),請(qǐng)務(wù)必看仔細(xì)軟件的告示,如軟件提示要用到系統(tǒng)的電話(huà)功能、短信彩信功能,那這軟件就有可能是吸費(fèi)軟件。Android最大的特色是系統(tǒng)的開(kāi)放性,這也是該系統(tǒng)易受攻擊的原因。軟件的來(lái)源最重要,一般android market還是比較可靠的!
還有網(wǎng)友編寫(xiě)扣費(fèi)軟件檢查工具,幫助用戶(hù)檢查已經(jīng)下載的應(yīng)用是否含有吸費(fèi)軟件代碼。
有業(yè)內(nèi)人士建議,用戶(hù)可以下載手機(jī)安全軟件幫助用戶(hù)進(jìn)行甄別和檢測(cè)。
“SP植入吸費(fèi)代碼從功能手機(jī)開(kāi)始的,現(xiàn)在轉(zhuǎn)到Android平臺(tái)上,對(duì)于運(yùn)營(yíng)商而言,除非關(guān)閉所有的計(jì)費(fèi)通道,否則很難從根本上杜絕!敖鶐r說(shuō),不過(guò)他建議運(yùn)營(yíng)商可以做適當(dāng)?shù)谋O(jiān)控,并采取一些措施。
最新的研究統(tǒng)計(jì)顯示,Android 已經(jīng)有超過(guò) 200,000 個(gè)游戲和應(yīng)用。每秒鐘有 103 個(gè) Android 應(yīng)用被下載。
新浪科技(tech.sina.com.cn)
相關(guān)閱讀: