服务热线021-5080-9316 在线咨询 留言/需求提交

APP外包背后的利益链:谁动了你的手机

【摘要】  随着Android、iPhone等智能手机的流行,智能手机的第三方应用程序APP处于高速增...
  随着Android、iPhone等智能手机的流行,智能手机的第三方应用程序APP处于高速增长阶段,并受到越来越多消费者的追捧。但在众多让人炫目的APP应用背后,却隐藏着许多陷阱。他们利用APP应用掌握的庞大客户信息,如用户的姓名、生日、手机号码、通信录、地理位置、短信等,赚取着你所不知道的高额回报,而你,却正成为买单者。

  那么,问题来了,这些APP是通过什么手段对用户的信息进行获取?而这背后又隐藏什么样的利益链条?

  我国移动互联网发展已经进入全民时代。截至2014年6月,中国网民规模达6.32亿,其中,手机网民规模5.27 亿,互联网普及率达到46.9%。在网民上网设备中,手机使用率达83.4%,超越传统PC整体80.9%的使用率,移动终端已经成为一种重要的媒介,占据了人们越来越多的时间,成为用户日常生活不可分割的一部分。

  与此同时,大数据是互联网乃至移动互联网时代的标志之一。正是由于大数据在当下和未来市场中能够带来的包括经济上的价值,所以一些APP开发商开始将目光着眼于大数据的收集,利益也就从此而来。

  由于收集地理位置、设备识别信息、本地手机号可面向固定而稳定的手机用户群精准匹配与投放相应的广告,并进行有效的用户消费行为分析,符合部分急功近利的广告商的利益诉求,APP开发者也可以因此而获取广告分成,因而获取这类信息成为某些不正规广告商与APP开发者共同的核心利益。

  实际上,撇开不法的APP应用不谈,目前市面上出现的包括游戏、生活、教育等各类的APP应用程序都在尽可能调用收集用户尽可能多的权限,这样做的背后就是这些APP开发商将会越来越了解用户的信息,当达到一定的程度之后其商业价值也就会成倍放大。

  隐秘的信息收集

  像往常一样,在自己的安卓手机上打开几个经常浏览的应用商店,开始挑选时下最热门的手机游戏。在浏览了几家应用商店均未发现自己中意的APP游戏后,他选择将自己此前下的“QQ单机斗地主”重新下载。

  将“单机斗地主”的关键词输入到应用商店的搜索条中,跳出来许多斗地主的应用软件,一款名为“单机斗地主”的APP应用排在下载量首位,在浏览了图标和自己此前下的游戏没太大差别之后,选择下载,并且在下载安装时也忽略了权限提示。

  但是当打开这款应用时才发现,这款游戏图标和名称都和自己此前玩的那款游戏极为相似,唯一一点不同就是会强制跳出广告,时不时还有诱导安装其他APP应用的图标弹出。如果手误点进去的话,就必须要看十几秒的广告,或是直接跳转到其他APP应用的下载页面。

  所不知道的是,在打开这些看似不花钱的广告时,自己的一些隐私信息也许正在被传到云端。

  有些人在手机上使用一款手电筒的APP应用,使用过后发现十分方便,回家之后在应用商店中找到多款手电筒的APP应用,并下载了一个制作较为美观的。

  下载完成的安装过程中,对于提示的权限一扫而过,快速安装了这款APP应用。正因为忽视,一款需要取得用户的GPS位置权限的手电筒应用被安装到了手机中。

  一般情况下一款以位置交友为主要目的APP应用,它需要获得用户的GPS权限,那也是合情合理的。而一款手电筒或者类似的单机类的APP应用,通常没有必要去取得用户的GPS位置权限。

  也许有人会说,很多APP在软件本身被开发设计的时候,已经考虑到APP自身更新的需求,这样开发者会将软件自动提示升级的功能加入到软件内。因此,很多APP都在安装的时候需要获得用户手机的互联网访问权限。

  但是这种APP应用有着威胁隐私的嫌疑,这也极大增加了个人手机的风险程度。

  上述APP应用主要还是来自于一些电子市场应用商店、各种手机论坛或者是有心人在别人手机中特意种下。

  事实上,一些软件会以各种名目要求用户上传个人信息或者开放隐私权限,山寨软件尤甚。在获取用户成本逐渐上涨过程中,小型APP开发团队在制作各种软件时,尽可能用各种方式强行或是暗中获取用户信息。

  规模较大的应用厂商收集用户个人信息的行为也在进行。毕竟收集用户信息有利于其产品的推广。但是上述的行为仅仅局限在正规厂家的部分产品中,同时在收集的过程中,正规厂商总会或多或少对信息的用途进行提示,并且对于其安全性给予一定的保证。

  但无论是谁,获取信息的目的都指向了利益。

  “一个很简单的案例,在应用商店下载一款很普通的五子棋游戏,这样一个小游戏就可能会提示需要定位权限(是为了方便游戏联网)、需要访问手机麦克风(开启游戏内的语音功能)、同步通讯录(联网和朋友一起玩,顺便推送给用户的朋友圈),如果用户注册账号那手机号肯定必不可少。”“一个很简单的小游戏,可能不到1分钟的时间就已经收集到了上述多种信息。有提示算是有良心的,相当部分APP应用在用户下载好之后就已经默默开启了权限,上传用户的信息。”

  不过也并不是所有的信息目前都能够转化成商业利益。这些从收集用户处调用的权限信息,一些开发商会进行自用,而这个目的实际上也是为了转化成未来可能出现的商业模式。

  收集用户信息是一方面,另一方面APP的应用大多都是免费,如何解决开发和推广成本让开发商绞尽脑汁。

  “许多用户很大几率都会不小心点进APP应用中的插件广告,而有的是强制性广告,较多广告商都是靠着点击和浏览量来收费的。一般情况下都没有什么问题,但是遇到钓鱼的广告,用户手机上的信息很可能在极短的时间内就会泄露。”

  360互联网安全中心将手机用户信息分为以下五类:敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息和软件环境信息。为了能有针对性地投放广告,广告插件一般都会收集很多用户信息,其中包含不少隐私信息,从而导致用户隐私泄露。

  获取这些信息可以让插件厂商向特定的应用推广广告,比如向游戏应用推广其他游戏,向翻译软件推广英语教学机构等等。

  来自伪基站的危险短信

  “您的账户积分已经达到兑换213.5元话费的标准,详情见wap.xx.10086.cn”、“您的手机银行客户端需要进行升级,请登录xx网站下载更新”、“xx银行邀请您参加做任务赚积分的活动,详情请点击http://t.cn/xxxx”……

  这一类的诈骗短信相信很多人都曾经收到过。大多数时候,在看到对积分毫无印象的中奖内容和完全陌生的网址后,很多人都会心生疑惑,再一看短信来源的一长串号码后便很快意识到:这是遭遇了钓鱼短信。

  但如果信息显示的来源是手机运营商或银行的官方短信号码呢?再进一步,如果这条短信的内容是模仿真实存在的商家兑换或互动活动呢?当你正在忙于工作或聚会时接到诈骗信息,你如何保持警惕?

  而随着手机和银行用户的防范意识提高,诈骗手段也在不断地翻新花样,诈骗信息内容也一再变化,最终都让用户在尚未清晰意识到隐患的时候将个人信息“提供”给了对方。

  储蓄卡的“离奇”盗刷

  一个周日晚上,在上海工作的小李收到微信官方的信息提醒,称有人试图利用其手机号码注册微信。此时他还不知道自己银行卡账户已经面临被盗刷的风险。

  但出于安全考虑,刚从外地回来的小李还是很快修改了微信密码,并同时修改了支付宝密码、银行储蓄卡密码。

  然而第二天小李偶然查询银行账户才发现,就在那则官方微信团队的提示后不久,他的储蓄卡便连续发生了多笔支付,第二天又继续发生类似交易,一直到他卡上的资金只剩下几十块钱才结束。

  这些支付都是在他本人完全不知情的情况下发生,而当时银行卡和手机都在他本人手中。小张赶紧联系了银行冻结了账户,银行客服也按要求查询出了这些交易的渠道:共有十多笔交易是以网易宝快捷支付的方式支出,还有一笔交易是以中国移动的移动快捷支付的形式支出,总额大概接近2000块钱。

  小李立刻向中国移动提出遭遇盗刷,移动客服按其要求关闭了其手机号码对应快捷支付功能,并向网易宝支付网站提起了遭遇盗刷的投诉。

  但让小李感到蹊跷的是,他并没有开通过网易宝和中国移动的快捷支付功能,并且这些交易的数额都是99.9元。此前他曾经设置过免密码快捷支付的限额,这个额度刚好是100元。

  被“伪装”的10086

  在确认近期没有发生银行卡和本人手机离身被盗取个人信息的可能后,10086的客服提醒小李回忆,是否近期有收到过不明来历的钓鱼短信。小李想起来,就在收到微信官方提醒那天下午,他曾经进行过一次中国移动的积分兑换话费的操作。

  他翻开手机查看,发现确实收到过一条10086发来的短信——“您的积分已经达到兑换258.55元话费礼包的条件,请登录wap.gf.10086.net根据提示操作【中国移动】”。就在此前一周多的时间,小李也曾进行过10086的积分兑换话费的操作,因此并未细看,便点进了短信给出的链接,进入了一个中国移动的wap网页界面。

  10086官方发来的短信、网址和网页界面似乎都和以往一样、可兑换金额甚至精确到了小数点后两位数……这些都让小李放下戒备,按照网页的提示输入了手机号码和身份证信息登录网站,并完成了积分兑换话费的操作。

  但盗刷之后小李向10086客服核实才发现:短信给出的网站域名不符,中国移动的积分网站应该是10086.cn,而非net域名结尾。并且移动的积分兑换网站登录时需要的是手机验证码,而不是身份证。

  但可以确定的是,短信来源显示的确是10086。但10086的客服却向小李表示,如今电信诈骗已经可以使用伪基站伪装成移动官方的10086号码发送信息。小李很快上网查询也发现,全国各地都存在这一类利用伪基站向周边一定范围(通常为1公里)强行发送信息的诈骗手段。“只需要一台无线电收发电台与专业的电脑连接,伪基站既能伪装成手机运营商的号码,也能伪装成各大银行的官方号码。”

  在了解伪基站可以伪装10086官方号码后,小李还发现了一个问题:他的手机最近两天能够发出短信,却不能正常地接收短信。但银行的客服向小李确认,如果之前绑定了手机,那用户银行卡在发生交易后手机都会收到短信提示。

  于是小李意识到,他的手机可能在更早的时候就已经以通过某种方式被拦截了短信,因此对方才能够连续盗刷其银行卡却不会被及时发现。小李将安卓的手机带往正规的维修点,在进行一番检测后,维修人员告诉小李,监测提示出他的手机近期下载了钓鱼软件,已经有泄露信息的风险,需要进行重置。

  恶意APP处理与监管难题

  随着普通的通信手机向智能手机全面转变,曾让用户不堪其扰的短信骚扰少了,但更加隐蔽和难以根除的恶意软件却让人更加头疼。而在这些或泄露用户信息、或偷取流量与话费的APP(应用程序)中,伪装成原装手机出厂预设软件形象的恶意APP影响最为恶劣。

  在点开手机自带游戏APP之后,就被见缝插针弹出的广告网页与不良信息严重骚扰。

  “在玩游戏时,一不小心就容易误点弹出的广告页面。这不仅严重影响使用体验,还可能泄露个人信息、造成财产损失。”在一次误操作过程中,他便被页面引导至手机号注册环节,一天之内,卡内百元话费便迅速蒸发。

  类似的钓鱼式恶意软件层出不穷。

  目前中国的APP并没有盈利模式,靠的就是注册数和活跃用户数。在这种情况下,恶意软件已经是行业潜规则。它影响了中国智能终端的整个生态体系,应该要下决心进行全盘清理整顿。

  垃圾短信、WAP网站、流氓软件正成为其严厉整治的重点。仅2006年末至2009年三年间,仅该中心就收到恶意软件举报2673起,投诉最集中的问题就是APP“难以卸载”这个问题。

  网络安全软件及服务领域供应商趋势科技此前也曾发布数据显示:40%的智能终端用户都忽视了移动设备上恶意软件的潜在威胁,有三分之一用户认为“不大可能会感染病毒”。

  能够如此系统并“高效”地在众多品牌智能手机中植入恶意软件,说明这条灰色产业链的上下游都已经相当成熟。

  这类“APP毒瘤”的背后,是为数不少的投资人和创业团体。在他们的合作关系中,投资人会要求创业者把新推出的APP的下载量不惜代价推上去,其投资额与下载量的多少直接挂钩。

  这一生态链覆盖了水货、行货等几乎所有产品渠道。此前走私版HTC智能手机就曾被曝光,其产品出厂时就内置了一款叫作MobileReader的看书软件。该APP看似平常无奇,实为一款吸费软件,用户稍不注意,便被收取高额的增值费。

  而在行货渠道,类似状况也难以幸免。三星i9200智能手机也曾被消费者投诉称,正品行货手机开机后已经内置了360手机安全卫士、youni短信等众多软件。尽管这些软件并非恶意扣费的APP,但因为未经消费者同意就已预装且难以卸载,还是带来了很大的困扰。后经证实,这些APP并非三星公司官方安装,而是通过一些专门的“一键刷机” 软件刷入手机之中的。

  “目前中国国内的APP业态并没有行之有效的盈利模式,靠的就是注册数和活跃用户数。在恶意软件的这条利益链上,不单是手机厂商或系统软件商有意牟利,还有APP开发者团队自身发展和逐利的客观需求,他们会为厂商、系统商和第三方去开发恶意软件。”

  恶意APP的开发成本都相当低,但一旦成功推广就获利丰厚。违法成本低、违法收益高,这些APP几乎在交至消费者手中前的任何一个环节中,都有可能被偷偷装入。
 

标签:上海APP开发手机APP开发APP外包

标签: 背后 利益 手机