隨著 Android 在中國的爆炸式增長�����,用戶和開發(fā)者在享受其開放性帶來的繁榮和便利的同時�,也開始不斷遭遇各種問題的困擾:扣費等惡意代碼�、應用內廣告、仿冒和山寨應用����、以及濫用敏感權限,已經(jīng)成為威脅手機信息安全的首要問題����。
近日,針對智能手機安全隱患����,國內最大的 Android 應用分發(fā)平臺豌豆莢�,憑借對海量應用的掃描和元數(shù)據(jù)分析���,公布了 Android 應用的安全現(xiàn)狀的相關數(shù)據(jù)。并針對應用的安全性�、是否包含廣告插件、是否為正版��、以及對敏感權限的調用等問題推出「綠色標簽」機制����,并在應用詳情頁、搜索結果頁���、首頁及二級榜單頁面均予以標注����,為用戶提供最安全放心的應用下載體驗����。
Android 應用安全第一,3 家安全廠商聯(lián)合檢測
在應用安全方面���,豌豆莢聯(lián)合騰訊手機管家��、360手機衛(wèi)士��、LBE安全大師等 3 家知名手機安全廠商對扣費代碼等安全隱患進行聯(lián)合檢測���,并綜合 3 家的檢測結果力圖得到更準確�、更謹慎的結論��。
令人意外的是���,3 家安全廠商對同一款應用的檢測結果存在一定差異���。騰訊認為有安全風險的應用中,有 28.4% 360 和 LBE 都認為是安全的����; 360認為危險的應用中, 29.1% 被騰訊和 LBE 判定為安全����; LBE 認為危險的應用中 76.8% 是 360 和騰訊都認為安全的。
(圖:三家安全廠商掃描結果對比)
針對安全廠商檢測結果的差異�,豌豆莢采取了相對嚴謹?shù)奶幚矸绞剑簝H有一家安全廠商判定為存在風險的應用,即會被明顯標識為可疑��;而兩家或兩家以上安全廠商判定為不安全的應用,將被直接下架�����。
(圖:經(jīng)3家安全廠商綜合認證的安全標簽)
六成應用包含廣告�,下載前豌豆莢清晰提示
豌豆莢整理了超過 1000 個廣告特征��,對應用進行代碼級的廣告插件檢測��。數(shù)據(jù)表明: 目前����,在數(shù)據(jù)樣本中39% 的應用是無廣告的;有 34.6% 的應用內嵌廣告����,此類廣告可能在應用內放置了廣告橫幅或單獨的廣告欄目。此類廣告除了對用戶體驗的影響外���,還會造成更多的流量���、電量消耗,并且有可能會收集用戶的地理位置等數(shù)據(jù)����。針對此類應用���,豌豆莢會醒目地提示用戶其中包含內嵌廣告。
另外����,數(shù)據(jù)也驚人的表明,約有 26.4% 的應用包含通知欄廣告�����。此類廣告形式飽受爭議���,當用戶安裝了含此類廣告的應用后�,會經(jīng)常發(fā)現(xiàn)通知欄里面多了一些廣告信息���,有的甚至在用戶點擊后就會開始安裝另一款應用���。
豌豆莢在用戶下載安裝此類應用的過程中會提示用戶風險、并且引導用戶去下載無廣告的其他版本���。并且����,含通知欄廣告的應用也不會出現(xiàn)在豌豆莢首頁的各類榜單推薦中。
(圖:國內 Android 應用內廣告分布情況)
1/4 的應用為仿冒或被篡改�����,豌豆莢與 Google Play 雙重認證
應用的簽名是開發(fā)者的唯一標識�,同一應用的不同簽名版本中有時存在若干款是仿冒或篡改的版本。豌豆莢各項數(shù)據(jù)預估���,目前國內用戶接觸到的不同應用數(shù)量為 55.8 萬。而如果計算應用的不同簽名版本�����,則總數(shù)量超過 75W����,這意味著其中有將近 1/4 的應用為仿冒或被篡改。
(圖:國內 Android 應用簽名對應情況)
非官方開發(fā)者仿冒和篡改應用的目的�����,除了有出于個人興趣的漢化等�,有相當一部分是在應用中嵌入廣告插件或惡意扣費代碼等��、牟取利潤����。目前大部分應用下載渠道在提供應用下載時都沒有對簽名進行檢測���,仿冒和被篡改的應用混雜在官方版本之間��,用戶和開發(fā)者權益都得不到保障�。
豌豆莢「綠色標簽」中的「Google 驗證」標簽�����,通過檢驗應用簽名與豌豆莢認證的應用是否一致�,用做判斷應用是否是官方版的參考、確保應用沒有被第三方篡改同時��,通過與 Google Play 中簽名作對比���,輔助判斷是否被第三方篡改�。
(圖:豌豆莢與 Google Play 雙重認證)
17.8% 應用調用敏感權限�����,豌豆莢明確標注不再談隱私色變
Android 系統(tǒng)的開放性讓開發(fā)者能調用上百種手機權限以完善產品功能,但也有不少應用調用本身功能并不需要的敏感權限�����,以竊取用戶隱私��。目前���,豌豆莢從中挑出了4種權限是涉及隱私的��,它們分別為:讀取通訊錄�����、讀取短信信息、撥打電話����、發(fā)送短信。如果某款應用一旦調用了其中某一項權限�����,就會在豌豆莢中被標記為紅色可疑�����。通過掃描樣本,豌豆莢發(fā)現(xiàn)17.8%的應用涉及到此類隱私的問題���。當然�,如果這些應用經(jīng)過人工審核����,發(fā)現(xiàn)調用的范圍在合理的范圍,就會被標記回綠色信任���。
(圖:檢測應用是否調用隱私權限)
憑借出色的用戶體驗�,豌豆莢已經(jīng)擁有超過 8500 萬用戶�。目前收錄應用超過 40 萬款,每日應用分發(fā)量逾 1500 萬���,從最初單純的個人信息管理工具成長為國內最大的 Android 應用獲取和手機管理平臺���。新版應用搜索的發(fā)布和「綠色標簽」機制的建立,標志著豌豆莢應用平臺由「全」向「精」的發(fā)展�����。據(jù)豌豆莢相關負責人透露,之后豌豆莢還會對應用本身的信息做進一步的挖掘和整合�����,讓用戶可以進行細分標簽的篩選�����,以保證更加方便�����、放心的下載體驗�。
