Android開放機(jī)制存漏洞 業(yè)內(nèi)支招防隱蔽吸費(fèi)
2011/01/06
1月6日消息�, Android平臺(tái)軟件吸費(fèi)成為業(yè)內(nèi)關(guān)注的焦點(diǎn)�����。有業(yè)內(nèi)人士表示��,部分Android軟件存在暗扣費(fèi)用的現(xiàn)象���,不過這一比例在10%�����,甚至在5%以下����。而要做到防范隱蔽吸費(fèi)���,運(yùn)營商��、開發(fā)者和用戶應(yīng)協(xié)同防范�����。
Android隱蔽吸費(fèi)軟件在5%以下
有媒體此前報(bào)道稱��,被植入惡意扣費(fèi)代碼的Android平臺(tái)軟件達(dá)到40%�。易聯(lián)致遠(yuǎn)CEO、eoe android社區(qū)創(chuàng)始人靳巖在新浪微博中表示��,“我覺得有點(diǎn)扯�,估計(jì)是某些公司散布出來的噱頭,不過暗扣應(yīng)該是存在的������!彼硎荆40%的比例有些夸張了�����,被暗扣的Android平臺(tái)軟件不到10%����,甚至不到5%�����!
靳巖認(rèn)為�����,Android平臺(tái)軟件如果要植入扣費(fèi)代碼���,SP需要有短信代扣費(fèi)的資質(zhì)���,而要具備這樣的資質(zhì),SP需要向運(yùn)營商申請(qǐng)發(fā)短信的權(quán)限�。“因?yàn)橐恍⿷?yīng)用�,比如主題應(yīng)用、游戲應(yīng)用�����,無需收發(fā)短信權(quán)限�����,所以運(yùn)營商在向SP釋放權(quán)限時(shí)也會(huì)審核�,目前,運(yùn)營商向SP發(fā)放的短信代扣費(fèi)的權(quán)限并不多������!
一位專做Android平臺(tái)應(yīng)用商店的負(fù)責(zé)人表示��,這種Android平臺(tái)的吸費(fèi)十分隱蔽�,軟件上的用戶協(xié)議特別長����,一般的用戶沒有耐心將協(xié)議讀完就會(huì)確認(rèn)“下一步”,而這些吸費(fèi)軟件往往是在協(xié)議的最后注明收取短信的費(fèi)用�����,或者要用戶開通使用權(quán)限�����,而普通的用戶根本注意不到這些���。吸費(fèi)軟件利用用戶的大意鉆了空子���。
Android開放機(jī)制存漏洞
2007年11月5日,谷歌宣布推出基于Linux平臺(tái)的Android開源手機(jī)操作系統(tǒng)���,開放性成為其最大特征����。靳巖坦言��,Android平臺(tái)軟件出現(xiàn)吸費(fèi)現(xiàn)象與Android的開放機(jī)制有很大的關(guān)系����。“特別是一些國外收費(fèi)���,國內(nèi)卻免費(fèi)的軟件��,在漢化的過程中����,開發(fā)者很容易在軟件中植入一段吸費(fèi)代碼�,這樣很容易讓‘小白用戶’上當(dāng)�!
而另一位業(yè)內(nèi)人士表示,Android平臺(tái)軟件出現(xiàn)吸費(fèi)主要是因?yàn)槎胃脑���,Android平臺(tái)的開放�,很容易讓SP們進(jìn)行反編譯,內(nèi)置吸費(fèi)代碼��。
除了Android平臺(tái)本身的問題�����,還有一點(diǎn)值得注意的是���,在軟件論壇里存在的吸費(fèi)軟件比例遠(yuǎn)遠(yuǎn)大于用戶從軟件商店里直接下載的比例�。 “應(yīng)用商店里�����,已經(jīng)經(jīng)過了相對(duì)嚴(yán)格的審核和測(cè)試���,將更加安全�����!币粯I(yè)內(nèi)人士表示。
協(xié)同防范Android隱蔽吸費(fèi)
靳巖表示�����,應(yīng)該從源頭和用戶兩端去防范Android平臺(tái)軟件吸費(fèi)問題,在軟件開發(fā)商方面���,他認(rèn)為作為軟件的發(fā)行者��,應(yīng)該加強(qiáng)對(duì)軟件的檢測(cè),一旦發(fā)現(xiàn)軟件存在短信吸費(fèi)的后門���,應(yīng)該及時(shí)提醒和告知用戶���。
而在用戶方面,靳巖建議用戶了解Android平臺(tái)的開放機(jī)制����,遇有需要訪問聯(lián)系人權(quán)限及當(dāng)前應(yīng)用有用戶協(xié)議的,應(yīng)謹(jǐn)慎留意�����。
也有網(wǎng)友建議稱���,”在安裝軟件時(shí)��,請(qǐng)務(wù)必看仔細(xì)軟件的告示���,如軟件提示要用到系統(tǒng)的電話功能���、短信彩信功能,那這軟件就有可能是吸費(fèi)軟件��。Android最大的特色是系統(tǒng)的開放性�����,這也是該系統(tǒng)易受攻擊的原因��。軟件的來源最重要���,一般android market還是比較可靠的�����!
還有網(wǎng)友編寫扣費(fèi)軟件檢查工具,幫助用戶檢查已經(jīng)下載的應(yīng)用是否含有吸費(fèi)軟件代碼�。
有業(yè)內(nèi)人士建議,用戶可以下載手機(jī)安全軟件幫助用戶進(jìn)行甄別和檢測(cè)���。
“SP植入吸費(fèi)代碼從功能手機(jī)開始的�,現(xiàn)在轉(zhuǎn)到Android平臺(tái)上,對(duì)于運(yùn)營商而言����,除非關(guān)閉所有的計(jì)費(fèi)通道,否則很難從根本上杜絕�。“靳巖說�,不過他建議運(yùn)營商可以做適當(dāng)?shù)谋O(jiān)控,并采取一些措施��。
最新的研究統(tǒng)計(jì)顯示���,Android 已經(jīng)有超過 200,000 個(gè)游戲和應(yīng)用。每秒鐘有 103 個(gè) Android 應(yīng)用被下載����。
新浪科技(tech.sina.com.cn)
相關(guān)閱讀: