90后黑客称手游“99%都有漏洞”
本报记者简工博
“又是一个有问题的APP。”徐汇公安分局网安支队的鲍警官,记录下这款手机软件的名称及其被“黑”的症状。
这是鲍警官和同事们做的一项实验:他们选取有一定影响力的手机软件APP,运用网上已有的各类软件进行测试,结果发现至少10%的手机软件存在安全问题。
从去年年底开始,徐汇网安支队陆续接报多起涉及手机软件的案件。侦查员发现,这些案件非常相似,黑客都是利用网上各类攻击软件撬开手机软件APP的“后门”。
粉丝攻破链接提前发布港剧
今年5月,香港某知名电视台的电视剧内地版权发布方发现,明明晚上8时才可以在电脑、手机上播出的电视剧集,居然在下午就已经提前在网上公开了。按照传统的办案思路,嫌疑人很可能是掌握独家资源的内鬼。但最终的调查结果令人吃惊,嫌疑人竟然是两名热衷网上追剧的“发烧友”。
一般来说,电视台白天会将当天电视剧内容上传至服务器,内地公司会提前做好链接,待晚上电视台播出时同步推出视频。这两名嫌疑人发现手机播放存在漏洞,通过黑客软件分析出视频链接格式。通过规律总结,生成了20个离线下载,居然成功下载了部分未播放的新剧集。
彩票代理网站被黑客恶意转账
今年1月,上海一家彩票代理网站发现后台被人恶意转账140万元。鲍警官和同事调查发现,问题出在这家公司的网络支付移动端口。黑客在彩票代理网站注册账户后充值1元,然后利用技术手段将账户金额篡改为10万元。鲍警官介绍,当时这伙人在彩票网站的APP上一共篡改了7次后台数据,第一笔5000元,最后一笔高达88万元。一周后,彩票网站方才察觉异常。
在对犯罪嫌疑人的调查中,徐汇公安发现,受害者不止这一家彩票网站。一家知名电影票代理网站,也被这伙不法分子采取类似的办法,先后骗得价值160余万元的电影票。警方还发现,部分掌握全国院线资源的手机软件同样存在风险,因而及时将情况反馈给相关公司。
APP安全性能第一责任人是企业
在与部分手机软件开发运行公司接触后,鲍警官认为,很关键的一点在于企业安全意识不强。在一起手机游戏敲诈案中,鲍警官和同事特别询问公司是否进行过内部安全测试。对方回应:“为了抢占市场,只考虑运营问题,没考虑安全问题。”
曾参与数款APP开发、正在自主创业的刘纳告诉记者,在APP设计之初,大家主要考虑的是用户需求和体验,以及人气累积后可能争取到的风险投资。至于APP的安全性能,很少会专门对此予以分析并提出对策。不过,刘纳认为,如果静下心来做一款经得起时间检验的产品,其实应当在每个环节上精益求精。
在法律界人士看来,APP安全性能的第一责任人是企业,然后是监管部门。作为“最后把门者”,鲍警官认为:“前端做一定比后端做更好。”他说,随着互联网技术的发展,此类犯罪的破案难度和成本将越来越高。
政府能否提供基础安全检测服务
手机软件的安全隐患,究竟来自何处?业内人士分析,一方面有系统原因,如安卓系统的源代码是公开的; 另一方面是开发者的原因,如部分代码编写不规范等,让不法分子有可乘之机。此外,安卓系统的应用商店数以百计,这些应用商店对上架APP的审核标准不一,导致手机软件质量良莠不齐。
有人建议,应该在全国层面为手机软件制订统一审核标准,将安全性能作为其中一项重要指标。还有业内人士建议,政府部门可以通过购买服务的方式,为相关企业提供APP基础安全性能检测。
不过,也有开发者对此并不认同。从事APP开发的杨青认为:“手机软件正处于 ‘野蛮生长’阶段,用‘标准’来限制不利于发展,不如让市场发挥淘汰作用。”在知名网络公司工作的技术人员周晴则认为,手机软件技术一日千里,用统一标准来保护安全并不现实。