网警发现至少10%手机APP存在安全问题
记录着大量个人隐私和信息的APP软件,已与人们的生活须臾不可分。上海市公安局徐汇分局网安支队近期接报的4起涉及手机APP案件,均为黑客利用网上已有各类测试软件攻开手机APP的“后门”。
徐汇网安民警选取市场上有一定影响力的手机软件APP,运用网上已有的软件测试发现,至少10%的手机软件APP存在不同程度的安全问题。
后台篡改支付代码
今年5月,香港某知名电视台的电视剧大陆版权发布方发现,晚上八点才同步播出的电视剧集,下午已经在网上公开。警方调查结果出人意料,犯罪嫌疑人不是掌握独家资源的“内鬼”,而是两名热衷网上追剧的“发烧友”。
这两名嫌疑人发现手机播放存在漏洞,通过黑客软件分析出视频链接格式,而后改变链接内容,生成20个链接离线下载,成功下载部分未播放的新剧集。
从去年年底开始,徐汇警方陆续接到4起手机APP相关案件。今年1月,上海市一家彩票代理网站发现后台被人恶意转账140余万元。徐汇公安分局网安支队民警鲍珍荣和同事们调查发现,问题出在这家公司的网络支付移动端口:黑客在彩票代理网站注册账户后充值1元,利用黑客手段将账户金额篡改为10万元,除少部分购买彩票外,大部分套现。
鲍珍荣说,被攻击的网站后台支付代码是明码传输,没有加密,黑客正是利用了这一漏洞。经查,彩票网站的APP后台数据一共被篡改7次,第一笔5000元,最后一笔高达88万元,总计140余万元。一周之后彩票网站才察觉异常。
这伙不法分子采用类似办法还侵入了一家知名电影票代理网站。他们通过手机APP买下价格为数十元的电影票后改为0.01元支付,再加价卖出,先后骗取价值160余万元的电影票。
鲍珍荣说,手机APP安全漏洞会造成移动支付损失,信息资料、个人隐私外泄,甚至导致软件崩溃,影响正常使用。
企业安全意识不强
徐汇公安分局网安支队发现,相比防范措施相对完善的传统电脑网页,手机APP这一新兴互联网方式,安全漏洞较为明显。利用手机APP违法犯罪趋势明显,案发后一些公司仍未发现已受到不法侵害。
业内人士分析认为,造成这种情况,一方面是系统原因,如安卓系统的源代码公开,为一些不法分子分析源代码带来便利条件;另一方面则是开发者原因,部分代码编写不规范,有些语法本身就存在问题,让不法分子有可乘之机;再者,安卓系统的应用商店为数众多,审核上架APP的标准不一,而分发营收又是他们的收入来源之一。
与部分手机APP开发运行公司接触之后,鲍珍荣发现,企业安全意识不强是主要原因。
办理一起手机游戏敲诈案时,鲍珍荣特别询问被害公司是否进行过内部安全测试,对方称:“为了抢占市场,没有考虑安全问题,就着急推出了。”尽管目前市场上已有专门的网络安全性能测试公司,但总体数量不多。
一些法律界人士认为,手机APP属于企业的“产品”,企业是产品安全性能的第一责任人,然后是监管部门,案发后再由公安机关介入打击。
作为处于“最后一环”上的办案民警,鲍珍荣认为,此类犯罪,前端打击一定比后端打击更好。手机APP犯罪大多情节轻微,但是会对互联网造成巨大损失。随着互联网技术的发展,此类犯罪的破案难度和成本将越来越高。互联网犯罪让跨境犯罪成本更低,更容易隐藏真实方位。
测试为名敛财是真
业内人士给予那些可以攻击手机APP的软件一个中性名称——测试软件。测试软件由一些专业公司或技术人员开发,公开发布到网上免费下载,甚至还附有详细的使用教程。随着使用方式的变化,这些软件针对的目标瞄向更新鲜、更具挑战性的手机APP。
一些法律界人士认为,难以对这些处于灰色地带的新兴软件定性,软件开发的初衷是供手机软件APP公司进行低廉安全测试的工具,但同样可以为不法分子利用,“就像一把刀,在厨师手中是切菜用具,但也可能成为凶器”。
去年年底,徐汇公安分局接到一家手机游戏公司报案,游戏刚上线就有人联络客服人员,声称已经掌握该款手机游戏的多个程序漏洞,还主动提供两个漏洞供企业“验证”。
一开始,联系人只希望公司给一些“测试费”,后来索要金额越来越高,从5000元涨到数万元,甚至表示“不给钱就把漏洞卖给别人”。
今年1月,徐汇警方抓获涉案的8名嫌疑人。其中一名“主力成员”李某平时在一家修车店当小工,闲暇时喜欢玩手机游戏。一开始他寻找游戏漏洞只为“玩得爽”,后来开始从网上找资料研究这些APP。在“圈子”里小有名气之后,李某与其他7名素未谋面的网友创建了一个QQ群交流经验,市面上出现一款手游便“测试一款”。据其自称,曾研究过上百款手游,“99%都能找到漏洞,就看你怎么利用了”。
警方发现,大多数嫌疑人开始时几乎都是抱着“试试能否攻破”的态度,可当“改一下数字就能变成钱”的时候,他们动摇了。
红与黑之间,只有一条并不明显的界限,目前只能依靠自律。据法律界人士介绍,司法实践中,认定是否违法主要看是否从中获利,是否对他人造成直接损失。记者 孟伟阳 本报通讯员 徐恭轩