会员免广告、花钱才能看、扩容另收费……在付费会员模式已逐渐成为各大App盈利重要模式的当下,如果有技术能“破解”这些付费功能,既免费享受服务,又不用花钱,岂不美哉?今年的央视3·15晚会就曝光了这类号称能实现这一目的的“破解版”App的实质——用户看似占到便宜,实则“丢光”个人信息。
据央视报道,许多破解版App被额外嵌入多款与官方版本毫无关联的第三方插件及SDK软件包,其利用这些SDK包窃取用户个人信息,进而形成用户画像并投放广告,实现流量变现。还有破解版App额外嵌入来自国外的SDK软件包,此举或为境外电信诈骗集团实施精准诈骗提供数据来源。
为此,专家建议用户选择正规应用商店下载App,不要轻【我爱线报网】易授权安装来源不明的App;同时,应对手机操作系统、杀毒软件等提供的安全提示予以关注。
破解版App内嵌的多款额外SDK“偷走”个人信息
在今年3·15晚会的“315信息安全实验室”板块中,一批免费提供看视频、听音乐、读小说、存资料等会员服务功能的破解版App被曝光。据测试,只需在搜索引擎、应用商店等平台输入相关App名称和“破解”等关键词,各种破解版App资源应有尽有。这些盗版App不仅功能齐全,最重要的是能免费提供原版App中需付费开启会员后才能享有的特殊服务。这其中有何玄机?
据央视报道,技术人员使用专业测试工具对10余款常用的视频、音乐小说等应用软件的破解版及盗版版本进行实时监测,发现了这“【我爱线报网】免费午餐”背后的秘密。
以某款优酷视频破解版App为例,测试人员发现其被额外嵌入了三款和官方版本毫无关联的第三方插件及SDK(软件开发工具包)软件包,“只要运行,这三款多出来的SDK包就能悄悄地偷走用户手机里的个人信息。”
三款额外嵌入的SDK包,图源央视
具体而言,当用户使用这款优酷视频破解版App时,一款名为“com.sijla.g.a”的SDK会收集五种个人信息,包括MAC地址、进程列表、Android ID、IMEI号、MAC号。另外两款额外嵌入的SDK也存在同样的问题。
这会带来哪些危害?中国电子技术标准化研究院网安中心测评实验室副主任何延哲分析,这意味着从上网的硬件地址,到手机设备的识别号【我爱线报网】,再到电话卡的识别码,甚至手机操作系统的识别码,从硬件到软件——用户所有的关键识别信息都被额外嵌入的第三方SDK窃取。
不仅如此,只要掌握其中两到三种信息,即使用户更换了手机、电话号码,用户也能被精准锁定,打上标签,实现实时捕捉和追踪用户动态。其后,不法分子再利用这些画像大量推送广告,达成流量变现的目的。
破解版App监听用户通话,向境外违规传输数据
为了进一步印证,测试人员还对其他多款破解版App进行测试。结果发现,“七猫小说”某破解版App被额外嵌入了6款第三方SDK,“酷狗音乐”某破解版App被额外嵌入了两款,“我的汤姆猫”某破解版App被额外嵌入了5款。这些破解版App同样收集了Androi【我爱线报网】d ID、IMEI号、进程列表等用户关键识别信息。
某破解版App被额外嵌入5款SDK,图源央视
更可怕的是,测试发现上述“酷狗音乐”某破解版App还监听了用户的通话状态,“我的汤姆猫”某破解版App嵌入了不少来自国外的SDK软件包。这意味着,该App向境外IP地址发送了大量数据包,大量个人信息面临违规出境的风险。
某破解版App监听用户通话状态,图源央视
何延哲对此表示,在测试中可以看见信息窃取者会把用户的通话状态、用户标识以及精准画像等传送到境外,进而这些信息可能成为境外电信诈骗集团开展精准诈骗的重要数据来源,其一旦流入黑产就有可能被反复使用。
此外,他补充,破解版App还可能含有恶意代码。由于破解【我爱线报网】版App未经官方审核和认证,黑客们有机会将恶意代码植入应用程序中。这些恶意代码可以导致用户数据泄露、损坏或删除,甚至可以将用户的设备变成僵尸网络的一部分。
“为了安装破解版App,用户绕开各类安全提醒,破坏了原本安全的手机系统环境,其实是后患无穷。”
那么,用户该如何进行防范?对用户又有哪些建议?何延哲直言,不要轻易授权安装来源不明的App,应选择正规应用商店下载;对手机操作系统、杀毒软件等提供的安全提示予以关注。此外,如果App安装包过大(如达到上百M,游戏等类型App除外)、过小(10M以内),应注意该App是否为正版。如卸载破解版App后仍存在异常弹窗、通知等情况,建议重装手机操作系统。
采写【我爱线报网】:南都记者樊文扬
给力项目:线报网会员可免费下载 加入会员友情提醒: 请尽量登录购买,防止付款了不发货!
QQ交流群:226333560 站长微信:qgzmt2