APP背后的黑金產(chǎn)業(yè)鏈

在開發(fā)APP的過程中，對于一些普遍功能模塊，開發(fā)者往往會直接使用相應的第三方插件，如果這時候混入了一些惡意插件，又沒有相應的安全監(jiān)測，開發(fā)者與運營者無形中就成了惡意插件的‘替罪羊’

。

如果用戶因使用某款APP被竊取了流量或者泄露了個人隱私，應該向誰問責？一般情況下，相信大多數(shù)用戶第一個想到的都會是這款軟件的開發(fā)者。

不過，業(yè)內(nèi)人士看來，有時候APP的開發(fā)者也是有苦難言，甚至連他們自己都不知道問題究竟出在哪里。

第三方插件

“太坑人了！在手機上裝了款《植物大戰(zhàn)僵尸》的游戲，玩的時候沒注意，結(jié)果今天上網(wǎng)查話費才知道這幾天被扣了180元的短信費。”早在半個月前，武昌區(qū)的張女士向記者抱怨，自從在手機上

安裝了這款游戲后，在毫無察覺的情況下便被屢次惡意扣費，經(jīng)過查詢才知道是手機訂制了多條增值業(yè)務短信。

張女士所遭遇的正是所謂的“隱形吸費”。即某些SP公司利用扣費代碼在幕后作祟，而他們往往給知名游戲添加吸費插件后，將其包裝成山寨版推向應用市場牟利。這背后的過程，卻出乎意料的簡

單。

“你花2.5萬從我這買個計費平臺就可以了，我們會在服務端免費給你做一個扣費插件，你拿回去添加到游戲或者應用后，再把它放在第三方應用市場上去做推廣，只要有用戶下載使用，這個插件就會

暗中扣費。”不久前，記者以開發(fā)者的身份聯(lián)系到武漢某家SP運營公司的負責人張軍（化名），他表示這個過程非常簡單，沒什么技術難度。“SP扣費服務代碼和通道都已經(jīng)在插件中留好了，開發(fā)者拿

回去添加到APP里面就行了。維護成本也非常低，有一個兼職的Java和Andriod工程師就可以處理了。”

這些添加了吸費插件的APP，很難被用戶察覺。在張軍給出的一份資料中，記者看到，含有“g+精彩無限”等SP扣費渠道的APP，下載量和扣費率非常之高。其中含有某項SP吸費通道的APP總下載量為

5769，而扣費成功為5047，成功率高達87%。

而且此類插件的查殺不易，使得內(nèi)藏扣費插件的APP在安卓平臺上肆意泛濫。“如果被殺毒軟件查出來，給這個插件換個簽名就能躲開。”據(jù)他介紹，添加了吸費插件的APP在后臺運行，用戶很難發(fā)現(xiàn)，

而且很輕松就可以避開手機安全軟件的查殺。

他稱，SP運營公司自己有一個SP服務的代碼池，在制作插件的時候會從代碼池里拿出多個代碼添加到其中。比如要將吸費控制在20元左右/次，我們就會在里面添加3元、6元、8元這樣的多個小額通道，

這樣單次吸費會比較低，不容易被用戶發(fā)現(xiàn)和投訴，風險小了很多。

他補充道，雖然運營商針對投訴率過高的SP通道會采取封禁措施，但SP們卻有辦法應對。 畢竟運營商不是天天在嚴管，另外做這種暗扣的非正向推廣，只要不是扣得很過分，一般控制在10～12元/月左

右，是沒多少用戶來投訴的。即使因為投訴被封禁了，我們這邊換個通道就可以。

他透露，除了添加多通道的技術手段外，他們還可以在運營商方面解決投訴率過高的問題，可以避免通道被封禁，但當記者問到具體細節(jié)時，他表示是內(nèi)部關系不便透露。

產(chǎn)業(yè)鏈成形

據(jù)一位從事SP行業(yè)多年的業(yè)內(nèi)人士向記者透露，傳統(tǒng)的SP公司轉(zhuǎn)行做暗扣APP，已經(jīng)是司空見慣的事情。“現(xiàn)在傳統(tǒng)的SP行業(yè)確實不景氣，圈子里有很多規(guī)模很大的SP公司轉(zhuǎn)行在做吸費APP，而且現(xiàn)在已

經(jīng)形成了一條完整的產(chǎn)業(yè)鏈條。”

北京江海沐暉科技有限公司變是一家專門開發(fā)APP軟件的公司。此前，該公司創(chuàng)始人王磊就對媒體坦言，有時候APP的開發(fā)者也是有苦難言，甚至連他們自己都不知道問題究竟出在哪里。

“在開發(fā)APP的過程中，對于一些普遍功能模塊，開發(fā)者往往會直接使用相應的第三方插件，如果這時候混入了一些惡意插件，又沒有相應的安全監(jiān)測，開發(fā)者與運營者無形中就成了惡意插件的‘替罪

羊’。”王磊表示。

他補充道，除了上述APP“拼裝”帶來的安全風險外，當前APP市場中還存在著大量的“二次打包”現(xiàn)象，即一些個人或公司會對比較熱門的APP進行“改裝”，加入一些廣告推送甚至竊取用戶隱私

的惡意程序，以此來為自身牟利。

俗話說，哪里有市場哪里就有江湖。據(jù)武漢某家從事CP業(yè)務公司的負責人孫剛（化名）介紹，用戶從下載安裝APP到被扣費，背后有著一條從SP公司——開發(fā)者——第三方應用市場的極為龐大的利益鏈

條。

目前有很多安卓應用的開發(fā)者和SP公司，紛紛盯上了技術難度低、堪稱暴利的暗扣費APP。“有些SP公司會盜版和仿冒一些下載量比較高的游戲和應用，如將《捕魚達人》等游戲中內(nèi)置扣費插件二

次打包后，在第三方市場推廣。而圈子里也有些公司因為代碼太多，做不過來，便會找一些APP開發(fā)商或者工作室，將代碼提供給他們后從中賺取差價。”

“我們負責提供SP的扣費代碼和渠道，開發(fā)者負責添加插件和推廣。當用戶通過SP渠道產(chǎn)生信息費后，添加插件的開發(fā)者便能拿到信息費的20%。比如這次產(chǎn)生的信息費是2元，那開發(fā)者便能拿到4角，

這是閱讀和視頻SP通道的分成，游戲的相對高一些，能到28%左右。其實我們也就賺取中間差價，拿個信息費的20%左右吧，真正利潤的大頭不在我們這。”孫剛表示，他們會和一些APP的原創(chuàng)開發(fā)者合

作，聯(lián)手分成利潤。不僅如此，他所在的SP業(yè)務公司自己也在做吸費APP。

“我們自己會選擇一些下載量比較大的知名游戲，在其中添加吸費插件后以漢化版、破解版等名義推向第三方市場。而推廣費用目前的行情是1.5元/次，像在應用市場中提交吸費APP后，每當用戶下載

一次，我們就要付給第三方市場1.5元。”此外，據(jù)孫剛稱，他所在的SP公司已經(jīng)將應用市場、廠商等下游市場的渠道全部鋪到。

加固技術隱憂

第三方插件的無孔不入顯然給APP開發(fā)者敲響了警鐘。

此前，有業(yè)內(nèi)專家呼吁，對于APP“拼裝”問題，開發(fā)者有義務自行開發(fā)或選擇組合不含惡意代碼的插件；運營者則需要建立完善的管理體系，包括開發(fā)方的資質(zhì)審核、誠信記錄，進行安全檢測并受理

投訴、下架追償?shù)取?/p>

今年4月，通付盾CEO汪德嘉就對媒體表示，目前市場上提供的大部分安全加固方案，都是這種對待加固的應用進行加殼、加密操作，但這種方式只是移動安全的第一步，事實上也是最脆弱的一步，這種

安全加固方式只能對抗靜態(tài)分析和簡單的逆向工程。

“這也要求我們不斷提升安全加固的技術水平，同時配合動態(tài)簽名的方式，實時檢查程序的完整性，以杜絕惡意程序的動態(tài)注入。”汪德嘉認為。

而就在安全加固技術進一步得到重視的同時，惡意程序加固的問題也開始展露端倪。據(jù)相關媒體報道， 國家互聯(lián)網(wǎng)應急中心何能強博士在此前的《2014中國網(wǎng)絡安全論壇》上公開表示，2014年監(jiān)測到

的互聯(lián)網(wǎng)上加固的安全應用程序超過7萬個，惡意程序有7000多個。

據(jù)何能強介紹，2012年上半年，國家互聯(lián)網(wǎng)應急中心曾接到過的一個關于仿冒微信客戶端的舉報事件，該惡意程序就是經(jīng)過加固的。

“從該案例中不難看出，應用程序的加固本意是好的，是防止應用程序被篡改和攻擊，但是這種正當?shù)募夹g已經(jīng)被黑客濫用了，他們把這些加固技術用到惡意程序里面，來對抗安全檢測。”何能強認為。

何能強表示：“以后主管部門應該對提供加固的公司進行嚴格管理，禁止這些公司向惡意程序公司提供加固服務。APP的正規(guī)開發(fā)者與惡意開發(fā)者之間永遠都會存在交鋒，想要解決這一問題，最好的出

路仍是要不斷尋求技術上的超越與提升。”