智能手機APP軟件質量現狀與分析

程秀才，王 蕊，榮鼎慧

（國家軟件產品質量監督檢驗中心，江蘇 南京 210012）

智能手機APP軟件質量現狀與分析

程秀才，王 蕊，榮鼎慧

（國家軟件產品質量監督檢驗中心，江蘇 南京 210012）

隨著智能手機的普及，人們在溝通、社交、娛樂等活動中越來越依賴于手機 APP軟件（APP，英文Application的簡稱，即應用軟件，通常是指iphone、安卓等手機應用軟件）。但是目前，我國對手機APP的管理體制尚不成熟，加上不法商家的逐利特點，導致手機App的質量問題，尤其是安全隱患頻發，例如難以卸載、偷跑流量、推送廣告、植入病毒、收集通信錄信息或位置信息、竊取用戶隱私和賬戶資金等等。隨著大眾質量和隱私意識的不斷提高，手機APP軟件的質量和安全問題也越來越引起人們的關注。本文將站在第三方軟件檢測機構的角度，論述當前我國手機APP的質量安全問題，以及相關防范建議。

智能手機APP；質量；安全

0 手機APP軟件特點

智能手機，是指像個人電腦一樣，具有獨立的操作系統、獨立的運行空間，可以由用戶自行安裝軟件、游戲、導航等第三方服務商提供的程序，并可以通過移動通訊網絡來實現無線網絡接入手機類型的總稱。

智能手機通常具有以下五大特點：

（1）具備無線接入互聯網的能力；

（2）具有PDA的功能，包括個人信息管理、日程記事、任務安排、多媒體應用、瀏覽網頁；

（3）具有開放性的操作系統：擁有獨立的核心處理器（CPU）和內存，可以安裝更多的應用程序，使智能手機的功能可以得到無限擴展；

（4）人性化：可以根據個人需要擴展機器功能。根據個人需要，實時擴展機器內置功能，以及軟件升級，智能識別軟件兼容性，實現了軟件市場同步的人性化功能；

（5）功能強大：擴展性能強，第三方軟件支持多。

根據手機APP安裝來源不同，又可分為手機預裝軟件和用戶自己安裝的第三方應用軟件。

手機預裝軟件一般指手機出廠自帶、或第三方刷機渠道預裝到消費者手機當中、且消費者無法自行刪除的應用或軟件。

除了手機預裝軟件之外，還有用戶從91助手，豌豆莢，百度或360手機助手等手機應用市場自己下載安裝的第三方手機APP應用，下載類型主要集中在社交社區類軟件如陌陌、貼吧、天涯、直播，游戲類軟件如王者榮耀、魔獸世界等等。

1 手機APP質量與安全現狀

隨著智能手機市場的蓬勃發展，智能手機預裝軟件已經漸漸成為用戶體驗的一大威脅。各大運營商、手機設計生產廠商為了打造所謂“生態圈”，大多數智能手機出廠時預裝了很多工具軟件、娛樂軟件、社交軟件、電商軟件、安全軟件、學習軟件、以及游戲軟件等應用，除了生產廠家自帶的系統軟件外，手機軟件開發商、刷機渠道還推出第三方應用軟件。這些軟件由手機制造商進行預裝，寫入手機系統，或者由刷機渠道預裝進用戶手機，通常不可以被消費者刪除。這些智能手機中的預裝軟件占用大量手機內存，影響運行速度，偷跑手機流量，泄露用戶隱私等，特別是一些刷機渠道，為了自己的商業利益在用戶手機中預裝了大量軟件，給手機用戶的資費和隱私帶來巨大安全隱患。

目前，行貨手機強制預裝軟件的三個條件如下：

（1）手機出廠前預裝

所謂手機出廠前預裝，就是消費者在購買到未拆封、未使用過的全新手機時，在手機默認的初始狀態、出廠設置下，手機軟件已經在手機中由廠商預先安裝好了，并且第一次開機后可以直接使用。

（2）第三方應用范疇

強制預裝的手機軟件都屬于第三方應用的范疇。所謂第三方應用，首先排除了手機系統自帶的功能和程序，如系統原生相冊。其次，廠商提供的原廠服務作為手機整體的組成部分也不屬于第三方應用，如應用商店。

（3）無法使用正常手段刪除

強制預裝的手機軟件，其強制性就在于消費者沒有對它們刪除、卸載的權限。這些軟件被寫入手機的固件，常規卸載軟件的方法甚至恢復出廠設置都無法刪除它們，除非對手機進行破解、刷機。

市場上，許多手機生產廠商用的都是安卓系統，包括小米、酷派、華為、三星等，如此一來，安卓系統的開源性就導致很多的手機廠商可以任意修改個別設置和自由安裝，這就很容易導致安卓手機的安全性得不到保證，危險也較多。目前市場上出現的APP安全漏洞主要是安卓系統上的，尤其是用戶隱私泄露一直比較嚴重。據 2016年某檢測機構統計，在安卓系統中，有近 55.3%的移動應用具備讀取位置信息的權限，對于用戶隱私最重要的三項信息：通訊錄、通話記錄和短信記錄，其所占比例分別為22.8%、16.4%和13.9%。目前，存在隱私獲取權限的應用在總應用數量中的比例如下圖1所示。

圖1 存在隱私獲取權限的應用在總應用數量中的比例%Fig.1 The percentage of the total number of applications in which privacy access permissions are applied

安卓系統下的安全漏洞現狀更是不容樂觀，2016年，在對安卓系統下的APP軟件檢測時發現，近97%的APP軟件都存在安全漏洞問題，有的APP軟件上的漏洞竟高達30多個。具體數據可見下圖2、圖3和圖4所示。

圖2 不同類別手機APP軟件動態掃描漏洞總數Fig.2 The total number of dynamic scanning vulnerabilities in different types of mobile APP software

另外，工信部于今年二季度發布的《工業和信息化部關于電信服務質量的通告（2017年第3號）》顯示，在對55家手機應用商店的應用軟件進行技術檢測時，發現違規軟件42款，涉及違規收集使用用戶個人信息、惡意“吸費”、強行捆綁推廣其他應用軟件等，可見，雖然很多政府部門嚴加監管，但手機安全隱患并沒有徹底消除。

圖3 安卓系統手機APP軟件漏洞類別分布Fig.3 The class distribution of android mobile phone APP software vulnerabilities

圖4 安卓系統手機APP軟件漏洞風險級別分布Fig.4 The risk level distribution of android mobile phone APP software vulnerabilities

2 手機APP安全隱患產生的原因分析

以目前占據市場份額最多的安卓手機為例，當下許多手機生產廠商用的都是安卓系統，包括小米、酷派、華為等，如此一來，安卓系統的開源性就導致很多的手機廠商可以任意修改個別設置并自由安裝，這就很容易導致安卓手機的安全性得不到保證，危險也就增多。目前市場上出現的APP安全漏洞主要是安卓系統上的，它的安全性確實比蘋果的 IOS系統稍遜。

手機安全問題的幕后，其實是一個復雜的灰色生產鏈，該生產鏈涉及到：APP開發商、移動平臺廣告商、手機生產商和某些不法創業團體等。而這一切的來源就是利益驅動，這也是安全隱患產生的最根本原因。

2.1 APP 開發商

很多的APP漏洞都是由一些簡單的錯誤編碼或參數使用不當所導致，開發者寫錯一個編碼或是將參數稍微變動一下，APP上的關鍵數據就很有可能被暴露，從而帶來安全問題。

有些開發商在后期檢測中不會主動去關注這些看似較小的細節問題，沒有對APP源碼進行修改，安全問題就很容易出現。

對于許多的 APP開發者（尤其是那些違規的APP生產商）而言，他們的目的就是要創造出更多、更吸引人購買的APP應用程序。這種相對功利性、任務性的工作意識，讓他們在開發時往往忽略掉很多安全性方面的考慮，在推廣前更沒有進行反復的功能測試和安全測試，就匆匆上市發布，這樣開發出來的產品或許會賣個好價錢，但是對用戶而言，

后期的損失可能比這個價錢要多得多。

如果是那些急功近利的違規APP生產商，利益的驅動更會讓他們鋌而走險，在APP中直接嵌入某些病毒和惡意程序，如果這有這樣的事情發生，后果更是不可想象。

2.2 移動平臺廣告商

截至 2017年 6月，我國網民規模已達到 7.51億，半年共計新增網民1992萬人。互聯網普及率為54.3%，較2016年底提升1.1個百分點。手機網民規模達7.24億，較2016年底增加2830萬人。網民使用手機上網的比例由 2016年底的 95.1%提升至96.3%。中國已經進入移動互聯網全民時代，因此，大數據的優勢對于生產廠商而言就變得十分重要。

因此，許多廣告商都在試圖去搜集大數據，以期為自己所用。而移動應用平臺的快速發展更是給這些商家提供了更加便利的途徑。

況且，如此龐大的市場前景，必然也會出現魚龍混雜的情況。因為無論是手機還是手機號碼，都是相對穩定的因素。通過APP預先設定的程序收集設備識別信息、地理位置等必要的信息可以幫著廣告商適時而又準確的將廣告投放到對應的用戶當中（廣告商利用APP的“針對性”將廣告嵌在應用程序中，待用戶啟動APP時就自動彈出或顯示），而APP的開發者也會因此而獲得相應的利益分紅。既節省了廣告商在發布廣告時所產生的中間費用又能夠有效的控制廣告目標用戶的準確性，保證廣告的有效性，只賺不賠，自然蜂擁而至。

2.3 不法手機生產商和創業團體

手機作為APP的移動終端設備，它們的存在就是給這些品種繁多的APP們使用。一般情況下，手機中并不會搭配APP進行出售，除非是客戶提出要求。但是一些違規的手機生產廠商或創業團體甚至為達到目的向用戶出售已經安裝過某些特定用途APP的手機，將惡意軟件或廣告嵌在手機中，以此來達到惡意扣費或違法強制宣傳推廣等目的。例如，一些走私版 HTC智能手機在出廠時就曾內置過MobileReader看書軟件，這些軟件會自動收費，稍不注意，就會向用戶收取高額增值稅。還有某些品牌的智能手機，其正品行貨手機開機后已經內置了360手機安全衛士、youni短信等眾多軟件，雖然無害但是依舊會影響用戶的正常生活。這些APP是通過一些專門的“一鍵刷機”軟件刷入手機之中，并非品牌官方安裝。

3 手機APP安全風險防范

3.1 政府部門加強市場規范與監管

2016年12月23日，工信部發布《移動智能終端應用軟件預置和分發管理暫行規定》，該《規定》共14條，自2017年7月1日起實施。其中第七條明確規定：生產企業和互聯網信息服務提供者應確保除基本功能軟件外的移動智能終端應用軟件可卸載。這意味著，只要不是基本功能軟件，哪怕是手機廠商自家開發的應用，也應該支持卸載。第五條第二款還規定：未經明示且經用戶同意，不得實施收集使用用戶個人信息、開啟應用軟件、捆綁推廣其他應用軟件等侵害用戶合法權益或危害網絡安全的行為。第八條第二款更是明確提出，應建立應用軟件管理機制，對應用軟件進行審核及安全、服務等相關檢測，對審核和檢測中發現的惡意應用軟件等違法違規軟件，不得向用戶提供；對所提供應用軟件進行跟蹤監測，及時處理違法違規軟件，建立完善用戶舉報投訴處置措施等。

各地方政府主管部門，例如下屬第三方軟件質檢機構，完全可以以此為依據，開展智能手機APP軟件風險監測工作，重點關注其安全性，及時發現潛在風險并通報，為社會創造一個較為安全的使用環境。

同時，建議質監部門盡快制定手機APP軟件的各類詳細標準，甚至是強制性標準，約束各大手機廠商，從前期就把好關口，做好手機軟件的產品質量安全工作，杜絕偷跑流量、做好安全防護、防止隱私泄露等，規范預置軟件的開發、測試等一系列行為，從根本上保障消費者的權益。

3.2 個人用戶增強安全防范意識

針對手機預置軟件，給消費者建議如下：

1、安裝可靠的手機安全防護軟件，定期升級，以提升信息安全性。

2、盡量選擇從手機軟件的官方網站、信譽良好的第三方應用商店等正規渠道下載APP，不要輕易點擊APP中的彈出廣告和各種不明鏈接，不掃描來源不明的二維碼。

3、通過安全應用查殺手機木馬、管理 APP權限，阻止APP收集隱私和通過各種途徑上傳。

4、養成及時關閉后臺應用程序的習慣、關閉自動更新，使用手動更新、刪除或減少耗電量高的預裝軟件。

[1] 工信部, 《工業和信息化部關于電信服務質量的通告（2017年第3號）》.

[2] 工信部, 《移動智能終端應用軟件預置和分發管理暫行規定》.

[3] 榮鼎慧. 國內軟件質量評價服務現狀[J]. 軟件, 2016,37(10): 51-54.

[4] 王象剛. 基于產品競爭優勢的手機開發設計研究[J]. 軟件,2014. 35(1): 150-151.

[5] 孟祥雨, 李學軍. 智能手機軍事化應用前景研究[J]. 軟件,2014, 35(4): 78-79.

[6] 李藝琳. 基于Android 平臺智能手機短信應用的研究與改善[J]. 軟件, 2014, 35(9): 109-114.

[7] 李淑民. Android 手機隱私泄露研究[J]. 軟件, 2015, 36(2):69-72.

[8] 司亞清, 劉蕾. 智能手機用戶體驗的影響因素研究[J]. 軟件, 2015, 36(3): 111-115.

[9] 汪文彬, 楊少輝. 基于短信控制的Android手機安全系統的設計與實現[J]. 軟件, 2015, 36(6): 21-25.

[10] 程衛軍, 艾中良. 一種基于智能手機的可穿戴設備安全架構[J]. 軟件, 2015, 36(11): 105-107.

Status and Analysis of Smartphone APP Software Quality

CHENG Xiu-cai, WANG Rui, Rong Ding-hui
(National Center of Supervision & Inspection on Software Products Quality (Jiangsu), Nanjing, 210012, China)

With the popularity of smart mobile phone, people in communication, social, entertainment and other activities in the increasingly dependent on mobile phone APP software (APP, English Application, which usually refers to the application software, iPhone, Android and other mobile phone applications). But at present, China's mobile phone on the APP management system is not mature, plus profit characteristics of illegal businesses, resulting in quality problems of App mobile phone, especially the frequency of security risks, for example, it is difficult to uninstall, sneak flow, push advertising, implant viruses, recorded in the information communication or collect location information, steal user privacy and the account funds and so on. With the continuous improvement of public quality and privacy awareness, the quality and security of mobile APP software has attracted more and more attention. This paper will discuss the quality and safety of mobile phone APP in our country from the angle of third party software inspection organization, and some relevant suggestions.

Smartphone APP; Quality; Security

TP311.56

A

10.3969/j.issn.1003-6970.2017.11.030

本文著錄格式：程秀才，王蕊，榮鼎慧. 智能手機APP軟件質量現狀與分析[J]. 軟件，2017，38（11）：156-159

程秀才，男，(1979-），博士，副高，主要研究方向：軟件及智能化檢驗檢測公共技術服務平臺的建設與運營；王蕊，女，(1983-），碩士，工程師，主要研究方向：軟件及智能化檢驗檢測技術；榮鼎慧，女，(1983-），碩士，工程師，主要研究方向：標準化。