2022年7月12日,小米应用商店官方表示,为维护小米用户合法权益和 MIUI系统体验,将开展“App侵害用户权益治理行动”,针对在架、非在架的清理类产品,进行集中排查与治理,并且即日起停止清理类应用收录,逐步推进下架等处理措施。
2022年6月29日,华为应用市场正式面向开发者发布通知,宣布不再收入清理类、Wi-Fi类新应用。对此,华为表示,根据用户反馈及监管情况,清理类、Wi-Fi类应用违规收集个人信息、自动下载其他软件、频繁弹窗和广告无法关闭等问题突出,严重影响了用户体验。
一、 清理、WiFi类App曝光事件
2022年3·15晚会上,曝光了清理类App清理骗局,这些清理软件虽然以手机清理软件命名,实则收集用户信息。它会自动弹出“安全提示”,告诉你内存不足、有病毒需要查杀等,骗取老年人点击量,却在后台大量窃取用户信息。
3·15曝光的还有“WiFi”类App,这类应用以免费Wi-Fi为名诱骗用户下载恶意App,还存在弹窗广告、骚扰用户后台、大量搜集用户信息、频繁自启等诸多问题。“随时随地免费畅连WiFi”“本地WiFi可以免费连接使用”,看上去是“提供免费WiFi”的软件,实则是披着羊皮的狼。
二、 清理、WiFi类App的总体概况
据爱加密移动应用大数据平台监测的900+个应用渠道的数据统计,从2018年1月开始到2022年6月底,应用商店共有清理类的App 4399款,WiFi类的App有4613款。据统计,今年清理类的App平均每月新增184款,6月新增数量最多,达到了270款,每月新增量总体呈上升趋势。而WiFi类的App平均每月新增103款,6月新增数量最低,只有44款,整个半年该类应用的新增量呈下降趋势。据推测,《个人信息保护法》出台后,WiFi应用违规收集用户敏感信息得到了有效遏制,也有可能跟运营商流量降费有关,更多用户不再蹭WiFi。下图为“清理、WiFi”类App每月新增的走势图:
WiFi、清理类每月资产新增走势图
从各大应用市场上架这两类App数量来看,清理类App:PC6市场上架的总量为1046,排名第一;其次是应用宝,总量为855款,排名第二;排名第三的是百度手机助手,总量为841款。
清理类App各渠道排行Top10
WiFi类App:豌豆荚上架的总量为921,排名第一;其次是应用宝,总量为906款,排名第二;排名第三的是搜狗应用,总量为891款。而相对的一小部分WiFi、清理类App活跃于小型应用市场中,此类App违规行为也较多。
WiFi类App各渠道排行Top10
从两类App开发者、运营者的工商注册所属区域分布来看,广东省WiFi、清理类App数量为2287款,位居第一,占全国WiFi、清理类应用总量的25.38%;其次是北京市,总量为2284款,占总量的25.34%;湖南省位列第三,总量为569款,占总量的6.31%。上海市和湖北省以6.23%和5.69%的占比,分列第四和第五。
WiFi、清理类移动应用区域分布TOP10
经过进一步发现,北京袍泽汇鑫科技有限公司开发的清理类App数量最多,达到了23款,深圳市漫城科技开发有限公司开发的wifi类App数量最多,共21款。此外,330款清理类App和493款WiFi类App,共用同一个签名,这些App极有可能被二次签名打包,可能是仿冒盗版应用,存在较大的安全风险。目前工信部也在推行APP认证签名体系的建设,有效防范和遏制仿冒盗版应用。
根据各渠道的下载量累计统计,下载量排名前列的App分别是:清理类App:猎豹清理大师(com.cleanmaster.mguard_cn)下载量达到 23亿次,QQ同步助手(com.tencent.qqpim )下载量是2亿次; 以下是清理类App下载量TOP10排行情况:
“清理类”应用下载量排行TOP10
WiFi类App:WiFiMasterKey(com.snda.wifilocating )下载量是147亿次,腾讯WiFi管家(com.tencent.wifimanager )下载量是14亿次。(注:下载量是指爱加密移动应用安全大数据平台综合智能分析的下载量,仅作参考)以下是WiFi类App下载量TOP10排行情况:
“WiFi类”应用下载量排行TOP10
三、 清理、WiFi类App不良行为案列
1、清理类App“假动作”花人眼
爱加密技术工程师从下载量和活跃度较高的清理类App中,随机抽取了其中一款应用进行检测,结果发现该应用存在“假清理”的情况。工程师在使用其清理功能时,显示存在4.07M大小的垃圾文件,当完成第一次清理后,再次点击清理功能,显示垃圾文件比第一次的还要多,垃圾文件大小为5.47M,给人的感觉垃圾文件越清理越多,清理不完。前后两次检测结果如下图:
通过技术工程师进一步从应用代码分析,发现该应用在执行清理操作后,显示在用户界面的 “缓存垃圾”,“广告垃圾”,“卸载残留” 模块的数值,是随机数据,并没有进行真实的清理文件操作。
2、清理类App强制用户“观赏”广告
检测人员使用某清理类App的清理功能时,强制用户浏览数十秒时间的广告,并且不能跳过,这违反了工信部关于广告的监管要求规定—“欺骗误导强迫行为”。检测详情如下图:
3、用户位置信息被WiFi类App频繁收集
某WiFi类App在运行后要求用户提供位置权限用户授权后,短短一分钟内分别读取了298次地理位置信息,远远超出了App使用场景中的合理频次,属于超频超范围收集用户位置信息,详情如下图:
4、WiFi类App大量广告消耗用户流量
某WiFi类App在使用过程中发现有大量的广告推送,“资讯”和“发现”页面中嵌入了大量的广告,该应用打着“万能钥匙”的旗号,赚取广告流量费用。
5、WiFi类App未提供广告关闭按钮、诱导用户点击广告
某WiFi类App在广告方面同样存在违反工信部关于广告的要求,即弹窗广告时未及时提供关闭按钮,强制用户浏览广告,还使用误导性质的广告,如连接网络的功能按钮,误导用户点击并下载其它应用:
结语
数字化时代,移动App早已渗入到我们生活、工作中的方方面面,在为我们提供不少便利的同时,也带来了诸多问题——手机越来越卡、内存越用越小等,特别是在下载了某些不明来源、流氓应用之后。究其原因这类应用存在植入广告偷跑流量、窃取用户隐私、自动安装其他软件等诸多问题,不仅影响了手机的正常运行,而且还严重侵害了用户的合法权益。因此我们在使用App时,要擦亮眼 睛,提高安全防范意识。
本文转载自: https://www.anquanke.com/post/id/276543
温馨提示:一切未经授权的渗透测试行为均为违法行为。