监管拟整APP乱象 剑指灰色利益链(2)

即使是未被病毒感染的手机，一个APP调用用户权限越多，就越了解用户信息，越接近ROM的价值，其商业价值空间就越大。

而通过查看一款手机应用调用了哪些权限，如果这些权限不是拿去出售而是自用，也可以大致了解该应用未来可能涉及的一些商业模式。

另一个现象则是，由于隐私获取类病毒在2014年上半年快速发展，体现出会通过后台上传用户短信、通讯录、短信验证码等强隐私信息，而这类强隐私窃取类病毒正越来越偏向于紧盯用户钱包，转发用户短信，呈现与移动支付病毒融合发展趋势。

2014年7月，一款名为“宅男Film”的手机支付病毒不仅可以拦截支付回执短信，并上传手机支付短信验证码，会导致手机网购用户银行卡资金被盗。

今年8月的典型病毒有“XX神奇(器)”、“韩银大盗”等支付类病毒。其中，“XX神奇”可读取用户手机联系人，并调用发短信权限，将内容发送至手机通讯录的联系人手机中，该病毒感染手机用户超过100万。

百度安全实验室方面人士则表示，由于涉及用户隐私的应用种类繁多，比如手机银行就有数十家，如果对其中的某一种或者某几种隐私信息进行有针对性的窃取，相比于单纯窃取短信、联系人等行为隐蔽性更强，更难以被轻易检测到。

在种种行业乱象背后，一个好的现象是，“安卓系统本身越发重视安全问题，如5.0新系统中引入了多项安全增强措施，加密用户手机信息，交给用户更多管理权限，安卓问题在不断完善。”李铁军对记者表示。

而关于如何规范APP安全市场，近年来相关部门一直加大整顿的步伐。

在2013年11月，工信部发布《关于加强移动智能终端进网管理的通知》，根据要求，手机厂商预装软件必须经过工信部的审核，并要求手机厂商不得安装未经用户同意，擅自收集、修改用户信息的软件，以及给用户造成流量消耗、费用损失、信息泄露等不良后果的软件。

到了今年，工业和信息化部联合公安部、工商总局自2014年4月至9月在全国范围开展打击移动互联网恶意程序专项行动。其中一项就包括三部门联合印发了《打击治理移动互联网恶意程序专项行动工作方案》，督促应用商店落实安全责任，开展应用程序安全检测，实施应用程序开发者签名试点，依法打击相关网络违法犯罪行为。

事实上，包括应用宝、360手机助手、豌豆荚、91等在内的主流应用分发渠道，一直通过多重安全技术手段等来防范病毒应用。

“尽管此前已经从手机出厂方面对手机厂商和软件预装进行约束，但手机从出厂到达消费者的这一时间段处在监管真空地带，这类鱼龙混杂的APP或将转向经销商、零售商等渠道完成刷机；此外，用户在使用过程中，由于APP应用渠道繁多混杂，用户遇到侵权等问题的举证成本高，”一位网络安全方面人士对记者说，“APP相关治理问题不能靠单点突击，还需多管齐下。”