企业为抢市场未考虑安全 黑客称手游99%都有漏洞
无图说
“又是一个有问题的APP。”徐汇公安分局网安支队的鲍警官,记录下这款手机软件的名称及其被“黑”的症状。
这是鲍警官和同事们做的一项实验:他们选取有一定影响力的手机软件APP,运用网上已有的各类软件进行测试,结果发现至少10%的手机软件存在安全问题。
从去年年底开始,徐汇网安支队陆续接报多起涉及手机软件的案件。侦查员发现,这些案件非常相似,黑客都是利用网上各类攻击软件撬开手机软件APP的“后门”。
粉丝攻破链接提前发布港剧
今年5月,香港某知名电视台的电视剧内地版权发布方发现,明明晚上8时才可以在电脑、手机上播出的电视剧集,居然在下午就已经提前在网上公开了。按照传统的办案思路,嫌疑人很可能是掌握独家资源的内鬼。但最终的调查结果令人吃惊,嫌疑人竟然是两名热衷网上追剧的“发烧友”。
一般来说,电视台白天会将当天电视剧内容上传至服务器,内地公司会提前做好链接,待晚上电视台播出时同步推出视频。这两名嫌疑人发现手机播放存在漏洞,通过黑客软件分析出视频链接格式。通过规律总结,生成了20个离线下载,居然成功下载了部分未播放的新剧集。
彩票代理网站被黑客恶意转账
今年1月,上海一家彩票代理网站发现后台被人恶意转账140万元。鲍警官和同事调查发现,问题出在这家公司的网络支付移动端口。黑客在彩票代理网站注册账户后充值1元,然后利用技术手段将账户金额篡改为10万元。鲍警官介绍,当时这伙人在彩票网站的APP上一共篡改了7次后台数据,第一笔5000元,最后一笔高达88万元。一周后,彩票网站方才察觉异常。
在对犯罪嫌疑人的调查中,徐汇公安发现,受害者不止这一家彩票网站。一家知名电影票代理网站,也被这伙不法分子采取类似的办法,先后骗得价值160余万元的电影票。警方还发现,部分掌握全国院线资源的手机软件同样存在风险,因而及时将情况反馈给相关公司。
APP安全性能第一责任人是企业
在与部分手机软件开发运行公司接触后,鲍警官认为,很关键的一点在于企业安全意识不强。在一起手机游戏敲诈案中,鲍警官和同事特别询问公司是否进行过内部安全测试。对方回应:“为了抢占市场,只考虑运营问题,没考虑安全问题。”
曾参与数款APP开发、正在自主创业的刘纳告诉记者,在APP设计之初,大家主要考虑的是用户需求和体验,以及人气累积后可能争取到的风险投资。至于APP的安全性能,很少会专门对此予以分析并提出对策。不过,刘纳认为,如果静下心来做一款经得起时间检验的产品,其实应当在每个环节上精益求精。
在法律界人士看来,APP安全性能的第一责任人是企业,然后是监管部门。作为“最后把门者”,鲍警官认为:“前端做一定比后端做更好。”他说,随着互联网技术的发展,此类犯罪的破案难度和成本将越来越高。
政府能否提供基础安全检测服务
手机软件的安全隐患,究竟来自何处?业内人士分析,一方面有系统原因,如安卓系统的源代码是公开的; 另一方面是开发者的原因,如部分代码编写不规范等,让不法分子有可乘之机。此外,安卓系统的应用商店数以百计,这些应用商店对上架APP的审核标准不一,导致手机软件质量良莠不齐。
有人建议,应该在全国层面为手机软件制订统一审核标准,将安全性能作为其中一项重要指标。还有业内人士建议,政府部门可以通过购买服务的方式,为相关企业提供APP基础安全性能检测。
不过,也有开发者对此并不认同。从事APP开发的杨青认为:“手机软件正处于 ‘野蛮生长’阶段,用‘标准’来限制不利于发展,不如让市场发挥淘汰作用。”在知名网络公司工作的技术人员周晴则认为,手机软件技术一日千里,用统一标准来保护安全并不现实。
在网络上,类似的黑客攻击软件很容易找到,业内人士称其为测试软件。它由一些专业公司或技术人员开发,公开发布到网上供人免费下载,有的还附有使用教程。在法律界人士看来,这种新兴软件处于灰色地带,难以对其准确定性。软件开发的初衷是给手机软件公司提供低廉的安全测试工具,但如果被不法分子利用也可能成为作案工具。
热衷使用这些软件的人,同样有着微妙的身份。通常,那些能攻破知名网站的“大神”,会成为偶像。这些“大神”大多不屑于攻破 APP后非法牟利,而更在乎自己在网上的声誉。一些“大神”甚至会在攻破知名APP后,主动将软件漏洞、解决方法告知相关企业。这样的举动,也为他们赢得了“红客”之名。
在公安部门抓获的嫌疑人中,几乎人人都声称曾有一个“红客”的梦想。去年年底,徐汇公安分局曾接到一家手机游戏公司报案,游戏刚上线就有人联络客服人员,声称已经掌握这款手游的多个程序漏洞,并主动提供两个漏洞供验证。一开始,对方表示公司给些测试费就可以,但后来索价越来越高,从5000元到数万元,甚至威胁“不给钱就把漏洞卖给别人”。
今年1月,徐汇警方抓获涉案的8名嫌疑人。其中一名主要嫌疑人李某平时在一家修车店当小工,闲暇时喜欢钻研手机游戏,李某跟其余7个素未谋面的网友,创建QQ群交流经验,市面上出现一款手游便“测试一下”。李某称,自己曾研究过上百款手游,“99%都找得到漏洞”。
这些嫌疑人,绝大多数是90后,都是凭兴趣自学钻研。一开始,他们都抱着“试试能否攻破”的态度。可当“改下数字就能变成钱”的时候,他们动摇了!
红与黑之间,界限似乎并不明显。如果从一开始就有合法途径把这些年轻人引上正道,他们或许就会成为“红客”。 (记者 简工博)