APP下载

智能手机APP软件质量现状与分析

2017-12-07程秀才荣鼎慧

软件 2017年11期
关键词:安卓智能手机软件

程秀才,王 蕊,荣鼎慧

(国家软件产品质量监督检验中心,江苏 南京 210012)

智能手机APP软件质量现状与分析

程秀才,王 蕊,荣鼎慧

(国家软件产品质量监督检验中心,江苏 南京 210012)

随着智能手机的普及,人们在沟通、社交、娱乐等活动中越来越依赖于手机 APP软件(APP,英文Application的简称,即应用软件,通常是指iphone、安卓等手机应用软件)。但是目前,我国对手机APP的管理体制尚不成熟,加上不法商家的逐利特点,导致手机App的质量问题,尤其是安全隐患频发,例如难以卸载、偷跑流量、推送广告、植入病毒、收集通信录信息或位置信息、窃取用户隐私和账户资金等等。随着大众质量和隐私意识的不断提高,手机APP软件的质量和安全问题也越来越引起人们的关注。本文将站在第三方软件检测机构的角度,论述当前我国手机APP的质量安全问题,以及相关防范建议。

智能手机APP;质量;安全

0 手机APP软件特点

智能手机,是指像个人电脑一样,具有独立的操作系统、独立的运行空间,可以由用户自行安装软件、游戏、导航等第三方服务商提供的程序,并可以通过移动通讯网络来实现无线网络接入手机类型的总称。

智能手机通常具有以下五大特点:

(1)具备无线接入互联网的能力;

(2)具有PDA的功能,包括个人信息管理、日程记事、任务安排、多媒体应用、浏览网页;

(3)具有开放性的操作系统:拥有独立的核心处理器(CPU)和内存,可以安装更多的应用程序,使智能手机的功能可以得到无限扩展;

(4)人性化:可以根据个人需要扩展机器功能。根据个人需要,实时扩展机器内置功能,以及软件升级,智能识别软件兼容性,实现了软件市场同步的人性化功能;

(5)功能强大:扩展性能强,第三方软件支持多。

根据手机APP安装来源不同,又可分为手机预装软件和用户自己安装的第三方应用软件。

手机预装软件一般指手机出厂自带、或第三方刷机渠道预装到消费者手机当中、且消费者无法自行删除的应用或软件。

除了手机预装软件之外,还有用户从91助手,豌豆荚,百度或360手机助手等手机应用市场自己下载安装的第三方手机APP应用,下载类型主要集中在社交社区类软件如陌陌、贴吧、天涯、直播,游戏类软件如王者荣耀、魔兽世界等等。

1 手机APP质量与安全现状

随着智能手机市场的蓬勃发展,智能手机预装软件已经渐渐成为用户体验的一大威胁。各大运营商、手机设计生产厂商为了打造所谓“生态圈”,大多数智能手机出厂时预装了很多工具软件、娱乐软件、社交软件、电商软件、安全软件、学习软件、以及游戏软件等应用,除了生产厂家自带的系统软件外,手机软件开发商、刷机渠道还推出第三方应用软件。这些软件由手机制造商进行预装,写入手机系统,或者由刷机渠道预装进用户手机,通常不可以被消费者删除。这些智能手机中的预装软件占用大量手机内存,影响运行速度,偷跑手机流量,泄露用户隐私等,特别是一些刷机渠道,为了自己的商业利益在用户手机中预装了大量软件,给手机用户的资费和隐私带来巨大安全隐患。

目前,行货手机强制预装软件的三个条件如下:

(1)手机出厂前预装

所谓手机出厂前预装,就是消费者在购买到未拆封、未使用过的全新手机时,在手机默认的初始状态、出厂设置下,手机软件已经在手机中由厂商预先安装好了,并且第一次开机后可以直接使用。

(2)第三方应用范畴

强制预装的手机软件都属于第三方应用的范畴。所谓第三方应用,首先排除了手机系统自带的功能和程序,如系统原生相册。其次,厂商提供的原厂服务作为手机整体的组成部分也不属于第三方应用,如应用商店。

(3)无法使用正常手段删除

强制预装的手机软件,其强制性就在于消费者没有对它们删除、卸载的权限。这些软件被写入手机的固件,常规卸载软件的方法甚至恢复出厂设置都无法删除它们,除非对手机进行破解、刷机。

市场上,许多手机生产厂商用的都是安卓系统,包括小米、酷派、华为、三星等,如此一来,安卓系统的开源性就导致很多的手机厂商可以任意修改个别设置和自由安装,这就很容易导致安卓手机的安全性得不到保证,危险也较多。目前市场上出现的APP安全漏洞主要是安卓系统上的,尤其是用户隐私泄露一直比较严重。据 2016年某检测机构统计,在安卓系统中,有近 55.3%的移动应用具备读取位置信息的权限,对于用户隐私最重要的三项信息:通讯录、通话记录和短信记录,其所占比例分别为22.8%、16.4%和13.9%。目前,存在隐私获取权限的应用在总应用数量中的比例如下图1所示。

图1 存在隐私获取权限的应用在总应用数量中的比例%Fig.1 The percentage of the total number of applications in which privacy access permissions are applied

安卓系统下的安全漏洞现状更是不容乐观,2016年,在对安卓系统下的APP软件检测时发现,近97%的APP软件都存在安全漏洞问题,有的APP软件上的漏洞竟高达30多个。具体数据可见下图2、图3和图4所示。

图2 不同类别手机APP软件动态扫描漏洞总数Fig.2 The total number of dynamic scanning vulnerabilities in different types of mobile APP software

另外,工信部于今年二季度发布的《工业和信息化部关于电信服务质量的通告(2017年第3号)》显示,在对55家手机应用商店的应用软件进行技术检测时,发现违规软件42款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他应用软件等,可见,虽然很多政府部门严加监管,但手机安全隐患并没有彻底消除。

图3 安卓系统手机APP软件漏洞类别分布Fig.3 The class distribution of android mobile phone APP software vulnerabilities

图4 安卓系统手机APP软件漏洞风险级别分布Fig.4 The risk level distribution of android mobile phone APP software vulnerabilities

2 手机APP安全隐患产生的原因分析

以目前占据市场份额最多的安卓手机为例,当下许多手机生产厂商用的都是安卓系统,包括小米、酷派、华为等,如此一来,安卓系统的开源性就导致很多的手机厂商可以任意修改个别设置并自由安装,这就很容易导致安卓手机的安全性得不到保证,危险也就增多。目前市场上出现的APP安全漏洞主要是安卓系统上的,它的安全性确实比苹果的 IOS系统稍逊。

手机安全问题的幕后,其实是一个复杂的灰色生产链,该生产链涉及到:APP开发商、移动平台广告商、手机生产商和某些不法创业团体等。而这一切的来源就是利益驱动,这也是安全隐患产生的最根本原因。

2.1 APP 开发商

很多的APP漏洞都是由一些简单的错误编码或参数使用不当所导致,开发者写错一个编码或是将参数稍微变动一下,APP上的关键数据就很有可能被暴露,从而带来安全问题。

有些开发商在后期检测中不会主动去关注这些看似较小的细节问题,没有对APP源码进行修改,安全问题就很容易出现。

对于许多的 APP开发者(尤其是那些违规的APP生产商)而言,他们的目的就是要创造出更多、更吸引人购买的APP应用程序。这种相对功利性、任务性的工作意识,让他们在开发时往往忽略掉很多安全性方面的考虑,在推广前更没有进行反复的功能测试和安全测试,就匆匆上市发布,这样开发出来的产品或许会卖个好价钱,但是对用户而言,

后期的损失可能比这个价钱要多得多。

如果是那些急功近利的违规APP生产商,利益的驱动更会让他们铤而走险,在APP中直接嵌入某些病毒和恶意程序,如果这有这样的事情发生,后果更是不可想象。

2.2 移动平台广告商

截至 2017年 6月,我国网民规模已达到 7.51亿,半年共计新增网民1992万人。互联网普及率为54.3%,较2016年底提升1.1个百分点。手机网民规模达7.24亿,较2016年底增加2830万人。网民使用手机上网的比例由 2016年底的 95.1%提升至96.3%。中国已经进入移动互联网全民时代,因此,大数据的优势对于生产厂商而言就变得十分重要。

因此,许多广告商都在试图去搜集大数据,以期为自己所用。而移动应用平台的快速发展更是给这些商家提供了更加便利的途径。

况且,如此庞大的市场前景,必然也会出现鱼龙混杂的情况。因为无论是手机还是手机号码,都是相对稳定的因素。通过APP预先设定的程序收集设备识别信息、地理位置等必要的信息可以帮着广告商适时而又准确的将广告投放到对应的用户当中(广告商利用APP的“针对性”将广告嵌在应用程序中,待用户启动APP时就自动弹出或显示),而APP的开发者也会因此而获得相应的利益分红。既节省了广告商在发布广告时所产生的中间费用又能够有效的控制广告目标用户的准确性,保证广告的有效性,只赚不赔,自然蜂拥而至。

2.3 不法手机生产商和创业团体

手机作为APP的移动终端设备,它们的存在就是给这些品种繁多的APP们使用。一般情况下,手机中并不会搭配APP进行出售,除非是客户提出要求。但是一些违规的手机生产厂商或创业团体甚至为达到目的向用户出售已经安装过某些特定用途APP的手机,将恶意软件或广告嵌在手机中,以此来达到恶意扣费或违法强制宣传推广等目的。例如,一些走私版 HTC智能手机在出厂时就曾内置过MobileReader看书软件,这些软件会自动收费,稍不注意,就会向用户收取高额增值税。还有某些品牌的智能手机,其正品行货手机开机后已经内置了360手机安全卫士、youni短信等众多软件,虽然无害但是依旧会影响用户的正常生活。这些APP是通过一些专门的“一键刷机”软件刷入手机之中,并非品牌官方安装。

3 手机APP安全风险防范

3.1 政府部门加强市场规范与监管

2016年12月23日,工信部发布《移动智能终端应用软件预置和分发管理暂行规定》,该《规定》共14条,自2017年7月1日起实施。其中第七条明确规定:生产企业和互联网信息服务提供者应确保除基本功能软件外的移动智能终端应用软件可卸载。这意味着,只要不是基本功能软件,哪怕是手机厂商自家开发的应用,也应该支持卸载。第五条第二款还规定:未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。第八条第二款更是明确提出,应建立应用软件管理机制,对应用软件进行审核及安全、服务等相关检测,对审核和检测中发现的恶意应用软件等违法违规软件,不得向用户提供;对所提供应用软件进行跟踪监测,及时处理违法违规软件,建立完善用户举报投诉处置措施等。

各地方政府主管部门,例如下属第三方软件质检机构,完全可以以此为依据,开展智能手机APP软件风险监测工作,重点关注其安全性,及时发现潜在风险并通报,为社会创造一个较为安全的使用环境。

同时,建议质监部门尽快制定手机APP软件的各类详细标准,甚至是强制性标准,约束各大手机厂商,从前期就把好关口,做好手机软件的产品质量安全工作,杜绝偷跑流量、做好安全防护、防止隐私泄露等,规范预置软件的开发、测试等一系列行为,从根本上保障消费者的权益。

3.2 个人用户增强安全防范意识

针对手机预置软件,给消费者建议如下:

1、安装可靠的手机安全防护软件,定期升级,以提升信息安全性。

2、尽量选择从手机软件的官方网站、信誉良好的第三方应用商店等正规渠道下载APP,不要轻易点击APP中的弹出广告和各种不明链接,不扫描来源不明的二维码。

3、通过安全应用查杀手机木马、管理 APP权限,阻止APP收集隐私和通过各种途径上传。

4、养成及时关闭后台应用程序的习惯、关闭自动更新,使用手动更新、删除或减少耗电量高的预装软件。

[1] 工信部, 《工业和信息化部关于电信服务质量的通告(2017年第3号)》.

[2] 工信部, 《移动智能终端应用软件预置和分发管理暂行规定》.

[3] 荣鼎慧. 国内软件质量评价服务现状[J]. 软件, 2016,37(10): 51-54.

[4] 王象刚. 基于产品竞争优势的手机开发设计研究[J]. 软件,2014. 35(1): 150-151.

[5] 孟祥雨, 李学军. 智能手机军事化应用前景研究[J]. 软件,2014, 35(4): 78-79.

[6] 李艺琳. 基于Android 平台智能手机短信应用的研究与改善[J]. 软件, 2014, 35(9): 109-114.

[7] 李淑民. Android 手机隐私泄露研究[J]. 软件, 2015, 36(2):69-72.

[8] 司亚清, 刘蕾. 智能手机用户体验的影响因素研究[J]. 软件, 2015, 36(3): 111-115.

[9] 汪文彬, 杨少辉. 基于短信控制的Android手机安全系统的设计与实现[J]. 软件, 2015, 36(6): 21-25.

[10] 程卫军, 艾中良. 一种基于智能手机的可穿戴设备安全架构[J]. 软件, 2015, 36(11): 105-107.

Status and Analysis of Smartphone APP Software Quality

CHENG Xiu-cai, WANG Rui, Rong Ding-hui
(National Center of Supervision & Inspection on Software Products Quality (Jiangsu), Nanjing, 210012, China)

With the popularity of smart mobile phone, people in communication, social, entertainment and other activities in the increasingly dependent on mobile phone APP software (APP, English Application, which usually refers to the application software, iPhone, Android and other mobile phone applications). But at present, China's mobile phone on the APP management system is not mature, plus profit characteristics of illegal businesses, resulting in quality problems of App mobile phone, especially the frequency of security risks, for example, it is difficult to uninstall, sneak flow, push advertising, implant viruses, recorded in the information communication or collect location information, steal user privacy and the account funds and so on. With the continuous improvement of public quality and privacy awareness, the quality and security of mobile APP software has attracted more and more attention. This paper will discuss the quality and safety of mobile phone APP in our country from the angle of third party software inspection organization, and some relevant suggestions.

Smartphone APP; Quality; Security

TP311.56

A

10.3969/j.issn.1003-6970.2017.11.030

本文著录格式:程秀才,王蕊,荣鼎慧. 智能手机APP软件质量现状与分析[J]. 软件,2017,38(11):156-159

程秀才,男,(1979-),博士,副高,主要研究方向:软件及智能化检验检测公共技术服务平台的建设与运营;王蕊,女,(1983-),硕士,工程师,主要研究方向:软件及智能化检验检测技术;荣鼎慧,女,(1983-),硕士,工程师,主要研究方向:标准化。

猜你喜欢

安卓智能手机软件
禅宗软件
文物表情包
软件对对碰
假如我是一部智能手机
一种基于安卓系统的手机侧抓包分析方法
智能手机如何让我们变得低能
谈软件的破解与保护
安卓L未至安卓M来了!安卓首泄漏M系统