您的位置: 法制网首页>> 地方新闻>>法治上海>>法制日报记者看上海>> 返回首页

上海徐汇网警发现至少10%手机APP存在安全问题
黑客威胁“不给钱就把漏洞卖别人”

发布时间:2015-08-13 14:39:59我要纠错【字体: 默认 】【打印【关闭】

  本报记者 孟伟阳  本报通讯员 徐恭轩

  记录着大量个人隐私和信息的APP软件,已与人们的生活须臾不可分。上海市公安局徐汇分局网安支队近期接报的4起涉及手机APP案件,均为黑客利用网上已有各类测试软件攻开手机APP的“后门”。

  徐汇网安民警选取市场上有一定影响力的手机软件APP,运用网上已有的软件测试发现,至少10%的手机软件APP存在不同程度的安全问题。

  后台篡改支付代码

  今年5月,香港某知名电视台的电视剧大陆版权发布方发现,晚上八点才同步播出的电视剧集,下午已经在网上公开。警方调查结果出人意料,犯罪嫌疑人不是掌握独家资源的“内鬼”,而是两名热衷网上追剧的“发烧友”。

  这两名嫌疑人发现手机播放存在漏洞,通过黑客软件分析出视频链接格式,而后改变链接内容,生成20个链接离线下载,成功下载部分未播放的新剧集。

  从去年年底开始,徐汇警方陆续接到4起手机APP相关案件。今年1月,上海市一家彩票代理网站发现后台被人恶意转账140余万元。徐汇公安分局网安支队民警鲍珍荣和同事们调查发现,问题出在这家公司的网络支付移动端口:黑客在彩票代理网站注册账户后充值1元,利用黑客手段将账户金额篡改为10万元,除少部分购买彩票外,大部分套现。

  鲍珍荣说,被攻击的网站后台支付代码是明码传输,没有加密,黑客正是利用了这一漏洞。经查,彩票网站的APP后台数据一共被篡改7次,第一笔5000元,最后一笔高达88万元,总计140余万元。一周之后彩票网站才察觉异常。

  这伙不法分子采用类似办法还侵入了一家知名电影票代理网站。他们通过手机APP买下价格为数十元的电影票后改为0.01元支付,再加价卖出,先后骗取价值160余万元的电影票。

  鲍珍荣说,手机APP安全漏洞会造成移动支付损失,信息资料、个人隐私外泄,甚至导致软件崩溃,影响正常使用。

  企业安全意识不强

  徐汇公安分局网安支队发现,相比防范措施相对完善的传统电脑网页,手机APP这一新兴互联网方式,安全漏洞较为明显。利用手机APP违法犯罪趋势明显,案发后一些公司仍未发现已受到不法侵害。

  业内人士分析认为,造成这种情况,一方面是系统原因,如安卓系统的源代码公开,为一些不法分子分析源代码带来便利条件;另一方面则是开发者原因,部分代码编写不规范,有些语法本身就存在问题,让不法分子有可乘之机;再者,安卓系统的应用商店为数众多,审核上架APP的标准不一,而分发营收又是他们的收入来源之一。

  与部分手机APP开发运行公司接触之后,鲍珍荣发现,企业安全意识不强是主要原因。

  办理一起手机游戏敲诈案时,鲍珍荣特别询问被害公司是否进行过内部安全测试,对方称:“为了抢占市场,没有考虑安全问题,就着急推出了。”尽管目前市场上已有专门的网络安全性能测试公司,但总体数量不多。

  一些法律界人士认为,手机APP属于企业的“产品”,企业是产品安全性能的第一责任人,然后是监管部门,案发后再由公安机关介入打击。

  作为处于“最后一环”上的办案民警,鲍珍荣认为,此类犯罪,前端打击一定比后端打击更好。手机APP犯罪大多情节轻微,但是会对互联网造成巨大损失。随着互联网技术的发展,此类犯罪的破案难度和成本将越来越高。互联网犯罪让跨境犯罪成本更低,更容易隐藏真实方位。

  测试为名敛财是真

  业内人士给予那些可以攻击手机APP的软件一个中性名称——测试软件。测试软件由一些专业公司或技术人员开发,公开发布到网上免费下载,甚至还附有详细的使用教程。随着使用方式的变化,这些软件针对的目标瞄向更新鲜、更具挑战性的手机APP。

  一些法律界人士认为,难以对这些处于灰色地带的新兴软件定性,软件开发的初衷是供手机软件APP公司进行低廉安全测试的工具,但同样可以为不法分子利用,“就像一把刀,在厨师手中是切菜用具,但也可能成为凶器”。

  去年年底,徐汇公安分局接到一家手机游戏公司报案,游戏刚上线就有人联络客服人员,声称已经掌握该款手机游戏的多个程序漏洞,还主动提供两个漏洞供企业“验证”。

  一开始,联系人只希望公司给一些“测试费”,后来索要金额越来越高,从5000元涨到数万元,甚至表示“不给钱就把漏洞卖给别人”。

  今年1月,徐汇警方抓获涉案的8名嫌疑人。其中一名“主力成员”李某平时在一家修车店当小工,闲暇时喜欢玩手机游戏。一开始他寻找游戏漏洞只为“玩得爽”,后来开始从网上找资料研究这些APP。在“圈子”里小有名气之后,李某与其他7名素未谋面的网友创建了一个QQ群交流经验,市面上出现一款手游便“测试一款”。据其自称,曾研究过上百款手游,“99%都能找到漏洞,就看你怎么利用了”。

  警方发现,大多数嫌疑人开始时几乎都是抱着“试试能否攻破”的态度,可当“改一下数字就能变成钱”的时候,他们动摇了。

  红与黑之间,只有一条并不明显的界限,目前只能依靠自律。据法律界人士介绍,司法实践中,认定是否违法主要看是否从中获利,是否对他人造成直接损失。

  本报上海8月10日电

法制日报梁笑
反恐演练
与80后对话 谈“从警”
南京警方《西游警记》3
河南统一销毁非法枪爆物
河南铁路法院检察院移交
小说凤鸣安吴首发
陕西省司法厅送法进企业
陕西司法厅送法进企业2
 
· @平安芜湖:世界杯超链接:还有一场硬仗要打!
· @琅琊公安:安全先行 快乐暑假
· 滁州:非机动车不守“规矩”将受重罚
· 淮北市加大信用惩戒力度破解执行难题
· 马鞍山市花山检察公益诉讼举报平台微信上线
· 灵璧检察院开展未成年人犯罪异地社会调查
· 淮南寿县:法律援助牵手扶贫攻坚
· @安徽高院:【宜秀法院】兄弟法院协助执行 异地扣车终获成功
 
附件点击下载:TitlePh
附件说明:EnpDescPh
附件所属稿件标题:EnpOwnerArtTitlePh
附件所属稿件链接:EnpOwnerArtUrlPh
上海:链家不规范经营 暂停涉事门店网签资格
“雾霾津贴”调查:超九成职工支持发放
· 今年江苏将有70万亩耕地轮作休耕
· 租房市场同样不容炒
· 7月份铁路再调图 部分高铁票最低6.5折
· 黄红元出任上交所新一任理事长
· 廖英强操纵股票 被证监会罚没1.29亿
· 今年首场海洋增殖放流举行
过山车悬停半空 园方:传感器敏感所致
上海欢乐谷过山车悬停半空 园方:传感器敏感所致
· 公务员"沪考"报名截止 12月笔试
· 上海大检察官走访律协征求意见
· 上海法院举办入额法官首次专题培训
· 上海举办涉酒驾驶法律问题研讨会
上海警方破获藏品拍卖诈骗案
· 苹果设备诈骗案涉及全国20余省份
· 勾结导游拉游客购假洋牌 上海多家店主获刑
· 上海市政府一年当200多回被告 败诉率为零
· 沪警方破获一非法网络销售烟花爆竹案
· 共享单车需建立押金独立存管制度
· 拥抱信用可当钱花的时代
· 文化舞台不能口无遮拦
· 规范户外探险需明确驴友责任
· 公信和真相是遏止谣言的利器
· 监管应与禁酒令同步升级