90后黑客：99%手游有漏洞 改一下數(shù)字就能變成錢

“又是一個(gè)有問(wèn)題的APP。”徐匯公安分局網(wǎng)安支隊(duì)的鮑警官，記錄下這款手機(jī)軟件的名稱及其被“黑”的癥狀。

這是鮑警官和同事們做的一項(xiàng)實(shí)驗(yàn)：他們選取有一定影響力的手機(jī)軟件APP，運(yùn)用網(wǎng)上已有的各類軟件進(jìn)行測(cè)試，結(jié)果發(fā)現(xiàn)至少10%的手機(jī)軟件存在安全問(wèn)題。

從去年年底開(kāi)始，徐匯網(wǎng)安支隊(duì)陸續(xù)接報(bào)多起涉及手機(jī)軟件的案件。偵查員發(fā)現(xiàn)，這些案件非常相似，黑客都是利用網(wǎng)上各類攻擊軟件撬開(kāi)手機(jī)軟件APP的“后門”。

粉絲攻破鏈接提前發(fā)布港劇

今年5月，香港某知名電視臺(tái)的電視劇內(nèi)地版權(quán)發(fā)布方發(fā)現(xiàn)，明明晚上8時(shí)才可以在電腦、手機(jī)上播出的電視劇集，居然在下午就已經(jīng)提前在網(wǎng)上公開(kāi)了。按照傳統(tǒng)的辦案思路，嫌疑人很可能是掌握獨(dú)家資源的內(nèi)鬼。但最終的調(diào)查結(jié)果令人吃驚，嫌疑人竟然是兩名熱衷網(wǎng)上追劇的“發(fā)燒友”。

一般來(lái)說(shuō)，電視臺(tái)白天會(huì)將當(dāng)天電視劇內(nèi)容上傳至服務(wù)器，內(nèi)地公司會(huì)提前做好鏈接，待晚上電視臺(tái)播出時(shí)同步推出視頻。這兩名嫌疑人發(fā)現(xiàn)手機(jī)播放存在漏洞，通過(guò)黑客軟件分析出視頻鏈接格式。通過(guò)規(guī)律總結(jié)，生成了20個(gè)離線下載，居然成功下載了部分未播放的新劇集。

彩票代理網(wǎng)站被黑客惡意轉(zhuǎn)賬

今年1月，上海一家彩票代理網(wǎng)站發(fā)現(xiàn)后臺(tái)被人惡意轉(zhuǎn)賬140萬(wàn)元。鮑警官和同事調(diào)查發(fā)現(xiàn)，問(wèn)題出在這家公司的網(wǎng)絡(luò)支付移動(dòng)端口。黑客在彩票代理網(wǎng)站注冊(cè)賬戶后充值1元，然后利用技術(shù)手段將賬戶金額篡改為10萬(wàn)元。鮑警官介紹，當(dāng)時(shí)這伙人在彩票網(wǎng)站的APP上一共篡改了7次后臺(tái)數(shù)據(jù)，第一筆5000元，最后一筆高達(dá)88萬(wàn)元。一周后，彩票網(wǎng)站方才察覺(jué)異常。

在對(duì)犯罪嫌疑人的調(diào)查中，徐匯公安發(fā)現(xiàn)，受害者不止這一家彩票網(wǎng)站。一家知名電影票代理網(wǎng)站，也被這伙不法分子采取類似的辦法，先后騙得價(jià)值160余萬(wàn)元的電影票。警方還發(fā)現(xiàn)，部分掌握全國(guó)院線資源的手機(jī)軟件同樣存在風(fēng)險(xiǎn)，因而及時(shí)將情況反饋給相關(guān)公司。

APP安全性能第一責(zé)任人是企業(yè)

在與部分手機(jī)軟件開(kāi)發(fā)運(yùn)行公司接觸后，鮑警官認(rèn)為，很關(guān)鍵的一點(diǎn)在于企業(yè)安全意識(shí)不強(qiáng)。在一起手機(jī)游戲敲詐案中，鮑警官和同事特別詢問(wèn)公司是否進(jìn)行過(guò)內(nèi)部安全測(cè)試。對(duì)方回應(yīng)：“為了搶占市場(chǎng)，只考慮運(yùn)營(yíng)問(wèn)題，沒(méi)考慮安全問(wèn)題。”

曾參與數(shù)款A(yù)PP開(kāi)發(fā)、正在自主創(chuàng)業(yè)的劉納告訴記者，在APP設(shè)計(jì)之初，大家主要考慮的是用戶需求和體驗(yàn)，以及人氣累積后可能爭(zhēng)取到的風(fēng)險(xiǎn)投資。至于APP的安全性能，很少會(huì)專門對(duì)此予以分析并提出對(duì)策。不過(guò)，劉納認(rèn)為，如果靜下心來(lái)做一款經(jīng)得起時(shí)間檢驗(yàn)的產(chǎn)品，其實(shí)應(yīng)當(dāng)在每個(gè)環(huán)節(jié)上精益求精。

在法律界人士看來(lái)，APP安全性能的第一責(zé)任人是企業(yè)，然后是監(jiān)管部門。作為“最后把門者”，鮑警官認(rèn)為：“前端做一定比后端做更好。”他說(shuō)，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，此類犯罪的破案難度和成本將越來(lái)越高。

政府能否提供基礎(chǔ)安全檢測(cè)服務(wù)

手機(jī)軟件的安全隱患，究竟來(lái)自何處?業(yè)內(nèi)人士分析，一方面有系統(tǒng)原因，如安卓系統(tǒng)的源代碼是公開(kāi)的;另一方面是開(kāi)發(fā)者的原因，如部分代碼編寫不規(guī)范等，讓不法分子有可乘之機(jī)。此外，安卓系統(tǒng)的應(yīng)用商店數(shù)以百計(jì)，這些應(yīng)用商店對(duì)上架APP的審核標(biāo)準(zhǔn)不一，導(dǎo)致手機(jī)軟件質(zhì)量良莠不齊。

有人建議，應(yīng)該在全國(guó)層面為手機(jī)軟件制訂統(tǒng)一審核標(biāo)準(zhǔn)，將安全性能作為其中一項(xiàng)重要指標(biāo)。還有業(yè)內(nèi)人士建議，政府部門可以通過(guò)購(gòu)買服務(wù)的方式，為相關(guān)企業(yè)提供APP基礎(chǔ)安全性能檢測(cè)。

不過(guò)，也有開(kāi)發(fā)者對(duì)此并不認(rèn)同。從事APP開(kāi)發(fā)的楊青認(rèn)為：“手機(jī)軟件正處于‘野蠻生長(zhǎng)’階段，用‘標(biāo)準(zhǔn)’來(lái)限制不利于發(fā)展，不如讓市場(chǎng)發(fā)揮淘汰作用。”在知名網(wǎng)絡(luò)公司工作的技術(shù)人員周晴則認(rèn)為，手機(jī)軟件技術(shù)一日千里，用統(tǒng)一標(biāo)準(zhǔn)來(lái)保護(hù)安全并不現(xiàn)實(shí)。

記者手記

“黑客”“紅客”的界限

在網(wǎng)絡(luò)上，類似的黑客攻擊軟件很容易找到，業(yè)內(nèi)人士稱其為測(cè)試軟件。它由一些專業(yè)公司或技術(shù)人員開(kāi)發(fā)，公開(kāi)發(fā)布到網(wǎng)上供人免費(fèi)下載，有的還附有使用教程。在法律界人士看來(lái)，這種新興軟件處于灰色地帶，難以對(duì)其準(zhǔn)確定性。軟件開(kāi)發(fā)的初衷是給手機(jī)軟件公司提供低廉的安全測(cè)試工具，但如果被不法分子利用也可能成為作案工具。

熱衷使用這些軟件的人，同樣有著微妙的身份。通常，那些能攻破知名網(wǎng)站的“大神”，會(huì)成為偶像。這些“大神”大多不屑于攻破APP后非法牟利，而更在乎自己在網(wǎng)上的聲譽(yù)。一些“大神”甚至?xí)诠テ浦鸄PP后，主動(dòng)將軟件漏洞、解決方法告知相關(guān)企業(yè)。這樣的舉動(dòng)，也為他們贏得了“紅客”之名。

在公安部門抓獲的嫌疑人中，幾乎人人都聲稱曾有一個(gè)“紅客”的夢(mèng)想。去年年底，徐匯公安分局曾接到一家手機(jī)游戲公司報(bào)案，游戲剛上線就有人聯(lián)絡(luò)客服人員，聲稱已經(jīng)掌握這款手游的多個(gè)程序漏洞，并主動(dòng)提供兩個(gè)漏洞供驗(yàn)證。一開(kāi)始，對(duì)方表示公司給些測(cè)試費(fèi)就可以，但后來(lái)索價(jià)越來(lái)越高，從5000元到數(shù)萬(wàn)元，甚至威脅“不給錢就把漏洞賣給別人”。

今年1月，徐匯警方抓獲涉案的8名嫌疑人。其中一名主要嫌疑人李某平時(shí)在一家修車店當(dāng)小工，閑暇時(shí)喜歡鉆研手機(jī)游戲，李某跟其余7個(gè)素未謀面的網(wǎng)友，創(chuàng)建QQ群交流經(jīng)驗(yàn)，市面上出現(xiàn)一款手游便“測(cè)試一下”。李某稱，自己曾研究過(guò)上百款手游，“99%都找得到漏洞”。

這些嫌疑人，絕大多數(shù)是90后，都是憑興趣自學(xué)鉆研。一開(kāi)始，他們都抱著“試試能否攻破”的態(tài)度?？僧?dāng)“改下數(shù)字就能變成錢”的時(shí)候，他們動(dòng)搖了！

紅與黑之間，界限似乎并不明顯。如果從一開(kāi)始就有合法途徑把這些年輕人引上正道，他們或許就會(huì)成為“紅客”。