文|方圆记者 刘亚 通讯员 王荣华
最近,家住西安的张然用手机下载了一款名叫《神庙逃亡2》的游戏。结果在使用过程中,虽然并未弹出任何对话框提示付费信息,却先后收到中国电信3条短信,每条短信内容都是提示已经完成6元扣费,合计被扣除手机话费18元。张然很吃惊,因为即便这款游戏是收费项目,也不应该连一个提示也没有,就算在网上买东西还需要输入密码。但是这个游戏却什么也没有直接扣费,显然属于“流氓软件”恶意吸费。
实际上,张然的遭遇并非偶然。在北京工作的李云曾购买过一款国产智能手机,在使用一段时间后发现手机可用内存越来越小,就想删除一些东西,却发现手机屏上的预装软件都删除不了。于是,李云更换了另一款手机,旧手机被闲置下来。仅几天后,李云查看旧手机,却发现手机在未使用的情况下,自动流失了一百多兆流量,她这才明白,这些预装软件都会自动更新消耗流量。
恶意吸费、消耗流量这些问题与“流氓软件”不无关系。根据2006年中国互联网协会正式公布的官方定义,流氓软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。其重要特征就是强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载和恶意捆绑。
根据今年7月28日,工信部发布的第二季度电信服务质量通告显示,在对40余家手机应用商店的应用软件进行技术检测后,发现问题应用软件80款。这些不良手机应用软件中,游戏和视频播放软件问题最多,主要涉及违规收集用户信息、恶意吸费、软件自动发送短信、强行捆绑推广其他无关应用软件等问题。
北京师范大学法学院教授刘德良告诉《方圆》记者,手机流氓软件泛滥不仅仅是软件开发者、手机厂商和运营商被流氓软件背后的暴利所吸引而为所欲为,更是由于其违法成本、承担法律风险较低,才让这种现象愈发猖獗。
近日,北京市第三中级法院审结了一起通过ROM(指手机定制系统)实现软件静默安装,从而获取用户信息的案件。被告人杨某及另外九名公司员工因非法获取计算机信息系统数据、非法控制计算机信息系统罪获刑。这是手机流氓软件问题凸显以来,少见的追究当事人刑事责任的案件。
谁在制造流氓软件
2010年7月,杨明德、陈志辉、罗真运、张高新四人一同在深圳成立了深圳市安丰易联信息技术有限公司,由杨明德担任公司老板。2011年5月,杨明德来到北京,成立了北京市麦德联合信息技术有限公司,两家公司的经营范围均包括计算机软件开发、网络技术开发、手机软硬件开发,其中麦徳公司主营手机应用下载商店,包括安丰下载、安丰市场和安丰网。
由于安丰公司的业务不景气,杨明德等四人经过商议,决定由麦德公司的技术部门马德清、黄光量、吴德豪、林志伟四人研发一款可以植入手机的软件,他们在经过五个版本的逐渐优化后,最终制造出了“功能强大”的“静默插件”。该插件能在用户不知情的情况下,获取手机位置、网络状态、更改网络状态、删除手机内安装的应用程序、强制关闭正在运行的应用程序、安装其他应用程序、通过手机访问互联网、获取当前用户手机内运行的应用列表、唤醒用户手机、读写用户存储卡,并且还可以避开360软件检测。
静默插件制造成功后,有了技术凭借的麦徳公司开始了“敛财之路”,首先由罗蒙蒙和张高新在深圳获取水货手机,主要针对三星等安卓系统手机和小部分苹果手机,通过刷机将静默插件压缩至ROM包内,再将该ROM包预置在水货手机内部,再经由手机批发商销售给手机用户。
随后,由公司商务运营部门的祝春娟、杜雪梅通过后台服务端操控插件的方式,一方面向手机推送其他软件、广告等商业性电子信息获利,另一方面获取用户位置,获取用户短信、通讯录等个人信息。截至案发,被植入静默插件的用户累计40多万,而公司通过在用户手机中植入插件、静默推送广告获利约20余万元,还获取了用户手机内通讯录1942万余条。
“麦徳公司案应当是北京地区的首例流氓软件定罪案件。”办理该案的北京市检察院第三分院检察官李健彬告诉记者,研发流氓软件由于技术难度低,正在许多成为妄图“赚快钱”的不法开发商的获利途径,为了将利益最大化,他们盯上了手机软件预装的“蛋糕”。
每卖出一台装有流氓软件的手机可获利1元
手机软件预装是目前市场上普遍的现象,西单的一家大型手机卖场的销售人员告诉《方圆》记者,许多正规软件开发商为了获得更多的用户量与更广泛的市场空间,经常会与手机生产商或者通信运营商进行商业合作,在支付一定费用后,让自己的软件产品在未销售的手机上进行预装。
但如今,这种预装软件的现象并不仅仅发生在正常的商业合作之中,李健彬表示,不能排除有些手机厂商的内部人员在利益驱使下,在手机中预装流氓软件。比如,作为一家手机厂商职员的周永华就是其中一员。周永华几年前应聘到杭州一家科技公司,他的工作是将公司数据中心的软件包等拷贝到生产流水线服务器上,以及生产流水线的设备维护。
2013年9月的一天,同事徐强找到周永华,让他将一个带有流氓程序的软件包放进公司的服务器,并替换掉原有的正常软件包。这样,流氓软件就会被烧录到手机主板上。徐强告诉周永华:“每卖1台这种手机,就给1元钱好处费。”周永华没有经住诱惑,便按徐强所说的做了。
这款手机上市后,公司不断接到该手机无法进行正常在线升级、经常黑屏死机、恶意吸费的投诉。经调查后,周永华的行为很快曝光。由于所有植入流氓软件的手机必须召回处理,为此公司遭受超过300万的损失,而周永华本人,也因破坏计算机信息系统罪被法院判处有期徒刑三年。
除了手机厂商内部人员为流氓软件提供了生存的温床,记者发现,低端机、山寨机也成了流氓软件的“重灾区”。一位花费300元购买红米手机的用户告诉记者,自己的手机买来的时候,就被安装了多个游戏、视频APP,而且这些软件均无法完成卸载操作。不过这位用户也表示,这部手机除了使用时有些卡顿,时不时弹出小广告和网页之外,并没有出现过自动跑流量或者无端被扣费的情形。
“可以说,大部分低价和低端手机都可能安装了这种程序。” 李健彬对记者表示,就他所了解到,只要后台检测到手机安装了这种流氓软件,比如一款游戏,用户只要进行注册,即使并没有消费,该软件作者或相关人员就能获取3块钱利润。以后台一天向手机推送几万程序计算,其中的获利可想而知。
有业内人士告诉记者,虽然预装是流氓软件传播的主要途径之一,但也不能忽略捆绑安装的危害。在现实中,APP产品的开发者经常会收到一些所谓“中间人”的邀请,他们通常会对开发者许以利益,让开发者在自己的产品中捆绑其他的软件。据互联网安全机构上半年的统计,一款作为“流氓软件”的截图软件,被捆绑了五款软件,受影响的用户数量116万,捆绑的五款软件半年获利或达上百万元。
流氓软件的危害
“流氓软件最直接的危害就是吸费,它们既有可能通过短信激活收费,也有可能偷跑用户流量,甚至还有可能不对用户进行任何提示,直接进行扣费。”李健彬认为。
在调查过程中,记者采访了多位遭遇流氓软件的用户,发现被偷跑流量者占了多数。魏于飞是个手游迷,他告诉记者,自己有一次临睡前下载了几款小游戏,只有差不多100兆的大小。结果第二天醒来,发现手机接到了运营商发来的手机流量提示短信,自己正常时段1G流量,闲时1G流量均消耗殆尽。这时他才意识到,自己的手机可能中招了,但无奈的是,他不知道自己下载的哪款手游是“罪魁祸首”,他只能把新近下的几个软件全部卸载。“还好发现得早,就损失了点流量,要是流量一直走,谁知道要交多少冤枉话费。”魏于飞说。
如果说偷跑流量还能让用户有所防备,那么无提示私自扣款则是让人防不胜防,这类型的流氓软件往往在安装过程中,不给予用户任何提示类的信息,直接扣除用户的话费。专家表示,许多用户在遭遇直接扣费后,都不知道去哪里维权,这使得此类软件的开发者违法成本极低,获利速度快,尽管只是“一锤子买卖”,但我国手机软件市场庞大,下载软件用户基数大,只要有少部分人进行下载,开发者的利益还是相当客观的。
当然,流氓软件除了对用户造成直接的经济损失,还存在间接的安全隐患。“一部分流氓软件会私自上传用户隐私资料,可能包括用户电话本上所有人的信息资料,包括了用户手机的地理位置、使用习惯,甚至是照片和其他文档数据,而这种行为由于不会对用户的财产造成直接损失,所以很难第一时间被察觉到。”李健彬告诉记者,在麦徳公司一案中,他们的后台服务器就通过流氓软件获得了用户一千多万条的通讯录以及上万条地理位置信息、手机号等个人隐私。
实际上,许多用户对于隐私的泄露都抱着无奈的态度,用户张萌告诉记者,她经常收到诸如“尊敬的张女士,我公司最近有一款产品……”这样的短信,她也想过可能是手机软件泄露了自己的号码,但她告诉记者:“一来我也不能确定是哪款手机软件有问题,二来现在泄密的途径也不只是手机软件,接到垃圾短信,不理它就好了。”
面临的法律风险较低
流氓软件有如此多的危害和潜在威胁,为何现在这种软件还是屡见不鲜、无孔不入呢?
“这是因为流氓软件具有较强的隐蔽性,用户安装此类流氓软件后你会很难察觉,下载的流氓软件可能在桌面上也不会有任何体现,用户也很难判断这软件是否是系统自带,即使有些流氓软件表面上已经被用户卸载,但实际上,这些流氓软件并没有被铲除干净。”在国内某知名手机公司工作的熊力告诉记者。
熊力认为,问题在于尽管流氓软件对用户的潜在威胁很大,多数用户却并没有引起重视,也就是说维权意识偏低。比如在遭遇安装的游戏流氓软件恶意扣费数十元后,用户张萌只是感叹“居然装的是个骗钱软件,还是换个其他游戏打吧”,随之将该软件删除,也没有考虑过投诉。据李健彬介绍,麦徳公司一案尽管受害手机用户众多,但案发并不是通过用户举报,而是我国网监部门在例行检查时发现端倪,才顺藤摸瓜挖出这个大案的。
“造成流氓软件屡禁不止现象的重要原因,还应当是其面临的法律风险较低。”李健彬告诉记者,就麦徳公司一案而言,仅涉及的罪名认定就经历过几个难点。一开始公安机关是以涉嫌非法获取公民个人信息罪将杨明德等人逮捕的,但在侦查中发现流氓软件实际上涉及的范围更广,所以将罪名变更为非法获取计算机信息系统数据、非法控制计算机系统罪。罪名的变化也代表着刑罚轻重的变化,前者最高不超过三年有期徒刑,后者显然要更重,但最终主犯杨明德仅判了有期徒刑三年零六个月。并且,在认定被侵害的手机数量时,还有许多因为存疑而无法认定,流氓软件实际上造成的危害要比案件里体现得更大。
在刘德良看来,对于普通用户而言,如果流氓软件的行为触犯相关法律时,受害用户才能利用法律手段来维权。例如某些流氓软件会非法收集用户隐私信息,这时可以侵犯隐私权手段来维权。如果流氓软件导致了用户实质性损失,则可以要求赔偿。
“但如果想起诉流氓软件的制造者或是运营商,在民事诉讼中就必须有证据来证明自己的权益受到了侵害,财产遭受了损失。虽然可以通过拍照、公证、鉴定或者其他方式进行收集证据并进行保全,以证明自己确实受到了侵害,但侵害的程度、损失的多少却无法界定、所以用户很难提起诉求,维权成本也较高。”刘德良告诉记者。
亟待法律严格规范
“流氓软件违背用户意愿、强行占用用户的存储空间,实际上是一种非法侵入的行为,是对用户享有的存储空间这种财产权益的一种侵犯。”刘德良说,但非法入侵只是手段而非目的,流氓软件真正要做的,是耗费流量、商业推广、盗窃隐私、盗窃财产。比如强行让你接受、阅读广告,这就侵犯了用户自主获取信息的权利。再比如,根据窃取手机信息的性质不同,则涉及侵犯隐私权或财产性质上的盗窃。
在刘德良看来,总体而言,流氓软件的行为涉嫌侵犯用户知情权、网络空间所有权、债券、隐私权、信息财产权益等多项法律规定权益,牵涉消费者权益保护法、物权法、不正当竞争法等多项民法,性质比较分散、复杂,目前在法律条文中并没有对种种侵权行为的具体界定,所以在侵权责任法等领域需要完善,尤其是存储空间使用权。
中国互联网协会法律顾问赵占领也表示,目前国内尚没有直接针对流氓软件的法律法规,2006年底工信部牵头制定和颁布的《抵制恶意软件自律公约》,性质是行业规范,并不具有法律约束力。他建议,尽快制定相关法律,明确禁止流氓软件,规范软件安装、推广、下载行为,并规定相应法律责任,同时加大行政监管力度,甚至可以采取公布流氓软件黑名单方式,有效地制止流氓软件盛行的局面。
而在熊力看来,从市场的角度来说,目前流氓软件以相当规模存在的现状,证明欺诈和不正当竞争仍然是互联网产业面临的较大挑战。为了行业的健康发展,一方面行业本身的自律程度有待提高,另一方面市场的监管也要跟上,有关部门应该建立常态化的监管机制,以及便捷的投诉举报途径,让遭受损失用户的维权途径变得通畅。
“流氓软件防不胜防,但必要的防范措施还是要了解,毕竟谁都不想凭空遭到损失。”李健彬同时表示,一方面,我们一定要选择正规的手机软件平台,因为这些平台会对手机软件进行一些前置审核的程序,减少了流氓软件的生存空间;另一方面,用户在安装来路不明软件的时候,一定要注意软件所需要的权限,如果有可能,最好还是在断网的情况下进行安装,以免造成不必要的损失。另外,可以安装一些杀毒软件,同时也可借助手机运营商去解决问题。
方圆微信号:fangyuanmagazine长按识别二维码