2022年3.15晚会曝光了一批号称提供“免费Wi-Fi连接”服务的恶意App,此类App的功能有破解Wi-Fi密码、查看Wi-Fi密码、一键连接Wi-Fi等。节目曝光的几款App存在功能虚假连不上,诱骗下载、弹窗广告骚扰用户、后台大量搜集用户信息、频繁自启动等问题,为用户个人信息安全和手机使用安全带来严重隐患。

究其原因,就是这一类App利用了用户想要“免费用网、蹭网”的心态,通过各种广告、关联下载等方式让用户将其安装在手机上。

虚假Wi-Fi类App的主要危害

危害1:功能虚假,套路用户下载恶意App

如晚会曝光,测试人员从应用市场下载并安装了“WIFI破解精灵”App,打开后显示有很多WIFI资源,但点击没有一个能连上。另外当用户点击广告弹窗里的“确认”和“打开”字样,两个类似的App会被自动下载到手机里,一旦用户安装,则相当于手机里又多出来了一个功能虚假、广告关不掉、窃取信息的恶意App。

危害2:后台高频次搜集信息

晚会的演示环节中,一款名为“雷达WiFi”的App在后台仍然大量收集用户信息,一天之内收集的位置信息竟然高达到6万多次。也就是说,App在24小时内不断地在定位,理论上可以把用户生活的行踪轨迹全给串起来,从而掌握用户的生活规律(如通勤),消费习惯(如商场)、健康状况(如医院)、职业情况(如办公场所)、家庭住址等敏感信息。此类信息一旦被恶意人员利用,用户则可能面临被过度骚扰、精准诈骗等,权益受到严重侵害。

危害3:反复自启动消耗系统资源

如晚会曝光,手机不时自动弹出各种广告,不看够5秒时长,还关不上。测试人员通过调出管理页面,发现一款名为“越豹WIFI助手”的App,反复高频次自动启动。也就是说,即使用户从后台关掉这款App,也可以通过“自启动”机制唤醒,在用户不知情的情况下收集信息,频繁弹出广告,消耗系统资源,影响用户正常使用等。

几点安全建议

这一类“虚假Wi-Fi”App数量繁多,很多依赖的是通过广告中的链接进行推广,而且互相推送对方广告,关联下载,形成了产业链。用户下载使用后,除了看了一堆广告浪费大量的时间,个人信息被不断收走,手机使用卡顿外,最后可能一无所获。

对于曝光的问题,以下建议供参考:

1、举报并卸载有着类似行为,如虚假功能、广告关不掉的App

2、选择正规应用商店下载App,不要轻易从广告弹窗中获取第三方App

3、发现手机卡顿,可通过设置中查看有着高频调取权限和耗费流量过大的App,如非常用,可卸载

4、通过手机系统里的设置管理中,禁止问题App的自启动行为

5、加大个人信息保护知识科普,提高网民警惕意识

6、涉及在广告中分发App的情形,分发平台应做好把关工作,根据投诉举报情况做好监督工作

(本文作者:中国电子技术标准化研究院网安中心 刘昊鑫 何延哲)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。