90后黑客：99%手游有漏洞 改一下數(shù)字就能變成錢

“又是一個有問題的APP。”徐匯公安分局網(wǎng)安支隊的鮑警官，記錄下這款手機軟件的名稱及其被“黑”的癥狀。

這是鮑警官和同事們做的一項實驗：他們選取有一定影響力的手機軟件APP，運用網(wǎng)上已有的各類軟件進行測試，結(jié)果發(fā)現(xiàn)至少10%的手機軟件存在安全問題。

從去年年底開始，徐匯網(wǎng)安支隊陸續(xù)接報多起涉及手機軟件的案件。偵查員發(fā)現(xiàn)，這些案件非常相似，黑客都是利用網(wǎng)上各類攻擊軟件撬開手機軟件APP的“后門”。

粉絲攻破鏈接提前發(fā)布港劇

今年5月，香港某知名電視臺的電視劇內(nèi)地版權(quán)發(fā)布方發(fā)現(xiàn)，明明晚上8時才可以在電腦、手機上播出的電視劇集，居然在下午就已經(jīng)提前在網(wǎng)上公開了。按照傳統(tǒng)的辦案思路，嫌疑人很可能是掌握獨家資源的內(nèi)鬼。但最終的調(diào)查結(jié)果令人吃驚，嫌疑人竟然是兩名熱衷網(wǎng)上追劇的“發(fā)燒友”。

一般來說，電視臺白天會將當(dāng)天電視劇內(nèi)容上傳至服務(wù)器，內(nèi)地公司會提前做好鏈接，待晚上電視臺播出時同步推出視頻。這兩名嫌疑人發(fā)現(xiàn)手機播放存在漏洞，通過黑客軟件分析出視頻鏈接格式。通過規(guī)律總結(jié)，生成了20個離線下載，居然成功下載了部分未播放的新劇集。

彩票代理網(wǎng)站被黑客惡意轉(zhuǎn)賬

今年1月，上海一家彩票代理網(wǎng)站發(fā)現(xiàn)后臺被人惡意轉(zhuǎn)賬140萬元。鮑警官和同事調(diào)查發(fā)現(xiàn)，問題出在這家公司的網(wǎng)絡(luò)支付移動端口。黑客在彩票代理網(wǎng)站注冊賬戶后充值1元，然后利用技術(shù)手段將賬戶金額篡改為10萬元。鮑警官介紹，當(dāng)時這伙人在彩票網(wǎng)站的APP上一共篡改了7次后臺數(shù)據(jù)，第一筆5000元，最后一筆高達88萬元。一周后，彩票網(wǎng)站方才察覺異常。

在對犯罪嫌疑人的調(diào)查中，徐匯公安發(fā)現(xiàn)，受害者不止這一家彩票網(wǎng)站。一家知名電影票代理網(wǎng)站，也被這伙不法分子采取類似的辦法，先后騙得價值160余萬元的電影票。警方還發(fā)現(xiàn)，部分掌握全國院線資源的手機軟件同樣存在風(fēng)險，因而及時將情況反饋給相關(guān)公司。

APP安全性能第一責(zé)任人是企業(yè)

在與部分手機軟件開發(fā)運行公司接觸后，鮑警官認為，很關(guān)鍵的一點在于企業(yè)安全意識不強。在一起手機游戲敲詐案中，鮑警官和同事特別詢問公司是否進行過內(nèi)部安全測試。對方回應(yīng)：“為了搶占市場，只考慮運營問題，沒考慮安全問題。”

曾參與數(shù)款A(yù)PP開發(fā)、正在自主創(chuàng)業(yè)的劉納告訴記者，在APP設(shè)計之初，大家主要考慮的是用戶需求和體驗，以及人氣累積后可能爭取到的風(fēng)險投資。至于APP的安全性能，很少會專門對此予以分析并提出對策。不過，劉納認為，如果靜下心來做一款經(jīng)得起時間檢驗的產(chǎn)品，其實應(yīng)當(dāng)在每個環(huán)節(jié)上精益求精。

在法律界人士看來，APP安全性能的第一責(zé)任人是企業(yè)，然后是監(jiān)管部門。作為“最后把門者”，鮑警官認為：“前端做一定比后端做更好。”他說，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，此類犯罪的破案難度和成本將越來越高。

政府能否提供基礎(chǔ)安全檢測服務(wù)

手機軟件的安全隱患，究竟來自何處?業(yè)內(nèi)人士分析，一方面有系統(tǒng)原因，如安卓系統(tǒng)的源代碼是公開的;另一方面是開發(fā)者的原因，如部分代碼編寫不規(guī)范等，讓不法分子有可乘之機。此外，安卓系統(tǒng)的應(yīng)用商店數(shù)以百計，這些應(yīng)用商店對上架APP的審核標(biāo)準(zhǔn)不一，導(dǎo)致手機軟件質(zhì)量良莠不齊。

有人建議，應(yīng)該在全國層面為手機軟件制訂統(tǒng)一審核標(biāo)準(zhǔn)，將安全性能作為其中一項重要指標(biāo)。還有業(yè)內(nèi)人士建議，政府部門可以通過購買服務(wù)的方式，為相關(guān)企業(yè)提供APP基礎(chǔ)安全性能檢測。

不過，也有開發(fā)者對此并不認同。從事APP開發(fā)的楊青認為：“手機軟件正處于‘野蠻生長’階段，用‘標(biāo)準(zhǔn)’來限制不利于發(fā)展，不如讓市場發(fā)揮淘汰作用。”在知名網(wǎng)絡(luò)公司工作的技術(shù)人員周晴則認為，手機軟件技術(shù)一日千里，用統(tǒng)一標(biāo)準(zhǔn)來保護安全并不現(xiàn)實。

記者手記

“黑客”“紅客”的界限

在網(wǎng)絡(luò)上，類似的黑客攻擊軟件很容易找到，業(yè)內(nèi)人士稱其為測試軟件。它由一些專業(yè)公司或技術(shù)人員開發(fā)，公開發(fā)布到網(wǎng)上供人免費下載，有的還附有使用教程。在法律界人士看來，這種新興軟件處于灰色地帶，難以對其準(zhǔn)確定性。軟件開發(fā)的初衷是給手機軟件公司提供低廉的安全測試工具，但如果被不法分子利用也可能成為作案工具。

熱衷使用這些軟件的人，同樣有著微妙的身份。通常，那些能攻破知名網(wǎng)站的“大神”，會成為偶像。這些“大神”大多不屑于攻破APP后非法牟利，而更在乎自己在網(wǎng)上的聲譽。一些“大神”甚至?xí)诠テ浦鸄PP后，主動將軟件漏洞、解決方法告知相關(guān)企業(yè)。這樣的舉動，也為他們贏得了“紅客”之名。

在公安部門抓獲的嫌疑人中，幾乎人人都聲稱曾有一個“紅客”的夢想。去年年底，徐匯公安分局曾接到一家手機游戲公司報案，游戲剛上線就有人聯(lián)絡(luò)客服人員，聲稱已經(jīng)掌握這款手游的多個程序漏洞，并主動提供兩個漏洞供驗證。一開始，對方表示公司給些測試費就可以，但后來索價越來越高，從5000元到數(shù)萬元，甚至威脅“不給錢就把漏洞賣給別人”。

今年1月，徐匯警方抓獲涉案的8名嫌疑人。其中一名主要嫌疑人李某平時在一家修車店當(dāng)小工，閑暇時喜歡鉆研手機游戲，李某跟其余7個素未謀面的網(wǎng)友，創(chuàng)建QQ群交流經(jīng)驗，市面上出現(xiàn)一款手游便“測試一下”。李某稱，自己曾研究過上百款手游，“99%都找得到漏洞”。

這些嫌疑人，絕大多數(shù)是90后，都是憑興趣自學(xué)鉆研。一開始，他們都抱著“試試能否攻破”的態(tài)度。可當(dāng)“改下數(shù)字就能變成錢”的時候，他們動搖了！

紅與黑之間，界限似乎并不明顯。如果從一開始就有合法途徑把這些年輕人引上正道，他們或許就會成為“紅客”。