第一次開發app就上手～銬？研究生因兩年前已下架的app遭警方搜索

一名研究生Lin Chen在臉書社團「Android Developer開發讀書會」分享親身經歷指出，他因為兩年前開發現在已下架的app遭到警方搜查，原來是該app被有心人士改造植入後門，再盜用他人帳號在Google Play重新上架，因帳號被盜者控告「妨害電腦使用」而被牽連。此事也在網路上引發討論。

根據Lin Chen的說明，7月30日偵九隊持搜索票上門要求配合搜查，使他一頭霧水。經過警方的說明終於瞭解，原來是他曾在2013年前開發的記帳app惹禍，這是他第一次在Google Play上架的app，該app經過兩次更新後，2013年底已從Google Play下架。

但警方告知，這個app還在網路上流傳，且被人盜用他人帳號重新上架到Google Play。因被盜用帳號者提告，警方依「妨害電腦使用」展開搜調行動，Lin Chen推論警方可能是以多年前參加app比賽的資料循線追查上門。另外，當初app下架後未取消使用的廣告ID，警方懷疑他因此獲利和盜用帳號的犯罪者有關。

警方比對Lin Chen的原始APK檔和重新上架版本，發現重新上架版本和原版的package name只差了一兩個字母，而且被嵌入了後門程式，每隔20到60秒就會傳送手機資訊（帳密或個資）到後端伺服器，追查伺服器IP位址來自中國。

換言之，這款下架的app被人盜用，並且改造嵌入後門程式以竊取使用者手機內的資料，警方好心提醒Lin Chen可使用ProGuard混淆代碼保護app，但最後該案還是被移交地檢署偵辦。

對於該案例，記者詢問刑事局偵九隊想瞭解事件的前因後果，但偵九隊以偵查不公開回應。

網友：混淆代碼避免app遭盜用，警方應從Google Play著手調查

這個案例引發不少網友的討論，有人建議除了ProGard外也可使用dexguard混淆代碼，或是利用NDK來隱藏字串，提高app的防護性，降低被盜用的可能。

網友Kny Chen則認為ProGuard混淆代碼只能提高盜用app難度，舊的app要重新的Google Play上架需要新的package name，而且需帳號才能申請上架，相關的信用卡、連線紀錄等等。他認為警方應從Google Play調查幕後的黑手，而非透過Lin Chen。

另外，Kny Chen在自己的貼文分享這個案例指出，Lin Chen當初沒有取消廣告ID，所以被懷疑重新上架app謀取廣告利益，他建議app開發時應慎選廣告套件，不要亂掛廣告套件或接受奇怪的合作案，輕者違反平台政策被下架，重則可能因廣告公司違法而受到調查牽連。

趨勢科技：盜用app盛行，開發者宜自保、養成良好習慣

在Lin Chen的案例中，實際上他的app被人盜用改造為含有後門的程式，他也是受害者，被不法份子盜用其app，再盜用第三者帳號重新在Google Play上架而受到牽累。

事實上，趨勢科技去年公佈研究資料顯示，Google Play前50大熱門免費app有近8成都有山寨版本，山寨app以假亂真吸引使用者安裝，而且51%含有惡意程式，即使沒有惡意程式，可能也含有越權的廣告程式。

這些山寨app不少來自改造正版app，將其重新包裝後嵌入惡意程式，讓使用者誤以為是正版app下載安裝，不法者就能竊取使用者手機內的資料，或是可能在使用者未察覺的情形下，偷偷使用高額的電信服務獲利。先前造成熱門的遊戲Flappy Bird曾被作者下架，不法者就趁此機會推出木馬版本，誘騙不知情的使用者下載。

就Lin Chen的案例，趨勢科技建議開發者自保之道，一方面可從app的保護著手，可利用代碼混淆增加盜用者人工分析的難度，或是Packer對app加上一層保護殼，保護原始可執行文件使其不容易被讀取，也可以在軟體中加入唯一特徵，使執行時自動校驗軟體的合法性。

另一方面，已經下架的app應取消或關閉相關服務，像是廣告ID、支付類服務等等，以避免產生不必要的麻煩。以Lin Chen的app被盜用後，盜用者沒有關閉廣告ID來看，即使開發者已將app下架仍應繼續關注使用的廣告帳戶，如果發現有異常的金額出入，代表app可能被改造重新散佈，開發者應提高注意。

開發者選擇SDK時，往往考慮方便性居多，但趨勢科技認為也要考慮法律風險，如果開發者選擇了一個具惡意行為的SDK，對其用戶造成影響，不論開發者有意或是無意，連帶負擔一些責任，同時還影響到開發者本身信譽，因此最好選擇信譽好、規模大的第三方SDK，建議可以參考相關資料。

法律專家：多舉證證明清白

這個案例是因為被盜用Google帳號者提告，警方依「妨害電腦使用」進行調查，因而循線找上app的原始作者Lin Chen，而經過比對發現原始app被改造含有後門程式，且package name不同，Lin Chen的app被盜用改造，他自己也是受害者。

對此，益思科技法律事務所律師賴文智表示，被盜用帳號者提出違反刑法第358條「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」告訴，該案件由偵九隊協助初步偵查，由於有心人士盜用開發者帳號上架app為Lin Chen開發但已下架的app，所以偵九隊將該名網友列為嫌疑人，通知網友到案說明。

他認為從個案來看，這是單純的帳號盜用案件，只要找到實際盜用的「行為人」案情就能水落石出，但「行為人」並不易找到，因此警方先懷疑該網友是「行為人」，這在犯罪偵查上是正常的程序，依犯罪嫌疑人一一調查排除。問題是警方是否認識到上架到Google Play的app，其他人要取得APK檔並不困難，所以除了該名網友，其他人也可能是盜用帳號的真正「行為人」，警方有責任依其他線索繼續調查，例如依行動廣告追查受益者身份，善盡調查責任。

至於網友認為警方應該從Google Play等其他方向調查，不應由該名網友自己證明清白，賴文智表示，雖然依照「無罪推定原則」，被告確實沒有自證清白的義務，若檢察官無法確認犯罪嫌疑人確實參與犯罪，則應為不起訴處分。但還是建議該網友盡量提出對自己有利的證明，如app的廣告收益受益人另有其人、自己沒有犯罪動機、找尋專家證人證明他人容易取得APK檔修改等等，以免成為他人犯罪的替罪羔羊。

至於廣告ID沒有取消，且被插入後門程式，網友可向檢察官說明真正犯罪者的目的並非取得廣告收益，而是竊取他人個資或控制他人手機等等，但不能證明自己沒有參與犯罪，因為網友自己也可能從事此行為。他建議還是找專家證人證明不是改造版app開發者，依無罪推定原則來處理這個案件。先前曾有著作權侵害案件，檢察官找來中華電信人員證明家中無線AP若未設保護措施，可能遭他人盜用從事侵害著作權的行為，因為沒有辦法證明著作侵害行為是該AP管理者所為，最後做出不起訴處分。