資安網站Naked Security網站於2014年4月揭露,Clean Master告知民眾受到病毒侵襲,而需要按OK加以掃毒,但其實掃毒是假的,直接幫使用者下載Clean Master才是真的。

圖片來源: 

Naked Security

中國為一黨專政的威權國家,中國共產黨為了將全國人民納入其管控範圍,進行嚴密的網路監控,加上中國在政治上和臺灣處於緊張關係,根據趨勢科技這幾年來的觀察,中國政府已經透過默默地蒐集資料,全面監控臺灣重點人員,也就是以「情蒐為主,但不破壞。」

臺灣趨勢科技總經理洪偉淦表示,中國政府的網軍也已經開始鎖定高科技產業的研發部門與金融產業發動攻擊,其他也會鎖定與政府有生意往來的企業和媒體等,作為中國網軍主要情蒐的對象,目前中國情蒐已經到了「遍地開花」的地步了。

中國政府不僅透過網軍蒐集臺灣人的情資,中國小米公司與資安公司如奇虎360、獵豹移動,也紛紛於今年進軍臺灣,由於手機與防毒軟體業者與手機系統的底層結合非常深,因此很容易能取得使用者資料。交通大學資訊工程學系特聘教授林盈達表示,以中國政府無所不用其極地蒐集臺灣人的資料的情況來說,「這就是一個現代版的木馬屠城行為,越來越多臺灣人使用中國IT產品,方便中國政府行掌控臺灣政局與社會之實。」

獵豹移動與奇虎360皆用流氓行為擴大中國市占率

中國資安產品不論在中國或是全世界,擁有廣大的使用者,若是以個別Apps下載量來看,目前獵豹移動的免費手機清理工具Clean Master超越Line和Instagram,成為全球Google Play下載量第四大的App,僅次於WhatsApp Messenger、Facebook和Facebook Messenger。

不論是奇虎360或是獵豹移動,都是以「免費」來打響品牌名號,所有的防毒App皆供免費下載,另外,也順勢免費推出瀏覽器與遊戲等,形成一個完整的產業鏈,以鞏固使用者的使用習慣。從商業模式來看,獵豹移動與奇虎360以免費獲取廣大的用戶,但是,也伴隨了很多爭議。

舉例來說,2013年9月27日,小米公司突然將奇虎360全部App從小米應用商店下架,理由是因為360手機助手在沒有提出任何原因的情況下向使用者建議移除小米應用商店、百度地圖等其他的應用程式。

隨後,2013年9月底,360手機助手,也誘導使用者移除華為、三星、聯想等多家手機商的App,上述業者為了反制奇虎360的誘導行為,紛紛在各自的應用商店中,下架奇虎360所有的產品。

獵豹移動是奇虎360在中國最大的競爭對手,也和奇虎360展開一連串商業競爭,如在今年6月初,獵豹移動控告奇虎360抄襲手機清理功能,2014年2月,奇虎360控告用戶在安裝金山毒霸時,會有視窗彈出,誘導使用者卸載360殺毒等軟體。

諸如此惡意競爭的情況不勝枚舉,獵豹移動總經理傅盛來臺宣傳也不諱言,中國網路公司間由於面臨激烈競爭,使用了相當多「不能用」的競爭手法,其激烈程度如臺灣打選戰。但是,傅盛並未說明惡意競爭等商業手法,是否會用於海外市場。

不過,今年4月,美國資安網站就披露了獵豹移動開始在海外市場的App中採取惡意競爭手法。Sophos旗下的資安網站Naked Security於2014年4月4日在官網揭露,獵豹移動旗下的App清理大師Clean Master在App中會警告民眾受到手機病毒侵襲,可以按下OK按鈕來掃毒,但是,Naked Security表示,其實掃毒動作是假的,直接幫使用者下載Clean Master才是真的。

另外,Seekingalpha網站披露今年7月中旬也發生了獵豹移動也因為誘導使用者刪除競爭對手合法的應用程式,如Google Chrome、360衛士、360瀏覽器與Opera Mini等,被Google排除在全球Google Play排行榜,但App產品Clean Master並未被下架。負責獵豹移動在臺公關窗口的臺灣雪豹科技公關經理趙郁竹,於8月5日證實了獵豹移動產品Clean Master遭移除於排行榜的消息,但她表示,北京總部未告知原因。

Sophos臺灣區技術經理詹鴻基表示,由於Google會審核每一個App的權限是否適當,如導航軟體不適宜加開照相機的權限等。當初獵豹移動要將清理大師上架到Google Play時,僅有告知Google需要用到清理手機內垃圾資料的權限,非為惡意行為,因此通過Google審核。

不過,獵豹移動提交審核時,並未告知Google,已在清理大師中加入誘導使用者移除其他應用程式的功能,以降低其他App的市占率,等同於「流氓行為」。詹鴻基表示,獵豹移動藉由告知使用者,因為Google Chrome會耗費太多記憶體,而建議使用者移除Google Chrome,以誘導使用者下載獵豹移動其他的軟體,也就是「獵豹移動假防毒之名,行營利之實」他說。

直到8月6日,也就是除名事件發生兩個多禮拜之後,Clean Master才又回到Google Play排行榜中,獵豹移動也於2014年8月6日發布官方聲明表示,因為合作的海外廣告通路商未經許可擅自使用沒有「取消」按鈕的廣告素材在海外進行推廣,因此遭Google暫時隱藏了Clean Master排名。

不過,獵豹移動並未說明,詹鴻基提及的誘導使用者惡質競爭行為,是否造成被Google下架的原因。但在8月5日更新改版的Clean Master App中已經沒有看到這樣假藉掃毒下載軟體的做法,而是改成邀請使用者上Google Play按星等推薦的機制。

據App Annie的統計顯示,2014年7月15日Clean Master被移除於Google Play排行榜後,Clean Master的每日下載量,從約80萬次下降至不到10萬次,降幅達到87.5%。不過,獵豹移動官方宣稱,遭到Google下架期間,Clean Master的安裝量並未受到太大的影響。

洪偉淦表示,由於Google Play的上架政策是「先上架、後審查」,目前也會針對下載量比較大的App進行更為詳細的審查,Google一旦發現有惡意行為,或者是從事不應該從事的商業行為,Google都會將此App下架。

中國App因惡意行為或違規行為遭App平臺下架或除名的情況時有所聞。除了這次獵豹移動清理大師除名事件之外,先前,奇虎360也曾在一年內被蘋果從App Store下架兩次,2012年2月6日下午,奇虎360在App Store上7款App,如360手機衛士、360瀏覽器HD、360團購HD、360團購導航、360口信、360電池醫生、360安全備份等,被蘋果從App Store下架,直至2012年2月8日上午,所有的App才重新上架。

2013年2月28日,在360媒體開放日中,奇虎360董事長周鴻禕表示,由於在iOS系統中,蘋果所開放的資源不允許奇虎360推出攔截電話、騷擾短信和省電等功能,其效果與Android版本相去甚遠。因此,360先開發了功能更強大的越獄版,發布於91助手上,隨後,又利用企業帳號發佈了越權產品,觸犯了蘋果的開發者規範:「在App Store以外的市場為使用者提供了產品。」

來到2013年1月4日,奇虎360旗下包括360安全衛士、瀏覽器、安全備份等應用程式,再次被蘋果下架,直至2月4日,奇虎360在官方微博僅表示:「此次奇虎360相關的產品下架,與360手機衛士企業版違反蘋果相關規則有關。」至2014年3月5日,奇虎360的相關產品才又再次上架。

詹鴻基表示,市面上這些「流氓行為」App屢見不鮮,是因為這也是一種獲利方式。舉例來說,當民眾安裝某款遊戲App後,遊戲開發商會在使用者不知情的狀況下,發送簡訊到國外去,以賺取發送簡訊過程中,所產生的價差費用。舉例來說,若一封簡訊計價15元,由中華電信與AT&T拆帳,而AT&T獲得其中5元,遊戲開發商就可以和AT&T協商,原先發10封簡訊,要付給AT&T 5元,現在若發1萬封,則付4元,其中的1元,就成為遊戲開發商的利潤來源。

2013年中國達34.5%的應用程式,截取使用者資料

以中國整體App市場來看,由於商業競爭激烈,若沒有特別手段,更難以勝出,產生出許多「流氓行為」,舉例來說,奇虎360就會在使用者下載奇虎360的防毒軟體時,同時再暗中為使用者下載其他的軟體,如360瀏覽器、360導航等。

另外,中國App開發商也會擴大應有的權限,而獲取手機用戶的個人資料,中國網路資料中心DCCI在《2013移動隱私安全評測報告》指出,調查中國各類Android市場下載量前1,400位的應用程式後發現,目前在中國,高達34.5%的智慧型手機應用程式含有「隱私越軌」行為。

許多App除了提供新功能所需權限和資料之外,還獲取手機用戶的包括簡訊紀錄、通話紀錄、通訊錄在內的敏感個人資訊。而「允許讀取聯絡人訊息」在獲取用戶隱私訊息的主要類型中排名第二,占21.2%,也就是說,38%的具有該權限的應用其功能實際上與用戶通訊錄完全沒有關係。

洪偉淦表示,一些來自中國軟體、App或者硬體公司,為了做到「精準行銷」,的確會更積極的客戶行為蒐集與分析,也就是說,當使用者回傳檔案時,中國軟體、App或硬體廠商,可能會在背後分析回傳的檔案內容或行為,以利做到更精準的廣告投放。因此,難以避免地,獵豹移動與奇虎360等中國資安公司也遭質疑會竊取使用者資料。

獵豹移動不保證能捍衛用戶資料,不給中國政府

不過,若在民主國家,若政府要向網路企業索取使用者資料,還必須經過法定程序。但是,若中國政府向中國企業索取使用者資料,在沒有法治基礎的情況下,如同交通大學資訊工程學系特聘教授林盈達表示:「中國政府向中國企業索取使用者資料,沒有要不到的」導致許多臺灣民眾對於使用中國IT產品缺乏信心。

日前傅盛來臺時,iThome記者問他,能否保證不將使用者資料回傳給中國政府,傅盛僅表示:「目前為止,獵豹移動不在中國政府的監控之下,不過如果中國政府要求送交使用者資料就是另外一回事。」他也很坦白地承認無法做出這樣的保證。

臺灣駭客圈中,一位不願具名的工程師表示,中國長期以來為了要獲取利益,原先就比較不重視個人隱私,另外,不僅臺灣和中國的處於政治對立狀態,且中國政府可以深入掌控企業運作方式,如果中國資安公司讓中國政府取得臺灣使用者的個人資料,就會對臺灣產生很大的資安風險。

臺灣趨勢總經理洪偉淦也表示,因為資安軟體和公司系統的底層結合非常深,中國資安公司非常輕易就可截取臺灣使用者的資訊,幾乎沒有無法取得的資料。另一方面,如果視中國為值得信賴的國家,雖然執行防毒軟體會截取使用者資料,但不會引起廣泛的疑慮。

儘管,為了要消除臺灣人的資安疑慮,中國資安公司奇虎360還透過臺灣代理商希悅資訊宣稱,一切臺灣使用者的資料都是與中國方面分開,臺灣擁有自己小規模的中文化技術團隊、機器機房與服務。

不過,洪偉淦認為,除非中國資安公司的代理商能在臺灣自行研發核心技術,不然,不可避免地一定要將使用者資料傳回原廠,不太可能和原廠的後端系統毫無瓜葛。

洪偉淦舉例,趨勢自己就是會將使用者的病毒的記錄檔傳回總部,也就是當使用者瀏覽網頁時,為了要知道此網頁是否有害,一定要到回到雲端查詢,以隨時知道內容是否有害。

面對資安疑慮,政府尚未有積極防範做法

不過,雖然臺灣已經面臨中國資安公司入侵所產生的潛在資安風險,但是,臺灣駭客圈某位工程師表示,為了防止未來可能產生的資安問題,目前就要靠政府規定,盡量移除中國的軟體。不過,洪偉淦表示,目前在政府方面,尚未看到積極的做法。

警察大學前兼任教授林宜隆表示,目前政府,只透過行政命令規定重要的政府單位,不要使用有資安風險的App,而無法管制民眾下載中國可能具有資安風險的軟體。文⊙胡瑋佳、黃彥棻

 

獵豹移動總經理傅盛表示:「中國網路公司間由於面臨激烈競爭,使用了相當多『不能用』的競爭手法。另外,如果中國政府要求送交使用者資料,那就是另外一回事。」

相關報導請參考「穿糖衣的威脅! 中國科技產品鋪天蓋地進臺灣」


Advertisement

更多 iThome相關內容