我特地自己也尝试了一下，果然如他们所说，一个被修改后加入了扣费代码的软件，与从官方网站下载到的软件有很大的不同。恶意代码的来源我就不说了，这几天关注微博的人都清楚，多说无益。特别值得一提的是，向软件内值入恶意代码的某个公司，曾经还是我看好的公司之一，不得不叹人心不古，在利益面前，出什么样的昏招都有可能。

Android的安全在哪里？移动互联网的安全又在哪里？

从很早以前起，Symbian平台下就发生过多起类似事件，因为这些事情，也使得sp行业踏入低谷，现在除了几个名声在外并且信用过关的企业外，大部分的sp都是恶意的。大家现在一般都会识别一个sp服务是否恶意，特别是针对传统互联网的，每个人都很容易的认识到一个QQ会员与一个AV网站的会员的区别。

对于上面说的Android软件扣费一事，我特地去搜索了一下“手机恶意扣费”这个关键字，得到的结果触目惊心，不仅仅是Android，所有的智能手机平台都发生过恶意扣费的情况，包括可以安装J2me应用的MTK等平台，也不例外。只不过目前在关注Android的人比较多，所以这一问题被突显在该平台上。

恶意软件的表现目前来看主要有以下几种，短信业务扣费，联网扣费，拨打电话扣费，收集用户隐私信息等，而短信扣费是目前被用的最多的一种。其他的，联网扣费一旦用户关闭了网络连接，或是运营商通过种种手段屏蔽了该网址，这种扣费方式就不再有效。而拨打电话的情况则是以前在Windows Mobile上遇到过，它是在用户挂断一个电话后，立刻再拨出一个声讯电话号码，拨通后几秒钟就挂断，用户很难发现，而且通话记录不会保留下来，不过这种手段现在也很难行得通。最后说用户隐私数据的问题，其实这个问题由来已久，但是我们并不过多的关心，除非是像冠希哥那样的牛人才必须注意。用户在设备上做的任何操作都可能成为隐私数据，通讯录，短信，邮件之类只是我们通常所想得到的，而想不到的有搜索条目，安装的软件列表，收看的新闻，收听的音乐等。

当然了，以上说的只是“恶意”的软件，而在目前，开发商们越来越聪明的想到，不能通过常规的流氓手段来赚钱了，于是行业就发生了变化。从我听说针对性广告推送一事开始，我就知道在用户隐私数据方面，已经开始打仗了。换句话说，我凭什么能够知道用户对什么东西感兴趣？这是一种对用户的信息收集，对于传统互联网，虚拟的身份，那无所谓。我叫橙子，数据收集者也只会知道，有一个叫橙子的人喜欢什么，从而发现橙子登录时，给他推送一些内容，但是他们并不知道橙子到底是哪个人，无法与现实的人一一对应。在这种情况下，其实橙子所对应的那个人，他的隐私在某种程度上是不受伤害的。

而移动互联网的情况下，问题就变得复杂了，特别是针对手机。手机有两大功能，称为打电话和发短信，而这两个功能其支持基础就是拥有一张SIM卡，拥有一个手机号码，SIM又是实名的，换言之，数据收集者很容易就能将收集到的数据与一个现实存在的人对应起来。现在的智能手机又如此的强大，各种方法获取手机的电话号码，各种方法收集上传数据，让用户觉得防不胜防。顺便再说一句，为什么现在各大厂商都在发力开发输入法，原因也很简单，因为输入法是收集用户信息的最好，也是最直接的工具，包括你的密码！

再回过头来说短信业务扣费的事情，有很多游戏一直沿用这么一种做法，就是免费试玩，然后玩到某处，或者玩家需要作弊快速升级等，就要求发送一条短信，扣点钱，以便玩家继续玩下去。这个过程本来就是你情我愿，挺公平的一个方法，但是往往就有厂商喜欢钻空子。在用户发送第一条短信时，就自做主张给用户订购了sp业务，每个月或多或少的扣费，而且还不告诉用户。这样一来，哪怕他的游戏不好玩，用户玩上一阵就删了，但是由于sp业务的存在，他们依然可以每个月得到一定的收入。除去游戏，普通的应用程序也被发现有莫名扣费，这就完全没有理由了。在移动设备上以费用包月形式存在的应用，基本上不会有好下场。

技术越来越先进，扣费的手段就越来越多，这次查到的一些软件，居然已经包含了拦截指定短信的功能，购买sp业务所产生的反馈短信一律被过滤，不提示给用户。可怜的是用户们，大部分被蒙在鼓里，他们并不知道是恶意软件扣掉了钱，反而是怪Android太耗流量，怪Google扣了他们的钱。一个软件整天在你后台跑着，整天上传你的通讯录和短信，同时下载广告，流量当然用的快。几个软件偷偷的给你订了sp业务，当然就钱哗哗的没了。

自从上次的事件，很多安全公司都重视起来了，包括360等，相信不久以后短信扣费的现象会被尽可能的杀灭。N多网更是第一时间开发了一款应用来帮助检查应用是否被植入恶意代码。不过在这背后，是否会产生更大的威胁？如果360手机卫士被恶意修改，如果N多的那款软件被恶意修改，如果支付宝，paypal被恶意修改，会发生什么？360还未真正出手，N多也只能查出两种恶意代码，安全的背后，往往是更大的不安全。我不想以后大家都各自为战，只把应用发布在自己的官方网站，这样Market, AppStore之类还有什么意义，分散就容易被各个击破。移动互联网的收费策略，商业模式是否会被完全推翻？是否会需要重新建立一套信任模式？

最后，依然要说说Android ROM的问题，厂商或是民间团队开发ROM，并提供给用户更新是件好事，但是在ROM里放入恶意软件，并且同时去掉ROOT权限，不让用户删除的，这种做法真的太过份了。我常年混迹于不夜城手机市场，多少也听得到一点风声，有的厂商甚至以分成为诱，要求水货商刷他们的ROM。可怜的水货商不懂得分辨好坏，唯利是图，可怜的用户不得不面对扣费陷阱。

再问一次，移动互联网的安全在哪里？