2019移动互联网蓝皮书：仿冒移动应用程序成为网络安全管理新战场

人民网北京7月2日电 人民网研究院组织编写的《中国移动互联网发展报告（2019）》6月24日在京正式发布。其中，国家互联网应急中心何能强、王小群和丁丽撰写的《仿冒APP：移动互联网APP安全管理新战场》一文指出，仿冒APP成为移动互联网安全管理新战场。所谓仿冒APP，是指未经正版软件公司授权，采用与正版软件相似的APP图标、程序名称、包名或代码的APP。

近年来，各级政府、安全企业、行业联盟、应用商店等持续开展对移动互联网恶意程序的协同治理，并不断完善应用市场审核机制，具有恶意扣费、信息窃取、远程控制等高风险的恶意APP在应用商店难以上架，在应用商店上越来越少，逐渐转移到了审核机制不完善的广告平台、云平台、个人网站等传播渠道。虽然应用商店中高风险的恶意APP减少了，但是“蹭热门”“热补丁”等形式的仿冒APP数量呈上升趋势，使得仿冒APP的治理成为移动互联网安全管理的新战场。

仿冒APP利用与正版APP相似的图标或名字等方式来混淆用户，导致用户无法判断自己下载的APP是否是官方正版应用，一旦安装该类仿冒应用可能会造成用户泄露个人隐私信息（姓名、身份证号、银行卡号、银行卡密码、手机号等）、泄露通讯录短信内容、手机未经允许私自下载大量恶意软件、恶意扣费等危害，极大地损害用户个人利益和经济利益。

仿冒APP最常见的伪装手段就是仿冒正版APP的安装图标，除了仿冒安装图标外，还会仿冒程序名称、运行界面、程序包名等，下面是部分常见的仿冒图标：

仿冒APP的受害者一般是个人或者正版APP开发者。对于开发者来说，投入大量的人力、财力、物力开发出一款APP，轻易被攻击者伪造，给正版APP开发公司带来不可估量的影响；对于个人来说，下载安装仿冒APP，可能会造成严重的信息泄露或经济损失。另外，由于仿冒APP具有开发简单、易变种、“擦边球”等特点，增加了监测与处置的难度。因此，需要政府、安全企业、应用商店渠道商、个人、开发者等一起协同治理，蓝皮书提出以下几点防范建议：

对应用商店、广告平台、云平台等已备案的传播渠道，需要加强APP的安全审核，实时更新样本检测特征，从源头切断仿冒APP的传播。

广大网民不要安装没有明确安全来源的APP，不要扫描来历不明的二维码下载APP。下载APP时可查看APP的大小和下载量，通常官方APP文件大小约几十兆，下载量相对比较大，而仿冒APP一般只有几兆，且下载量非常少。

正版官方APP启动时一般都会有介绍页或引导页，图标比较清晰，不会启动就要求用户输入个人信息，也不会要求用户下载第三方APP才能正常使用。仿冒APP启动时，会立即弹出输入信息的界面，要求用户输入账号密码等敏感信息，一旦发现存在上述情况，立即卸载。

用户对APP有任何疑问，可以向移动APP预置与分发渠道安全监测平台匿名举报。国家互联网应急中心一旦发现应用商店、云盘、网盘和广告平台存在恶意APP，会第一时间通过网站备案地国家互联网应急中心分中心通知网站备案人下架，提升已备案移动应用程序传播渠道的安全性。

（张春贵）

(责编：赵光霞、宋心蕊)