《OPPO&安天移动安全:移动互联网风险应用白皮书(2022)(42页).pdf》由会员分享,可在线阅读,更多相关《OPPO&安天移动安全:移动互联网风险应用白皮书(2022)(42页).pdf(42页珍藏版)》请在三个皮匠报告上搜索。
1、目录目录一、引言.4二、应用风险问题的变化.6一、引言.4二、应用风险问题的变化.62.1 广告弹窗问题.62.2 应用内容问题.82.3 应用功能及服务规范问题.102.4 应用支付和用户资产风险问题.11三、新风险问题的发现.12三、新风险问题的发现.123.1 App 侧新风险问题.123.1.1 线下分发渠道应用存在的风险问题.123.1.2 应用为绕过审核上架使用不实描述.153.2 新应用形态风险问题.163.2.1 快应用中存在的风险问题.17四、品类风险问题深度解析.22四、品类风险问题深度解析.224.1 下沉交友品类主要风险问题.224.1.1 公会诱导付费问题.234.1
2、.2 应用推送机制具有明显诱导用户付费的目的.254.2 IAP 品类付费功能不规范问题.274.2.1 虚假特惠活动等宣传诱导付费.284.2.2 红包、提现等福利诱导用户订阅自动续费服务.294.2.3 自动续费设置不规范.314.2.4 价格欺诈.334.3 网赚品类主要风险问题.354.3.1 假提现.364.3.2 未一次性明示提现规则.374.3.3 欺诈性广告素材.39五、总结.42五、总结.42一、引言一、引言近年来,安天移动安全-OPPO 安全联合实验室(下称:联合实验室)一直致力于发现、识别和监测移动安全问题和移动终端用户安全威胁的变化形态和发展趋势,持续围绕移动终端侧的
3、App 实现了应用的安全性判定和检测体系建设;并且基于此,以历年的移动安全年报对外披露当年的移动应用威胁变化态势情况。图 移动互联网生态和安全威胁发展概览图 移动互联网生态和安全威胁发展概览近年来,国家监管针对移动互联网 App 的一系列专项治理行动,包括个人信息保护、用户权益、未成年人权益、不良应用/快应用/小程序/SDK、数据安全等等。这也促使我们从更广泛的用户安全视角重新思考。因此,安天移动安全-OPPO 安全联合实验室结合从移动终端用户权益保护、移动互联网产业链生态良性发展的视角出发,重新审视和评估移动互联网应用的安全问题。我们发现,整个移动智能终端下的应用威胁呈现泛化趋势,其中包括应
4、用威胁形态的隐蔽化和多样化,并且从 App 到 Hybrid App/快应用/应用 SDK/WAP 站/Web 应用等泛应用形式。此外,这些潜在的应用风险问题一定程度上与移动互联网生态发展中出现的野蛮生长、黑暗森林模式有关,其最终将导致用户权益受损,形成“劣币驱逐良币”不健康的生态发展导向等诸多问题。安天移动安全-OPPO 安全联合实验室(下称:联合实验室)对移动互联网应用的风险性问题进行了标准化的定义、分类,以及建立了科学的评估方法,基于此在过去两年间针对移动互联网生态下部分垂直行业的应用进行了分析评估,发现了大量的问题及案例。应用风险分类和风险问题示例应用风险分类和风险问题示例上述的部分应
5、用风险问题也在近两年的 3.15 晚会上作为热点问题向公众曝光,例如诱导老人下载 App 的广告弹窗属于应用存在用户权益风险问题;直播平台男运营冒充女主播过度索取礼物属于应用存在支付和用户资产风险问题并涉及诱导付费和欺诈。这些问题随着近两年国家监管的治理、媒体的曝光以及生态各方的协作呈现出一定的缓解趋势。2022 年 12 月 12 日,中央网信办发文关于部署开展“清朗移动互联网应用程序领域乱象整治”专项行动。我们结合文件相关要点以及过去一年发现的移动互联网应用风险重点问题进行披露如下。二、应用风险问题的变化二、应用风险问题的变化移动互联网风险应用白皮书(2021)中我们总结了当前移动互联网生
6、态中一些普遍存在的行业共性风险问题以及部分垂直品类生态中特有的风险问题,并在 2022 年间协同各方监管部门对这些风险问题进行了一系列专项治理行动。本章节将着重介绍 2022 年联合实验室在广告弹窗问题、应用内容问题、应用功能及服务规范问题以及应用内支付和用户资产风险问题这四类较严峻的风险问题上的工作情况以及这些问题的发展变化。2.1 广告弹窗问题2.1 广告弹窗问题广告流量变现是移动互联网行业一种常见的变现模式,尤其在工具和网赚品类中,这种盈利模式更为普遍,相应地广告弹窗问题在这两类应用中也最为突出。继 2021 年“央视 3 15晚会”曝垃圾清理类 App 针对终端用户频繁推送广告的现象后
7、,2022 年“央视 315 晚会”特别报道了“免费 WIFI”类应用弹窗广告、误触下载等问题,2022 年监管相关发文中,也多次提及要加强对应用弹窗问题的治理,足以看出监管部门治理广告弹窗问题的决心。以下是我们总结的四类常见广告弹窗问题:应用外广告弹窗问题应用的广告弹窗存在欺骗、误导和强迫形式应用推送的广告存在误触下载行为应用频繁弹出广告我们通过研究这类风险问题的实现原理,监控其技术衍变,形成一套高效精准的广告问题发现体系。支撑手机厂商终端部门加强终端识别及管控能力,推进应用市场优化该类风险问题的审核机制。2022 年年中,应用市场审核规范中首次提出不再收录清理类应用,各大手机厂商从年初开始
8、逐步加强终端应用外广告弹窗的管控。清理类应用的应用外广告弹窗整体呈下降趋势。回顾 2022 年,我们发现有部分开发者通过对 App 代码进行混淆加固,利用云控归因策略企图绕过终端管控限制、安天发现体系和应用市场审核机制。随着安天移动安全、手机厂商和有关监管部门的持续努力,2022 年 9 月之后,清理品类中的应用外广告弹窗问题得到明显遏制。清理品类主要风险问题为应用外广告弹窗问题,其他三类广告弹窗问题相对较少。但该三类问题在移动互联网中更为普遍,网赚品类中也存在类似风险问题。随着今年安天移动安全联合监管、手机厂商和安全厂商等相关单位开展基于清理品类广告弹窗风险问题的治理专项行动,在 App 侧
9、该类风险问题得到明显改善,在包括清理品类等各类应用中广告弹窗风险行为都有显著减少。在关注到 App 侧广告弹窗问题减少的同时,我们也留意到泛应用中的广告问题在逐步显露。部分开发者意识到 App 侧的管控加强后,转向其他监管目前比较薄弱的应用形态,导致泛应用中的风险问题增多。在新应用形态风险问题一章中我们将详细介绍快应用中出现的风险问题。2.2 应用内容问题2.2 应用内容问题应用内容问题分为两类,一是应用运营方主动提供违反法律法规的模块功能,二是应用运营主体内容审核工作不到位,导致应用内存在违反相关法规要求或给对用户身心造成不良影响的内容。从落实责任主体的角度来看,此二类问题的管控仍然为应用运
10、营方的责任。在去年白皮书中我们提到过的风险问题中,属于应用内容问题的有以下几类:应用内提供博彩模块应用内提供色情模块应用内存在低俗色情内容应用广告内容问题应用内容问题长期以来都是监管部门关注的重中之重,但在暴利面前,仍有不少开发者不断试探监管红线。我们发现交友类用中关于低俗色情内容的风险问题呈现快速发展的态势。部分陌生人交友类应用为了提高男用户留存率以及充值付费率,主动降低内容审核要求,导致应用内充斥低俗色情内容,给移动互联网应用生态造成极大负面影响。除了应用开发者主动提供博彩色情模块以及内容审核要求不严谨导致应用内存在低俗色情内容的风险问题外,我们在持续监控分析应用内容风险问题发展变化过程中
11、发现应用内容问题广告问题与某些商业广告 SDK 有关。下图示例中网赚应用展示的广告由某商业 SDK 下发,添加广告中的微信号后,会被引流到某博彩平台。下图示例中清理工具类应用中的色情应用广告由某商业广告 SDK 下发。在应用广告内容问题上,我们还发现网赚品类中出现大量有诱导欺诈性内的广告内容问题,这类广告以“中奖”、“抽奖”、“红包”等带有诱导性的文字或图片吸引用户点击,用户进入后随即跳转到第三方网站,通常为盲盒或话费券抽奖,存在极大的欺诈风险。这些问题我们将在品类风险问题深度解析一章进行详细分析介绍。2.3 应用功能及服务规范问题2.3 应用功能及服务规范问题出于对用户知情权的保障,应用应该
12、在用户第一次进入使用时如实告知用户应用提供的功能和服务细则。在对应用风险问题的发现和界定过程中,我们定义了以下三类应用功能及服务不规范的风险问题:应用在桌面隐藏图标入口应用提供的功能是虚假的应用设置提现障碍问题在对这类问题的跟踪过程中我们发现,这类问题往往出自 IAA 品类。流量品类应用具备变现周期短,留存率低,应用开发门槛低等特点,因此这类应用的开发运营者最终目的在于提高短期收益,不在乎应用是否能长期发展,在这种背景下应用功能及服务不规范的问题屡禁不止。2022 年网信办开展的“清朗”活动中,明确强调要严格规范功能设置,从严查处应用程序恶意隐藏相关功能的行为,如设置透明图标等,同时要求打击各
13、类应用程序以赚钱为幌子欺骗用户下载使用,设置多种提现障碍。同年工信部发布的工业和信息化部关于进一步提升移动互联网应用服务能力的通知(征求意见稿)中也对应用功能及服务规范提出了类似要求。根据对风险问题边界的界定和违规代码特征的分析,安天移动安全的特征代码检测工程体系从审核取证和应用检出两个层面,对隐藏图标入口和提供虚假功能的应用进行了治理。2022 年上半年,工具品类应用屡次被曝光存在隐藏图标问题,9 月份以后随着监管及厂商管控力度的缩紧,工具品类行业审核门槛的提高,行业逐渐走向健康发展,依赖这些风险问题进行暴力变现的开发者正逐渐减少,这类违规问题也随即淡出了我们的视线。应用设置提现障碍问题则主
14、要出现在网赚应用品类,网赚品类作为一种极具特色的 IAA品类,不仅应用广告弹窗问题频发,还存在其独特的应用功能及服务不规范的风险问题。我们在第三章品类风险问题深度解析中将会详细介绍。2.4 应用支付和用户资产风险问题2.4 应用支付和用户资产风险问题应用支付和用户资产风险是指应用使用诱导、欺诈、迷惑、操纵等手段,或者内置非法的支付平台,令用户暴露在财产安全风险之下。在我们提到的风险问题中,有以下问题归纳在应用支付和用户资产风险问题中:应用存在诱导付费行为虚假宣传并欺骗诱导用户消费应用内存在擦边博彩的游戏玩法作为与用户切身利益紧密相关的问题,用户资产安全问题一直是联合实验室关注的核心风险问题之一
15、,同时也是各监管部门和终端厂商密切关注的问题。2022 年 12 月“清朗”行动中明确提到要严厉打击诱导充值,坚决打击部分应用程序恶意借虚假免费试用、特惠活动或异性聊天等诱导用户付费的行为。移动互联网风险应用白皮书(2021)中提及的诱导付费问题主要指社交交友品类中存在大量诱导用户充值付费的现象。在对这类问题的持续跟踪监测中,我们发现这种诱导付费行为可以细分为两类:一类是社交交友应用内存在女性用户有组织地诱导男性用户充值付费的行为,这类行为跟社交交友行业中“公会”这一角色密不可分;另一类是社交交友应用开发者在设计平台运营策略和推送机制时,有意地通过一些手段诱导用户进行充值付费,这种诱导付费问题
16、我们将在接下来的品类风险问题深度解析章节中分享。除了在下沉交友上的诱导付费问题外,我们还发现了更多的 IAP 品类应用中付费功能不规范的问题。同样将在在接下来的品类风险问题深度解析章节作具体分析。三、新风险问题的发现三、新风险问题的发现当前移动互联网生态中除 App 外,小程序、快应用等泛应用以及 SDK、插件等互联网信息服务提供主体也存在不少风险问题。在 2022 年的监管部门发文和通报中也多次提及要规范包括 App、小程序、快应用以及 SDK 和插件等在内的服务提供主体的行为。本章节将介绍2022年我们新关注到的,在当前移动互联网生态中频发的一些风险问题,这些风险问题包括 App 侧新风险
17、问题以及新的应用形态-快应用相关的风险问题。3.1 App 侧新风险问题3.1 App 侧新风险问题3.1.1 线下分发渠道应用存在的风险问题3.1.1 线下分发渠道应用存在的风险问题移动互联网风险应用白皮书(2021)移动互联网风险应用白皮书(2021)中提到部分开发者针对生态治理使用渠道分发对抗手段,利用线上和线下分发渠道的应用审核及管控力度存在差异性这一特点,实现只在线下分发不合规版本、套户等一系列违规行为。可见,不受应用市场上架审核规范限制的线下分发渠道给部分非良性开发者更多的可乘之机。在今年的检测治理工作中,我们发现一类线下分发渠道应用,存在严重的应用内广告内容问题。在网赚品类中,有
18、一类应用要求用户分享应用内容到社交平台并获取到有效阅读后才能获得奖励并提现,我们将这类应用称为分裂式网赚。这类应用有两种特点:一是这类应用不在主流渠道分发,包括各大应用市场和广告平台,而是通过线下 App 网站分发。这类应用由网站站长收集并提供应用下载二维码或下载链接,通过这种渠道下载下来的用户及由这些用户分享裂变出去的用户都将是二维码或下载链接提供者的下级用户,其收益都将被抽成一部分给站长。二是这类应用不像普通网赚应用使用大量广告位,通过用户观看点击广告来获取收益并分润给用户,而是通过分享链接的广告盈利。因为使用站长渠道下载出来的这类应用内的文章内容都是正常资讯,但是分享之后的链接会呈现黑五
19、类广告。下方图一图二为这类分裂式网赚分发网站截图及下载页面,图三为应用下载完成后打开界面,可以看到这里的应用界面没有广告,组成模块也很简单,主要分为“文章内容模块”“搜索模块”“邀请奖励模块”“提现模块”。图四为当其他用户点击该应用的用户分享到社交平台的文章链接后展示页面,可以看到出现了黑五类广告。(图一)(图一)(图二)(图二)(图三)(图四)(图三)(图四)3.1.2 应用为绕过审核上架使用不实描述3.1.2 应用为绕过审核上架使用不实描述由于网赚应用侵害用户权益的风险问题频发,多家应用市场不断缩紧对此类应用的审核规范。OPPO、vivo、华为、百度等应用市场规范中明确提到了多条针对网赚类
20、应用的要求。我们发现部分网赚应用开发者为了绕过应用市场审核上架,使用了不实的应用描述和应用标签,并结合云控归因针对不同渠道下载的用户展示不同形式的应用。下图所示案例中的应用的文字介绍和内容图片均显示这是一款与农业相关的知识工具类 App,直接通过应用市场下载的应用是与描述相符的产品。通过点击头条广告跳转应用市场下载的应用则变成了一款模拟经营类的网赚应用。背后的实现原理是开发者在用户首次运行时上传用户下载渠道、机型等信息,通过云控归因来决定要给用户展示什么样的应用界面。3.2 新应用形态风险问题3.2 新应用形态风险问题在去年白皮书中,我们提到随着泛应用的发展以及监管和厂商对应用侧的管控加强,移
21、动互联网中除 App 外其他应用形态的风险问题也值得关注。2022 年我们注意到当前移动互联网中另一种应用形态-快应用正处于快速发展阶段。快应用是一种基于行业标准开发的新型免安装应用,具有免安装、即点即用、节省空间等优势。得益于用户触达链路短、开发成本低、市场大力扶持等特点,快应用用户规模和开发者正处于高速增长中。当前快应用的用户、服务、内容三大生态均已形成一定规模,随之而来的是快应用中出现了诸多风险行为问题,严重侵害用户权益,阻碍行业生态健康发展。下面我们将介绍快应用中存在的风险问题。3.2.1 快应用中存在的风险问题3.2.1 快应用中存在的风险问题(一)快应用拉起行为问题(一)快应用拉起
22、行为问题快应用在用户不知情或无提示情况下被拉起主要包括两种形式:第一种形式,用户访问 Web 链接时拉起快应用;第一种形式,用户访问 Web 链接时拉起快应用;以下示例中用户在浏览器中访问某网页链接时,自动打开一款名为“XX 挑战”的快应用。第二种形式,App 内的广告自动跳转到快应用。第二种形式,App 内的广告自动跳转到快应用。以下示例中用户在第三方 App 内查看广告时未做任何操作自动跳转到广告推送的快应用。(二)快应用退出行为问题(二)快应用退出行为问题指用户尝试退出快应用时,如点击回退键或 Home 键,快应用无法关闭。(三)快应用广告行为问题(三)快应用广告行为问题在对快应用风险问
23、题进行分析检测的过程中,我们总结了以下三类广告问题:(1)快应用广告自动跳转(1)快应用广告自动跳转应用弹出的红包页会自动展示广告,具体表现为进入福利页时会弹出红包弹窗,在红包上方出现关闭图标后,自动跳转展示广告落地页。(2)快应用广告误触下载(2)快应用广告误触下载用户通过广告落地页拉起快应用后,进入小说阅读页面,然后自动触发广告点击,在未经用户同意的情况下跳转到应用市场下载安装目标 App。(3)快应用广告窗口无法关闭(3)快应用广告窗口无法关闭该应用通过外部链接拉起后直接弹出红包插屏,点击右上角返回按键或者手机的返回按键都无法退出快应用。(4)快应用广告诱导问题(4)快应用广告诱导问题开
24、发者通过红包、福利奖励的方式诱导用户点击领取奖励按钮,触发广告点击跳转应用市场下载推广 App。以下示例中,链接拉起快应用后弹出红包弹窗,以金币奖励诱导用户点击领取,当用户点击“开”按钮或者点击红包弹框后触发广告点击,自动跳转到应用市场下载推广 App。开发者通过频繁弹窗并放大广告点击按钮,或修改广告点击按钮描述引导用户点击广告。用户退出快应用时,快应用频繁弹窗,并将其中的“确认”、“点击领取”、“是”等按钮绑定为广告点击,当用户点击上述按钮后,跳转到广告推广页面。(四)快应用隐藏自身关闭菜单入口问题(四)快应用隐藏自身关闭菜单入口问题指用户从外部网页跳转进入快应用后,应用界面中的菜单栏被隐藏
25、。四、品类风险问题深度解析四、品类风险问题深度解析联合实验室除了关注移动互联网中存在的通用性风险问题外,还针对一些品类特有的风险问题进行深入的跟踪监测和研究。在这个过程中我们发现品类应用的风险问题与该品类特有的商业变现和业务模式存在一定的关联性。本章我们从品类视角出发,基于深入理解技术实现、产品功能、商业变现、行业产业生态的背景,对下沉交友品类、IAP 品类及网赚品类典型风险问题进行深度解析。4.1 下沉交友品类主要风险问题4.1 下沉交友品类主要风险问题下沉交友应用指的是面向三四线及以下群体的以男用户付费聊天为主要产品核心的陌生人交友应用。该品类的特点是男用户需要花钱才能和女用户交流,而女用
26、户不需要花钱,其中文字信息按条收费,语音和视频按分钟或者秒收费。4.1.1 公会诱导付费问题4.1.1 公会诱导付费问题对下沉交友应用而言,他们需要优质的女用户来留住男用户,并刺激男用户在平台多加充值消费。对黑灰产工作者而言,下沉交友行业这种在消费上的男女不平等性,让他们看到了商机,衍生出一类专门在该类应用中通过聊天、索要礼物来获利的职业-聊天员,以及大量招聘、培训女性“聊天员”以话术诱导男性用户付费或者送礼物的组织-公会。对这类包含重度社交属性的平台来说,公会的存在本身就涉嫌欺诈用户,既促使男用户在“聊天员”的专业话术诱导下非理性处理个人财产,又根本无法满足其交友需求和期待。公会雇佣的聊天员
27、还会以交换联系方式、线下见面为由不断向用户索要礼物,而因为其身份的特殊性非但不能满足用户的实际需求,还会对用户的感情和财产构成双重欺诈,因此这类应用经常收到大量用户投诉。我们在长期持续关注婚恋交友应用侵害用户权益行为的过程中发现,诱导消费、色情低俗等问题的出现与公会有着直接的关系,行业内公会渗透度越高,侵害用户权益的问题越普遍,公会是下沉交友应用侵害用户权益问题滋生的根源。由于不良公会的加入可以带来ARPU(每用户平均收入)的大幅提升,平台也会因此获益。在利益的驱使下,平台直接或间接与公会合作,雇佣女聊天员、使用聊天辅助工具,以“真实交友”之名,行欺诈获利之实,利用诱导用户充值、刷礼物等手段骗
28、取男性用户的钱财,下沉交友平台诱导消费、低俗问题频发的背后是下沉交友公会的算计和套路。与直播不同,交友通常是以一对一的形式出现,用户之间私密性更强,同时迫于监管的压力,下沉交友应用的公会一般没有专职的运营人员,直接由公会长负责女聊天员、代理的招募和培训。代理还可以发展二级代理,但受约定提成比例的限制,为了防止自身利润被稀释,鲜少有代理会招收多个下级,因此一般不会出现多层代理的情况。在利益分配、结算方式上,直播与下沉交友的公会也存在明显区别。直播行业的公会是合理合规的存在,直播平台可以直接与公会按照协议和流水数据进行结算,公会再对公会长、主播完成内部结算。据了解,直播的公会通常可以分配 60%7
29、0%的的利润,经过最终测算,主播收益基本维持在所有结算收入的 40%50%。而在本应为用户解决真实交友需求的下沉交友平台上,公会的存在并不合理,对于平台的用户来说也不具备价值。下沉交友平台为了规避监管风险,通常以线下的方式与公会、代理进行结算,为了让交友更“真实”,女聊天员则直接通过平台提现,从而实现财务上的“物理隔离”。在分配方面,平台、公会、代理以及聊天员分成比例一般维持在 5:1:1:3。对于中小型平台来说,引入公会可以极大缓解供给和需求两端的压力,公会借助自身资源优势统一招募、培训、管理旗下聊天员,快速提升平台 ARPU 值的同时也缩短了平台买量回收周期,平台则得以聚焦在平台功能开发和
30、买量推广上。一般情况下,在中小型平台上,公会往往拥有更高权重和话语权,同时也会得到一些平台给予的“特权”,比如账号解封、功能权限、流量扶持等,甚至还有部分平台帮助公会“筛选”大哥,就像“315”报道的案例中,用户成为平台和公会待收割的“韭菜”。4.1.2 应用推送机制具有明显诱导用户付费的目的4.1.2 应用推送机制具有明显诱导用户付费的目的除了公会问题外,安我们在持续检测和分析中发现,部分平台通过向用户频繁推送大量模板化消息,诱导用户回复或使用聊天功能,进而促进付费。这些行为有时候与应用内用户无关,并非女用户主动发起的消息搭讪或视频通话,而是开发者为了促使男用户充值付费,通过推送机制营造一种
31、平台内大量女用户积极主动的假象。下面是我们总结的一些推送机制有诱导用户付费目的的风险行为。(一)使用提前录制好的视频文件,向用户发起视频邀请(一)使用提前录制好的视频文件,向用户发起视频邀请在部分平台上,视频通话功能也需要按分钟计费,且一般由男用户向女用户支付,应用向男用户主动推送一些提前录制好的视频通话邀请,邀请人往往是男用户从未交流过的对象,邀请页面利用女性用户的视频诱导用户付费进行接听。以下图视频通话需要付费的交友应用为例,应用在用户使用过程中会主动弹出视频通话邀请,同时会展示录制好的女性视频,诱导用户付费接听,更有些应用在后台时也会频繁弹出视频通话邀请。以下图应用为例,用户在正常浏览时
32、,会收到提前录制的视频发起的视频通话邀请。(二)向用户推送的消息具有相同或高度相似的消息内容和形式,或者明显基于模板生成(二)向用户推送的消息具有相同或高度相似的消息内容和形式,或者明显基于模板生成部分交友类应用在用户注册、登录时推送大量的“交友信息”,这类信息发送频次高且有固定话术的痕迹,疑似平台为新注册用户“量身定制”并基于模板生成的自动化消息推送,以达到增加用户留存和诱导用户付费的目的。以下图为例,用户进入应用后短时间内收到大量打招呼消息,应用以非正常方式向用户发送陌生人打招呼消息,且回复消息需要收费。下图示例应用给用户发送的消息形式高度相似,有模板化痕迹。4.2 IAP 品类付费功能不
33、规范问题4.2 IAP 品类付费功能不规范问题IAP 品类指的是以应用内购买服务为主要收益来源的应用类型。这类应用主要通过其功能吸引用户,并设置付费功能,用户可以选择充值付费购买更多服务。涉及到用户资产的App 支付问题直接关系到用户的切身利益,该类风险问题也是联合实验室重点关注的问题之一。在长期持续关注 App 支付环节侵害用户权益问题的过程中我们发现,移动应用程序诱导付费、强制自动续费等严重侵害用户权益的行为曲解了产品付费的应有意义,造成用户财产受损,干扰了移动互联网生态健康发展。下面我们将分享 IAP 品类中付费功能不规范的问题。4.2.1 虚假特惠活动等宣传诱导付费4.2.1 虚假特惠
34、活动等宣传诱导付费虚假宣传诱导付费一般指应用以低价试用或免费试用作为噱头,吸引用户进行试用体验,实际是为了捆绑销售其他付费服务。具体表现形式有:(一)低价捆绑:以低价试用或免费试用诱导用户进行付费,但暗自捆绑了其他付费项目(一)低价捆绑:以低价试用或免费试用诱导用户进行付费,但暗自捆绑了其他付费项目下图所示案例为某小说 App,包含多款“会员试用套餐”均捆绑自动续费连续包月服务,如 7 天试用仅需 1 元,想要体验试用服务必须同意自动续费条款。(二)虚假特惠活动:一般指应用通过突出宣传引人误解的优惠信息,模糊或隐藏关键信息,引起用户对优惠活动的误解,诱导用户进行付费购买。具体有:(二)虚假特惠
35、活动:一般指应用通过突出宣传引人误解的优惠信息,模糊或隐藏关键信息,引起用户对优惠活动的误解,诱导用户进行付费购买。具体有:虚假限时:在活动期间,用户并未享受到实际的优惠价格,常见为倒计时促销等;虚假限额:宣传限量获得,但名额实际不受限;4.2.2 红包、提现等福利诱导用户订阅自动续费服务4.2.2 红包、提现等福利诱导用户订阅自动续费服务我们发现有些应用会以提现、领取现金、领取红包或优惠福利等词条来诱导用户并通过精心设计的福利页面来降低用户警惕,诱导用户订阅自动续费服务。这种风险问题表现方式如下:(1)提现诱导:应用以红包提现诱导用户授权订阅第三方支付平台自动续费服务。(2)优惠福利诱导:应
36、用提供虚假的优惠福利并设置倒计时,来诱导用户授权订阅第三方支付平台自动续费服务。下图示例的网赚应用以自动提现诱导用户授权第三方支付平台,用户同意后跳转到伪造的第三方支付平台自动续费签约页面,然后使用虚假的红包奖励和优惠福利作为诱饵,设置倒计时诱导用户点击。当用户点击同意签约,跳转到真正的第三方支付平台自动续费签约页面,此页面中的服务介绍只有扣款内容,并没有福利相关说明,但因为上一步的伪造页面与当前页面极为相似,容易导致用户信以为真,或疏忽了扣款内容,签订了自动续费服务。首次进入该应用会有红包弹窗,每次通关游戏后也会有红包奖励弹窗。点击应用内的任何红包或提现按钮会有提现弹窗提示,要求授权第三方支
37、付平台后才能自动提现。点击确认按钮后会先跳转到应用内自建的伪装第三方支付平台签约的页面,在该页面的服务详情中会显示应用内设置好的福利说明,但该福利实为虚假福利。此外,该页面还会设置倒计时和高亮显示,用户点击后跳转真正的第三方支付平台签约页面。若用户没有点击行为,倒计时结束后也会进行自动跳转。4.2.3 自动续费设置不规范4.2.3 自动续费设置不规范在长期持续关注 App 支付环节侵害用户权益行为的过程中我们发现,应用为提高用户的付费率、续费率,利用低价或免费使用的噱头,捆绑用户开通自动续费服务,续费前无提醒且难以取消,严重侵害用户权益,造成用户财产受损,遭到用户大量投诉。具体表现形式有:(一
38、)续费前无提醒(一)续费前无提醒该问题指的是部分应用续费扣款前 5 日,无明确的续费提示信息。据媒体报道和用户投诉情况,大量用户在 App 自动续费、扣款前没有收到任何通知或提醒,在不知不觉中就被扣了款,造成财产损失。我们在对 App 抽样检测、调研中发现,大量 App 无论是在支付购买页面还是相关协议中均未提到扣费提醒相关信息。(二)续费取消难(二)续费取消难该问题指部分应用未提供独立的自动续费管理或取消功能,或虽提供该功能但是位置隐蔽。App 自动续费取消难也是用户投诉主要问题之一,我们发现 App 未提供独立的自动续费管理入口或取消功能的情况较为普遍,有些 App 虽然提供该功能但是位置
39、非常隐蔽,取消方式复杂,操作难度大。下图示例,某漫画 App 页面上,没有向用户提供取消订阅(续费)模块,取消订阅需查看自动续费协议,且隐藏较深,用户需进行大量复杂的操作才能取消。据用户投诉情况,即使按照提示顺利取消,仍然被扣费。4.2.4 价格欺诈4.2.4 价格欺诈我们发现,部分应用开发者为提高用户的付费率收益,在产品服务购买、支付阶段,利用云控算法区别定价、低价诱导高价结算等价格欺诈手段诱导用户付费,严重侵害用户权益,造成用户财产受损,遭到用户大量投诉。应用价格欺诈行为常见形态主要有以下两类:(一)云控算法,区别定价:应用在未标明交易条件的前提下,通过云控算法等技术手段,同一功能或服务对
40、不同用户制定不同的价格,导致用户权益受损。(一)云控算法,区别定价:应用在未标明交易条件的前提下,通过云控算法等技术手段,同一功能或服务对不同用户制定不同的价格,导致用户权益受损。在某节拍器 App 中,未标明交易条件的前提下,就同一会员服务,在同一时间,对不同的用户实行区别定价。同样是“永久会员”,向不同用户分别定价 162 元和 110 元。经过分析发现,该应用在本地存在定价配置文件,该配置文件也可随时通过云端更新,里面包含了共 13 种价格组合。云端还会更新定价配置逻辑,每次新用户安装,会随机选择一种定价组合。(二)低价诱导,高价结算:应用不标示或者显著弱化标示实际价格,以低价诱骗消费者
41、,以高价进行结算。(二)低价诱导,高价结算:应用不标示或者显著弱化标示实际价格,以低价诱骗消费者,以高价进行结算。某扫描 App 会员购买界面上,以 0.01 元/月的价格诱导用户进行付费,弱化实际结算价格,用户在付款时稍不注意就会支出超出预期的费用。4.3 网赚品类主要风险问题4.3 网赚品类主要风险问题网赚应用指的是用户通过完成指定的任务获取现金回报,而应用运营者则主要通过流量投放实现变现的一类应用。这类应用“提现”来吸引用户进行任务,比如让用户看数条视频后可提现等等。无论网赚应用的任务是玩游戏还是看视频又或者是充电、走路等,用户在完成这些任务过程中都是要看广告的,广告收益就是这类应用的主
42、要收益来源。我们发现部分网赚应用为了快速回本、增大收益,试图在各个环节增加用户提现难度,如设置假提现、不一次性明示提现规则,甚至部分应用还会使用欺诈性的广告素材,在用户身上获取更高的收益,更有甚者,还会出现上文中我们提及的诱导用户订阅自动续费服务问题。4.3.1 假提现4.3.1 假提现“假提现”指的是某些做任务赚钱类 App 在用户达到其宣称的提现标准时却告知还需完成其他任务方可提现,以不断增加提现条件,设置提现门槛等方式迫使用户投入更多时间使用其 App 的现象。在应用商店根据提现相关的关键词进行检索得出数据,此类 App 在架的有 908 款,负面评价用户数量多达 20033 人。此类应
43、用最初以小额提现秒到账的方式吸引用户使用,但在大额提现时通过屡次设置虚假条件欺骗用户,给用户营造一种很快就能提现的错觉,这样即使难度增加,用户也不想放弃现有的奖励,之后在提现阶段通过各种不合理途径拒绝给用户支付。实际上,App 运营商只需以最初支付的小额提现的成本即可获得高于该成本几十倍的利润,然而用户却白白耗费时间和精力做任务、看广告,沦为其营利工具。以下为“假提现”的示例:(1)达到提现门槛之前,提现页面截图提现界面宣称“满多少提多少”,当选择提现 300 元时,页面下方显示提现条件为“余额满足 300 元”,并未提示其他附加条件;(2)达到门槛后,提现页面截图当用户余额达到 300 元后
44、,提现条件变为“连续签到 5 天”;(3)即使用户完成签到任务,提现条件可能还会增加“邀请好友”等其他任务,以此类推,层层加码,不断为用户设置更多的提现门槛。4.3.2 未一次性明示提现规则4.3.2 未一次性明示提现规则“未一次性明示提现规则”指的是应用未在提现界面直接告知用户完整的提现规则,用户需要去其它地方才能查看完整的提现规则。此类应用一般只在提现页面展示较为容易实现的提现条件,而实际用户提现还有其它的条件需要达到。以下为相关示例:(1)提现页面只展示金额达成条件,但是实际在用户协议中还有其它条件未展示。(2)有些应用的提现页面虽然为用户提供了查看完整提现规则的快捷入口,但提示形式依然
45、不够显著。用户不一定会去点击或者去其它地方查看相关的规则,并没有对用户造成很好的明示作用。4.3.3 欺诈性广告素材4.3.3 欺诈性广告素材(一)话费券广告(一)话费券广告此处的话费券广告指的是应用内出现以【充值 19.9 元得 100 元话费】为噱头吸引用户付费的广告,然而用户实际获得的并非“话费”,而是碎片化的“话费券”(可能是 20 张5 元充值券),并且充值时有严格的限制条件,如:必须下载特定应用,在该应用内进行充值才能使用优惠券、每次充值必须达到 100 元才能使用一张 5 元优惠券。且整个充值流程对用户权益没有保障,当用户反悔想要退还已充值钱款时无法找到退还渠道,申诉无门。在违规
46、投诉平台使用关键词“话费券”进行检索,得到 13908 条投诉结果,其中大部分投诉问题为“话费券并未到账”。以下为相关示例:(1)应用内完成签到时弹出“充值 19.9 元得 100 元话费”的广告(1)应用内完成签到时弹出“充值 19.9 元得 100 元话费”的广告(2)点击进入后却显示获得的是“话费券”(2)点击进入后却显示获得的是“话费券”(二)盲盒广告(二)盲盒广告某互动广告页面,无论抽到哪个奖品均显示【恭喜砸出大奖】,让用户误以为自己中奖,只需支付 39 元即可领取价值几千元的手机。然而实际上,用户支付的 39 元获取到的仅为一次抽奖机会,奖品形式为随机盲盒,并非广告引导的手机类奖品
47、,且盲盒不支持退换。以下为相关示例:(1)抽奖池显示奖品均为手机;由广告页面可知供应商名为“XX 盒子”(2)只要点击“免费抽奖”就会出现【恭喜中奖】界面,提示【付款 39 元即可提货】,奖品页面的手机图片具有误导性五、总结五、总结2022 年,安天移动安全-OPPO 联合实验室在坚持安全普惠原则,协同移动互联网中多方共同构建移动互联网风险应用体系。凭借十余年的技术积累和实战经验,与监管部门、手机厂商等产业伙伴一同深度配合,积极参与到产业安全洞察、终端应用检测、应用市场上架审核等多个重要环节,最终通过应用安全治理为终端消费者使用 App 时的自身权益保驾护航。但是应用治理只是作为一种手段,而不是目的,最终目的是通过建立基于“良赢治理”,促进产业良性发展并在保障用户利益、增强用户体验的前提下,形成围绕移动互联网产品和服务质量的良性竞争生态,达成个人用户、企业、社会和国家机构的多方共赢目的。本报告最终目的是期望以此引发生态各方对现今的移动终端用户权益和应用安全风险现状的讨论,共同推进移动互联网应用生态的净化发展。