一名研究生Lin Chen在臉書社團「Android Developer開發讀書會」分享親身經歷指出,他因為兩年前開發現在已下架的app遭到警方搜查,原來是該app被有心人士改造植入後門,再盜用他人帳號在Google Play重新上架,因帳號被盜者控告「妨害電腦使用」而被牽連。此事也在網路上引發討論。
根據Lin Chen的說明,7月30日偵九隊持搜索票上門要求配合搜查,使他一頭霧水。經過警方的說明終於瞭解,原來是他曾在2013年前開發的記帳app惹禍,這是他第一次在Google Play上架的app,該app經過兩次更新後,2013年底已從Google Play下架。
但警方告知,這個app還在網路上流傳,且被人盜用他人帳號重新上架到Google Play。因被盜用帳號者提告,警方依「妨害電腦使用」展開搜調行動,Lin Chen推論警方可能是以多年前參加app比賽的資料循線追查上門。另外,當初app下架後未取消使用的廣告ID,警方懷疑他因此獲利和盜用帳號的犯罪者有關。
警方比對Lin Chen的原始APK檔和重新上架版本,發現重新上架版本和原版的package name只差了一兩個字母,而且被嵌入了後門程式,每隔20到60秒就會傳送手機資訊(帳密或個資)到後端伺服器,追查伺服器IP位址來自中國。
換言之,這款下架的app被人盜用,並且改造嵌入後門程式以竊取使用者手機內的資料,警方好心提醒Lin Chen可使用ProGuard混淆代碼保護app,但最後該案還是被移交地檢署偵辦。
對於該案例,記者詢問刑事局偵九隊想瞭解事件的前因後果,但偵九隊以偵查不公開回應。
網友:混淆代碼避免app遭盜用,警方應從Google Play著手調查
這個案例引發不少網友的討論,有人建議除了ProGard外也可使用dexguard混淆代碼,或是利用NDK來隱藏字串,提高app的防護性,降低被盜用的可能。
網友Kny Chen則認為ProGuard混淆代碼只能提高盜用app難度,舊的app要重新的Google Play上架需要新的package name,而且需帳號才能申請上架,相關的信用卡、連線紀錄等等。他認為警方應從Google Play調查幕後的黑手,而非透過Lin Chen。
另外,Kny Chen在自己的貼文分享這個案例指出,Lin Chen當初沒有取消廣告ID,所以被懷疑重新上架app謀取廣告利益,他建議app開發時應慎選廣告套件,不要亂掛廣告套件或接受奇怪的合作案,輕者違反平台政策被下架,重則可能因廣告公司違法而受到調查牽連。
趨勢科技:盜用app盛行,開發者宜自保、養成良好習慣
在Lin Chen的案例中,實際上他的app被人盜用改造為含有後門的程式,他也是受害者,被不法份子盜用其app,再盜用第三者帳號重新在Google Play上架而受到牽累。
事實上,趨勢科技去年公佈研究資料顯示,Google Play前50大熱門免費app有近8成都有山寨版本,山寨app以假亂真吸引使用者安裝,而且51%含有惡意程式,即使沒有惡意程式,可能也含有越權的廣告程式。
這些山寨app不少來自改造正版app,將其重新包裝後嵌入惡意程式,讓使用者誤以為是正版app下載安裝,不法者就能竊取使用者手機內的資料,或是可能在使用者未察覺的情形下,偷偷使用高額的電信服務獲利。先前造成熱門的遊戲Flappy Bird曾被作者下架,不法者就趁此機會推出木馬版本,誘騙不知情的使用者下載。
就Lin Chen的案例,趨勢科技建議開發者自保之道,一方面可從app的保護著手,可利用代碼混淆增加盜用者人工分析的難度,或是Packer對app加上一層保護殼,保護原始可執行文件使其不容易被讀取,也可以在軟體中加入唯一特徵,使執行時自動校驗軟體的合法性。
另一方面,已經下架的app應取消或關閉相關服務,像是廣告ID、支付類服務等等,以避免產生不必要的麻煩。以Lin Chen的app被盜用後,盜用者沒有關閉廣告ID來看,即使開發者已將app下架仍應繼續關注使用的廣告帳戶,如果發現有異常的金額出入,代表app可能被改造重新散佈,開發者應提高注意。
開發者選擇SDK時,往往考慮方便性居多,但趨勢科技認為也要考慮法律風險,如果開發者選擇了一個具惡意行為的SDK,對其用戶造成影響,不論開發者有意或是無意,連帶負擔一些責任,同時還影響到開發者本身信譽,因此最好選擇信譽好、規模大的第三方SDK,建議可以參考相關資料。
法律專家:多舉證證明清白
這個案例是因為被盜用Google帳號者提告,警方依「妨害電腦使用」進行調查,因而循線找上app的原始作者Lin Chen,而經過比對發現原始app被改造含有後門程式,且package name不同,Lin Chen的app被盜用改造,他自己也是受害者。
對此,益思科技法律事務所律師賴文智表示,被盜用帳號者提出違反刑法第358條「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」告訴,該案件由偵九隊協助初步偵查,由於有心人士盜用開發者帳號上架app為Lin Chen開發但已下架的app,所以偵九隊將該名網友列為嫌疑人,通知網友到案說明。
他認為從個案來看,這是單純的帳號盜用案件,只要找到實際盜用的「行為人」案情就能水落石出,但「行為人」並不易找到,因此警方先懷疑該網友是「行為人」,這在犯罪偵查上是正常的程序,依犯罪嫌疑人一一調查排除。問題是警方是否認識到上架到Google Play的app,其他人要取得APK檔並不困難,所以除了該名網友,其他人也可能是盜用帳號的真正「行為人」,警方有責任依其他線索繼續調查,例如依行動廣告追查受益者身份,善盡調查責任。
至於網友認為警方應該從Google Play等其他方向調查,不應由該名網友自己證明清白,賴文智表示,雖然依照「無罪推定原則」,被告確實沒有自證清白的義務,若檢察官無法確認犯罪嫌疑人確實參與犯罪,則應為不起訴處分。但還是建議該網友盡量提出對自己有利的證明,如app的廣告收益受益人另有其人、自己沒有犯罪動機、找尋專家證人證明他人容易取得APK檔修改等等,以免成為他人犯罪的替罪羔羊。
至於廣告ID沒有取消,且被插入後門程式,網友可向檢察官說明真正犯罪者的目的並非取得廣告收益,而是竊取他人個資或控制他人手機等等,但不能證明自己沒有參與犯罪,因為網友自己也可能從事此行為。他建議還是找專家證人證明不是改造版app開發者,依無罪推定原則來處理這個案件。先前曾有著作權侵害案件,檢察官找來中華電信人員證明家中無線AP若未設保護措施,可能遭他人盜用從事侵害著作權的行為,因為沒有辦法證明著作侵害行為是該AP管理者所為,最後做出不起訴處分。