OPPO&安天移動安全：移動互聯網風險應用白皮書（2022）（42頁）.pdf

《OPPO&安天移動安全：移動互聯網風險應用白皮書（2022）（42頁）.pdf》由會員分享，可在線閱讀，更多相關《OPPO&安天移動安全：移動互聯網風險應用白皮書（2022）（42頁）.pdf（42頁珍藏版）》請在三個皮匠報告上搜索。

1、目錄目錄一、引言.4二、應用風險問題的變化.6一、引言.4二、應用風險問題的變化.62.1 廣告彈窗問題.62.2 應用內容問題.82.3 應用功能及服務規范問題.102.4 應用支付和用戶資產風險問題.11三、新風險問題的發現.12三、新風險問題的發現.123.1 App 側新風險問題.123.1.1 線下分發渠道應用存在的風險問題.123.1.2 應用為繞過審核上架使用不實描述.153.2 新應用形態風險問題.163.2.1 快應用中存在的風險問題.17四、品類風險問題深度解析.22四、品類風險問題深度解析.224.1 下沉交友品類主要風險問題.224.1.1 公會誘導付費問題.234.1

2、.2 應用推送機制具有明顯誘導用戶付費的目的.254.2 IAP 品類付費功能不規范問題.274.2.1 虛假特惠活動等宣傳誘導付費.284.2.2 紅包、提現等福利誘導用戶訂閱自動續費服務.294.2.3 自動續費設置不規范.314.2.4 價格欺詐.334.3 網賺品類主要風險問題.354.3.1 假提現.364.3.2 未一次性明示提現規則.374.3.3 欺詐性廣告素材.39五、總結.42五、總結.42一、引言一、引言近年來，安天移動安全-OPPO 安全聯合實驗室（下稱：聯合實驗室）一直致力于發現、識別和監測移動安全問題和移動終端用戶安全威脅的變化形態和發展趨勢，持續圍繞移動終端側的

3、App 實現了應用的安全性判定和檢測體系建設；并且基于此，以歷年的移動安全年報對外披露當年的移動應用威脅變化態勢情況。圖 移動互聯網生態和安全威脅發展概覽圖 移動互聯網生態和安全威脅發展概覽近年來，國家監管針對移動互聯網 App 的一系列專項治理行動，包括個人信息保護、用戶權益、未成年人權益、不良應用/快應用/小程序/SDK、數據安全等等。這也促使我們從更廣泛的用戶安全視角重新思考。因此，安天移動安全-OPPO 安全聯合實驗室結合從移動終端用戶權益保護、移動互聯網產業鏈生態良性發展的視角出發，重新審視和評估移動互聯網應用的安全問題。我們發現，整個移動智能終端下的應用威脅呈現泛化趨勢，其中包括應

4、用威脅形態的隱蔽化和多樣化，并且從 App 到 Hybrid App/快應用/應用 SDK/WAP 站/Web 應用等泛應用形式。此外，這些潛在的應用風險問題一定程度上與移動互聯網生態發展中出現的野蠻生長、黑暗森林模式有關，其最終將導致用戶權益受損，形成“劣幣驅逐良幣”不健康的生態發展導向等諸多問題。安天移動安全-OPPO 安全聯合實驗室（下稱：聯合實驗室）對移動互聯網應用的風險性問題進行了標準化的定義、分類，以及建立了科學的評估方法，基于此在過去兩年間針對移動互聯網生態下部分垂直行業的應用進行了分析評估，發現了大量的問題及案例。應用風險分類和風險問題示例應用風險分類和風險問題示例上述的部分應

5、用風險問題也在近兩年的 3.15 晚會上作為熱點問題向公眾曝光，例如誘導老人下載 App 的廣告彈窗屬于應用存在用戶權益風險問題；直播平臺男運營冒充女主播過度索取禮物屬于應用存在支付和用戶資產風險問題并涉及誘導付費和欺詐。這些問題隨著近兩年國家監管的治理、媒體的曝光以及生態各方的協作呈現出一定的緩解趨勢。2022 年 12 月 12 日，中央網信辦發文關于部署開展“清朗移動互聯網應用程序領域亂象整治”專項行動。我們結合文件相關要點以及過去一年發現的移動互聯網應用風險重點問題進行披露如下。二、應用風險問題的變化二、應用風險問題的變化移動互聯網風險應用白皮書（2021）中我們總結了當前移動互聯網生

6、態中一些普遍存在的行業共性風險問題以及部分垂直品類生態中特有的風險問題，并在 2022 年間協同各方監管部門對這些風險問題進行了一系列專項治理行動。本章節將著重介紹 2022 年聯合實驗室在廣告彈窗問題、應用內容問題、應用功能及服務規范問題以及應用內支付和用戶資產風險問題這四類較嚴峻的風險問題上的工作情況以及這些問題的發展變化。2.1 廣告彈窗問題2.1 廣告彈窗問題廣告流量變現是移動互聯網行業一種常見的變現模式，尤其在工具和網賺品類中，這種盈利模式更為普遍，相應地廣告彈窗問題在這兩類應用中也最為突出。繼 2021 年“央視 3 15晚會”曝垃圾清理類 App 針對終端用戶頻繁推送廣告的現象后

7、，2022 年“央視 315 晚會”特別報道了“免費 WIFI”類應用彈窗廣告、誤觸下載等問題，2022 年監管相關發文中，也多次提及要加強對應用彈窗問題的治理，足以看出監管部門治理廣告彈窗問題的決心。以下是我們總結的四類常見廣告彈窗問題：應用外廣告彈窗問題應用的廣告彈窗存在欺騙、誤導和強迫形式應用推送的廣告存在誤觸下載行為應用頻繁彈出廣告我們通過研究這類風險問題的實現原理，監控其技術衍變，形成一套高效精準的廣告問題發現體系。支撐手機廠商終端部門加強終端識別及管控能力，推進應用市場優化該類風險問題的審核機制。2022 年年中，應用市場審核規范中首次提出不再收錄清理類應用，各大手機廠商從年初開始

8、逐步加強終端應用外廣告彈窗的管控。清理類應用的應用外廣告彈窗整體呈下降趨勢?；仡?2022 年，我們發現有部分開發者通過對 App 代碼進行混淆加固，利用云控歸因策略企圖繞過終端管控限制、安天發現體系和應用市場審核機制。隨著安天移動安全、手機廠商和有關監管部門的持續努力，2022 年 9 月之后，清理品類中的應用外廣告彈窗問題得到明顯遏制。清理品類主要風險問題為應用外廣告彈窗問題，其他三類廣告彈窗問題相對較少。但該三類問題在移動互聯網中更為普遍，網賺品類中也存在類似風險問題。隨著今年安天移動安全聯合監管、手機廠商和安全廠商等相關單位開展基于清理品類廣告彈窗風險問題的治理專項行動，在 App 側

9、該類風險問題得到明顯改善，在包括清理品類等各類應用中廣告彈窗風險行為都有顯著減少。在關注到 App 側廣告彈窗問題減少的同時，我們也留意到泛應用中的廣告問題在逐步顯露。部分開發者意識到 App 側的管控加強后，轉向其他監管目前比較薄弱的應用形態，導致泛應用中的風險問題增多。在新應用形態風險問題一章中我們將詳細介紹快應用中出現的風險問題。2.2 應用內容問題2.2 應用內容問題應用內容問題分為兩類，一是應用運營方主動提供違反法律法規的模塊功能，二是應用運營主體內容審核工作不到位，導致應用內存在違反相關法規要求或給對用戶身心造成不良影響的內容。從落實責任主體的角度來看，此二類問題的管控仍然為應用運

10、營方的責任。在去年白皮書中我們提到過的風險問題中，屬于應用內容問題的有以下幾類：應用內提供博彩模塊應用內提供色情模塊應用內存在低俗色情內容應用廣告內容問題應用內容問題長期以來都是監管部門關注的重中之重，但在暴利面前，仍有不少開發者不斷試探監管紅線。我們發現交友類用中關于低俗色情內容的風險問題呈現快速發展的態勢。部分陌生人交友類應用為了提高男用戶留存率以及充值付費率，主動降低內容審核要求，導致應用內充斥低俗色情內容，給移動互聯網應用生態造成極大負面影響。除了應用開發者主動提供博彩色情模塊以及內容審核要求不嚴謹導致應用內存在低俗色情內容的風險問題外，我們在持續監控分析應用內容風險問題發展變化過程中

11、發現應用內容問題廣告問題與某些商業廣告 SDK 有關。下圖示例中網賺應用展示的廣告由某商業 SDK 下發，添加廣告中的微信號后，會被引流到某博彩平臺。下圖示例中清理工具類應用中的色情應用廣告由某商業廣告 SDK 下發。在應用廣告內容問題上，我們還發現網賺品類中出現大量有誘導欺詐性內的廣告內容問題，這類廣告以“中獎”、“抽獎”、“紅包”等帶有誘導性的文字或圖片吸引用戶點擊，用戶進入后隨即跳轉到第三方網站，通常為盲盒或話費券抽獎，存在極大的欺詐風險。這些問題我們將在品類風險問題深度解析一章進行詳細分析介紹。2.3 應用功能及服務規范問題2.3 應用功能及服務規范問題出于對用戶知情權的保障，應用應該

12、在用戶第一次進入使用時如實告知用戶應用提供的功能和服務細則。在對應用風險問題的發現和界定過程中，我們定義了以下三類應用功能及服務不規范的風險問題：應用在桌面隱藏圖標入口應用提供的功能是虛假的應用設置提現障礙問題在對這類問題的跟蹤過程中我們發現，這類問題往往出自 IAA 品類。流量品類應用具備變現周期短，留存率低，應用開發門檻低等特點，因此這類應用的開發運營者最終目的在于提高短期收益，不在乎應用是否能長期發展，在這種背景下應用功能及服務不規范的問題屢禁不止。2022 年網信辦開展的“清朗”活動中，明確強調要嚴格規范功能設置，從嚴查處應用程序惡意隱藏相關功能的行為，如設置透明圖標等，同時要求打擊各

13、類應用程序以賺錢為幌子欺騙用戶下載使用，設置多種提現障礙。同年工信部發布的工業和信息化部關于進一步提升移動互聯網應用服務能力的通知（征求意見稿）中也對應用功能及服務規范提出了類似要求。根據對風險問題邊界的界定和違規代碼特征的分析，安天移動安全的特征代碼檢測工程體系從審核取證和應用檢出兩個層面，對隱藏圖標入口和提供虛假功能的應用進行了治理。2022 年上半年，工具品類應用屢次被曝光存在隱藏圖標問題，9 月份以后隨著監管及廠商管控力度的縮緊，工具品類行業審核門檻的提高，行業逐漸走向健康發展，依賴這些風險問題進行暴力變現的開發者正逐漸減少，這類違規問題也隨即淡出了我們的視線。應用設置提現障礙問題則主

14、要出現在網賺應用品類，網賺品類作為一種極具特色的 IAA品類，不僅應用廣告彈窗問題頻發，還存在其獨特的應用功能及服務不規范的風險問題。我們在第三章品類風險問題深度解析中將會詳細介紹。2.4 應用支付和用戶資產風險問題2.4 應用支付和用戶資產風險問題應用支付和用戶資產風險是指應用使用誘導、欺詐、迷惑、操縱等手段，或者內置非法的支付平臺，令用戶暴露在財產安全風險之下。在我們提到的風險問題中，有以下問題歸納在應用支付和用戶資產風險問題中：應用存在誘導付費行為虛假宣傳并欺騙誘導用戶消費應用內存在擦邊博彩的游戲玩法作為與用戶切身利益緊密相關的問題，用戶資產安全問題一直是聯合實驗室關注的核心風險問題之一

15、，同時也是各監管部門和終端廠商密切關注的問題。2022 年 12 月“清朗”行動中明確提到要嚴厲打擊誘導充值，堅決打擊部分應用程序惡意借虛假免費試用、特惠活動或異性聊天等誘導用戶付費的行為。移動互聯網風險應用白皮書（2021）中提及的誘導付費問題主要指社交交友品類中存在大量誘導用戶充值付費的現象。在對這類問題的持續跟蹤監測中，我們發現這種誘導付費行為可以細分為兩類：一類是社交交友應用內存在女性用戶有組織地誘導男性用戶充值付費的行為，這類行為跟社交交友行業中“公會”這一角色密不可分；另一類是社交交友應用開發者在設計平臺運營策略和推送機制時，有意地通過一些手段誘導用戶進行充值付費，這種誘導付費問題

16、我們將在接下來的品類風險問題深度解析章節中分享。除了在下沉交友上的誘導付費問題外，我們還發現了更多的 IAP 品類應用中付費功能不規范的問題。同樣將在在接下來的品類風險問題深度解析章節作具體分析。三、新風險問題的發現三、新風險問題的發現當前移動互聯網生態中除 App 外，小程序、快應用等泛應用以及 SDK、插件等互聯網信息服務提供主體也存在不少風險問題。在 2022 年的監管部門發文和通報中也多次提及要規范包括 App、小程序、快應用以及 SDK 和插件等在內的服務提供主體的行為。本章節將介紹2022年我們新關注到的，在當前移動互聯網生態中頻發的一些風險問題，這些風險問題包括 App 側新風險

17、問題以及新的應用形態-快應用相關的風險問題。3.1 App 側新風險問題3.1 App 側新風險問題3.1.1 線下分發渠道應用存在的風險問題3.1.1 線下分發渠道應用存在的風險問題移動互聯網風險應用白皮書（2021）移動互聯網風險應用白皮書（2021）中提到部分開發者針對生態治理使用渠道分發對抗手段，利用線上和線下分發渠道的應用審核及管控力度存在差異性這一特點，實現只在線下分發不合規版本、套戶等一系列違規行為?？梢?，不受應用市場上架審核規范限制的線下分發渠道給部分非良性開發者更多的可乘之機。在今年的檢測治理工作中，我們發現一類線下分發渠道應用，存在嚴重的應用內廣告內容問題。在網賺品類中，有

18、一類應用要求用戶分享應用內容到社交平臺并獲取到有效閱讀后才能獲得獎勵并提現，我們將這類應用稱為分裂式網賺。這類應用有兩種特點：一是這類應用不在主流渠道分發，包括各大應用市場和廣告平臺，而是通過線下 App 網站分發。這類應用由網站站長收集并提供應用下載二維碼或下載鏈接，通過這種渠道下載下來的用戶及由這些用戶分享裂變出去的用戶都將是二維碼或下載鏈接提供者的下級用戶，其收益都將被抽成一部分給站長。二是這類應用不像普通網賺應用使用大量廣告位，通過用戶觀看點擊廣告來獲取收益并分潤給用戶，而是通過分享鏈接的廣告盈利。因為使用站長渠道下載出來的這類應用內的文章內容都是正常資訊，但是分享之后的鏈接會呈現黑五

19、類廣告。下方圖一圖二為這類分裂式網賺分發網站截圖及下載頁面，圖三為應用下載完成后打開界面，可以看到這里的應用界面沒有廣告，組成模塊也很簡單，主要分為“文章內容模塊”“搜索模塊”“邀請獎勵模塊”“提現模塊”。圖四為當其他用戶點擊該應用的用戶分享到社交平臺的文章鏈接后展示頁面，可以看到出現了黑五類廣告。(圖一)(圖一)(圖二)(圖二)(圖三)(圖四)(圖三)(圖四)3.1.2 應用為繞過審核上架使用不實描述3.1.2 應用為繞過審核上架使用不實描述由于網賺應用侵害用戶權益的風險問題頻發，多家應用市場不斷縮緊對此類應用的審核規范。OPPO、vivo、華為、百度等應用市場規范中明確提到了多條針對網賺類

20、應用的要求。我們發現部分網賺應用開發者為了繞過應用市場審核上架，使用了不實的應用描述和應用標簽，并結合云控歸因針對不同渠道下載的用戶展示不同形式的應用。下圖所示案例中的應用的文字介紹和內容圖片均顯示這是一款與農業相關的知識工具類 App，直接通過應用市場下載的應用是與描述相符的產品。通過點擊頭條廣告跳轉應用市場下載的應用則變成了一款模擬經營類的網賺應用。背后的實現原理是開發者在用戶首次運行時上傳用戶下載渠道、機型等信息，通過云控歸因來決定要給用戶展示什么樣的應用界面。3.2 新應用形態風險問題3.2 新應用形態風險問題在去年白皮書中，我們提到隨著泛應用的發展以及監管和廠商對應用側的管控加強，移

21、動互聯網中除 App 外其他應用形態的風險問題也值得關注。2022 年我們注意到當前移動互聯網中另一種應用形態-快應用正處于快速發展階段?？鞈檬且环N基于行業標準開發的新型免安裝應用，具有免安裝、即點即用、節省空間等優勢。得益于用戶觸達鏈路短、開發成本低、市場大力扶持等特點，快應用用戶規模和開發者正處于高速增長中。當前快應用的用戶、服務、內容三大生態均已形成一定規模，隨之而來的是快應用中出現了諸多風險行為問題，嚴重侵害用戶權益，阻礙行業生態健康發展。下面我們將介紹快應用中存在的風險問題。3.2.1 快應用中存在的風險問題3.2.1 快應用中存在的風險問題（一）快應用拉起行為問題（一）快應用拉起

22、行為問題快應用在用戶不知情或無提示情況下被拉起主要包括兩種形式：第一種形式，用戶訪問 Web 鏈接時拉起快應用；第一種形式，用戶訪問 Web 鏈接時拉起快應用；以下示例中用戶在瀏覽器中訪問某網頁鏈接時，自動打開一款名為“XX 挑戰”的快應用。第二種形式，App 內的廣告自動跳轉到快應用。第二種形式，App 內的廣告自動跳轉到快應用。以下示例中用戶在第三方 App 內查看廣告時未做任何操作自動跳轉到廣告推送的快應用。（二）快應用退出行為問題（二）快應用退出行為問題指用戶嘗試退出快應用時，如點擊回退鍵或 Home 鍵，快應用無法關閉。（三）快應用廣告行為問題（三）快應用廣告行為問題在對快應用風險問

23、題進行分析檢測的過程中，我們總結了以下三類廣告問題：（1）快應用廣告自動跳轉（1）快應用廣告自動跳轉應用彈出的紅包頁會自動展示廣告，具體表現為進入福利頁時會彈出紅包彈窗，在紅包上方出現關閉圖標后，自動跳轉展示廣告落地頁。（2）快應用廣告誤觸下載（2）快應用廣告誤觸下載用戶通過廣告落地頁拉起快應用后，進入小說閱讀頁面，然后自動觸發廣告點擊，在未經用戶同意的情況下跳轉到應用市場下載安裝目標 App。（3）快應用廣告窗口無法關閉（3）快應用廣告窗口無法關閉該應用通過外部鏈接拉起后直接彈出紅包插屏，點擊右上角返回按鍵或者手機的返回按鍵都無法退出快應用。（4）快應用廣告誘導問題（4）快應用廣告誘導問題開

24、發者通過紅包、福利獎勵的方式誘導用戶點擊領取獎勵按鈕，觸發廣告點擊跳轉應用市場下載推廣 App。以下示例中，鏈接拉起快應用后彈出紅包彈窗，以金幣獎勵誘導用戶點擊領取，當用戶點擊“開”按鈕或者點擊紅包彈框后觸發廣告點擊，自動跳轉到應用市場下載推廣 App。開發者通過頻繁彈窗并放大廣告點擊按鈕，或修改廣告點擊按鈕描述引導用戶點擊廣告。用戶退出快應用時，快應用頻繁彈窗，并將其中的“確認”、“點擊領取”、“是”等按鈕綁定為廣告點擊，當用戶點擊上述按鈕后，跳轉到廣告推廣頁面。（四）快應用隱藏自身關閉菜單入口問題（四）快應用隱藏自身關閉菜單入口問題指用戶從外部網頁跳轉進入快應用后，應用界面中的菜單欄被隱藏

25、。四、品類風險問題深度解析四、品類風險問題深度解析聯合實驗室除了關注移動互聯網中存在的通用性風險問題外，還針對一些品類特有的風險問題進行深入的跟蹤監測和研究。在這個過程中我們發現品類應用的風險問題與該品類特有的商業變現和業務模式存在一定的關聯性。本章我們從品類視角出發，基于深入理解技術實現、產品功能、商業變現、行業產業生態的背景，對下沉交友品類、IAP 品類及網賺品類典型風險問題進行深度解析。4.1 下沉交友品類主要風險問題4.1 下沉交友品類主要風險問題下沉交友應用指的是面向三四線及以下群體的以男用戶付費聊天為主要產品核心的陌生人交友應用。該品類的特點是男用戶需要花錢才能和女用戶交流，而女用

26、戶不需要花錢，其中文字信息按條收費，語音和視頻按分鐘或者秒收費。4.1.1 公會誘導付費問題4.1.1 公會誘導付費問題對下沉交友應用而言，他們需要優質的女用戶來留住男用戶，并刺激男用戶在平臺多加充值消費。對黑灰產工作者而言，下沉交友行業這種在消費上的男女不平等性，讓他們看到了商機，衍生出一類專門在該類應用中通過聊天、索要禮物來獲利的職業-聊天員，以及大量招聘、培訓女性“聊天員”以話術誘導男性用戶付費或者送禮物的組織-公會。對這類包含重度社交屬性的平臺來說，公會的存在本身就涉嫌欺詐用戶，既促使男用戶在“聊天員”的專業話術誘導下非理性處理個人財產，又根本無法滿足其交友需求和期待。公會雇傭的聊天員

27、還會以交換聯系方式、線下見面為由不斷向用戶索要禮物，而因為其身份的特殊性非但不能滿足用戶的實際需求，還會對用戶的感情和財產構成雙重欺詐，因此這類應用經常收到大量用戶投訴。我們在長期持續關注婚戀交友應用侵害用戶權益行為的過程中發現，誘導消費、色情低俗等問題的出現與公會有著直接的關系，行業內公會滲透度越高，侵害用戶權益的問題越普遍，公會是下沉交友應用侵害用戶權益問題滋生的根源。由于不良公會的加入可以帶來ARPU（每用戶平均收入）的大幅提升，平臺也會因此獲益。在利益的驅使下，平臺直接或間接與公會合作，雇傭女聊天員、使用聊天輔助工具，以“真實交友”之名，行欺詐獲利之實，利用誘導用戶充值、刷禮物等手段騙

28、取男性用戶的錢財，下沉交友平臺誘導消費、低俗問題頻發的背后是下沉交友公會的算計和套路。與直播不同，交友通常是以一對一的形式出現，用戶之間私密性更強，同時迫于監管的壓力，下沉交友應用的公會一般沒有專職的運營人員，直接由公會長負責女聊天員、代理的招募和培訓。代理還可以發展二級代理，但受約定提成比例的限制，為了防止自身利潤被稀釋，鮮少有代理會招收多個下級，因此一般不會出現多層代理的情況。在利益分配、結算方式上，直播與下沉交友的公會也存在明顯區別。直播行業的公會是合理合規的存在，直播平臺可以直接與公會按照協議和流水數據進行結算，公會再對公會長、主播完成內部結算。據了解，直播的公會通?？梢苑峙?60%7

29、0%的的利潤，經過最終測算，主播收益基本維持在所有結算收入的 40%50%。而在本應為用戶解決真實交友需求的下沉交友平臺上，公會的存在并不合理，對于平臺的用戶來說也不具備價值。下沉交友平臺為了規避監管風險，通常以線下的方式與公會、代理進行結算，為了讓交友更“真實”，女聊天員則直接通過平臺提現，從而實現財務上的“物理隔離”。在分配方面，平臺、公會、代理以及聊天員分成比例一般維持在 5：1：1：3。對于中小型平臺來說，引入公會可以極大緩解供給和需求兩端的壓力，公會借助自身資源優勢統一招募、培訓、管理旗下聊天員，快速提升平臺 ARPU 值的同時也縮短了平臺買量回收周期，平臺則得以聚焦在平臺功能開發和

30、買量推廣上。一般情況下，在中小型平臺上，公會往往擁有更高權重和話語權，同時也會得到一些平臺給予的“特權”，比如賬號解封、功能權限、流量扶持等，甚至還有部分平臺幫助公會“篩選”大哥，就像“315”報道的案例中，用戶成為平臺和公會待收割的“韭菜”。4.1.2 應用推送機制具有明顯誘導用戶付費的目的4.1.2 應用推送機制具有明顯誘導用戶付費的目的除了公會問題外，安我們在持續檢測和分析中發現，部分平臺通過向用戶頻繁推送大量模板化消息，誘導用戶回復或使用聊天功能，進而促進付費。這些行為有時候與應用內用戶無關，并非女用戶主動發起的消息搭訕或視頻通話，而是開發者為了促使男用戶充值付費，通過推送機制營造一種

31、平臺內大量女用戶積極主動的假象。下面是我們總結的一些推送機制有誘導用戶付費目的的風險行為。（一）使用提前錄制好的視頻文件，向用戶發起視頻邀請（一）使用提前錄制好的視頻文件，向用戶發起視頻邀請在部分平臺上，視頻通話功能也需要按分鐘計費，且一般由男用戶向女用戶支付，應用向男用戶主動推送一些提前錄制好的視頻通話邀請，邀請人往往是男用戶從未交流過的對象，邀請頁面利用女性用戶的視頻誘導用戶付費進行接聽。以下圖視頻通話需要付費的交友應用為例，應用在用戶使用過程中會主動彈出視頻通話邀請，同時會展示錄制好的女性視頻，誘導用戶付費接聽，更有些應用在后臺時也會頻繁彈出視頻通話邀請。以下圖應用為例，用戶在正常瀏覽時

32、，會收到提前錄制的視頻發起的視頻通話邀請。（二）向用戶推送的消息具有相同或高度相似的消息內容和形式，或者明顯基于模板生成（二）向用戶推送的消息具有相同或高度相似的消息內容和形式，或者明顯基于模板生成部分交友類應用在用戶注冊、登錄時推送大量的“交友信息”，這類信息發送頻次高且有固定話術的痕跡，疑似平臺為新注冊用戶“量身定制”并基于模板生成的自動化消息推送，以達到增加用戶留存和誘導用戶付費的目的。以下圖為例，用戶進入應用后短時間內收到大量打招呼消息，應用以非正常方式向用戶發送陌生人打招呼消息，且回復消息需要收費。下圖示例應用給用戶發送的消息形式高度相似，有模板化痕跡。4.2 IAP 品類付費功能不

33、規范問題4.2 IAP 品類付費功能不規范問題IAP 品類指的是以應用內購買服務為主要收益來源的應用類型。這類應用主要通過其功能吸引用戶，并設置付費功能，用戶可以選擇充值付費購買更多服務。涉及到用戶資產的App 支付問題直接關系到用戶的切身利益，該類風險問題也是聯合實驗室重點關注的問題之一。在長期持續關注 App 支付環節侵害用戶權益問題的過程中我們發現，移動應用程序誘導付費、強制自動續費等嚴重侵害用戶權益的行為曲解了產品付費的應有意義，造成用戶財產受損，干擾了移動互聯網生態健康發展。下面我們將分享 IAP 品類中付費功能不規范的問題。4.2.1 虛假特惠活動等宣傳誘導付費4.2.1 虛假特惠

34、活動等宣傳誘導付費虛假宣傳誘導付費一般指應用以低價試用或免費試用作為噱頭，吸引用戶進行試用體驗，實際是為了捆綁銷售其他付費服務。具體表現形式有：（一）低價捆綁：以低價試用或免費試用誘導用戶進行付費，但暗自捆綁了其他付費項目（一）低價捆綁：以低價試用或免費試用誘導用戶進行付費，但暗自捆綁了其他付費項目下圖所示案例為某小說 App，包含多款“會員試用套餐”均捆綁自動續費連續包月服務，如 7 天試用僅需 1 元，想要體驗試用服務必須同意自動續費條款。（二）虛假特惠活動：一般指應用通過突出宣傳引人誤解的優惠信息，模糊或隱藏關鍵信息，引起用戶對優惠活動的誤解，誘導用戶進行付費購買。具體有：（二）虛假特惠

35、活動：一般指應用通過突出宣傳引人誤解的優惠信息，模糊或隱藏關鍵信息，引起用戶對優惠活動的誤解，誘導用戶進行付費購買。具體有：虛假限時：在活動期間，用戶并未享受到實際的優惠價格，常見為倒計時促銷等；虛假限額：宣傳限量獲得，但名額實際不受限；4.2.2 紅包、提現等福利誘導用戶訂閱自動續費服務4.2.2 紅包、提現等福利誘導用戶訂閱自動續費服務我們發現有些應用會以提現、領取現金、領取紅包或優惠福利等詞條來誘導用戶并通過精心設計的福利頁面來降低用戶警惕，誘導用戶訂閱自動續費服務。這種風險問題表現方式如下：（1）提現誘導：應用以紅包提現誘導用戶授權訂閱第三方支付平臺自動續費服務。（2）優惠福利誘導：應

36、用提供虛假的優惠福利并設置倒計時，來誘導用戶授權訂閱第三方支付平臺自動續費服務。下圖示例的網賺應用以自動提現誘導用戶授權第三方支付平臺，用戶同意后跳轉到偽造的第三方支付平臺自動續費簽約頁面，然后使用虛假的紅包獎勵和優惠福利作為誘餌，設置倒計時誘導用戶點擊。當用戶點擊同意簽約，跳轉到真正的第三方支付平臺自動續費簽約頁面，此頁面中的服務介紹只有扣款內容，并沒有福利相關說明，但因為上一步的偽造頁面與當前頁面極為相似，容易導致用戶信以為真，或疏忽了扣款內容，簽訂了自動續費服務。首次進入該應用會有紅包彈窗，每次通關游戲后也會有紅包獎勵彈窗。點擊應用內的任何紅包或提現按鈕會有提現彈窗提示，要求授權第三方支

37、付平臺后才能自動提現。點擊確認按鈕后會先跳轉到應用內自建的偽裝第三方支付平臺簽約的頁面，在該頁面的服務詳情中會顯示應用內設置好的福利說明，但該福利實為虛假福利。此外，該頁面還會設置倒計時和高亮顯示，用戶點擊后跳轉真正的第三方支付平臺簽約頁面。若用戶沒有點擊行為，倒計時結束后也會進行自動跳轉。4.2.3 自動續費設置不規范4.2.3 自動續費設置不規范在長期持續關注 App 支付環節侵害用戶權益行為的過程中我們發現，應用為提高用戶的付費率、續費率，利用低價或免費使用的噱頭，捆綁用戶開通自動續費服務，續費前無提醒且難以取消，嚴重侵害用戶權益，造成用戶財產受損，遭到用戶大量投訴。具體表現形式有：（一

38、）續費前無提醒（一）續費前無提醒該問題指的是部分應用續費扣款前 5 日，無明確的續費提示信息。據媒體報道和用戶投訴情況，大量用戶在 App 自動續費、扣款前沒有收到任何通知或提醒，在不知不覺中就被扣了款，造成財產損失。我們在對 App 抽樣檢測、調研中發現，大量 App 無論是在支付購買頁面還是相關協議中均未提到扣費提醒相關信息。（二）續費取消難（二）續費取消難該問題指部分應用未提供獨立的自動續費管理或取消功能，或雖提供該功能但是位置隱蔽。App 自動續費取消難也是用戶投訴主要問題之一，我們發現 App 未提供獨立的自動續費管理入口或取消功能的情況較為普遍，有些 App 雖然提供該功能但是位置

39、非常隱蔽，取消方式復雜，操作難度大。下圖示例，某漫畫 App 頁面上，沒有向用戶提供取消訂閱（續費）模塊，取消訂閱需查看自動續費協議，且隱藏較深，用戶需進行大量復雜的操作才能取消。據用戶投訴情況，即使按照提示順利取消，仍然被扣費。4.2.4 價格欺詐4.2.4 價格欺詐我們發現，部分應用開發者為提高用戶的付費率收益，在產品服務購買、支付階段，利用云控算法區別定價、低價誘導高價結算等價格欺詐手段誘導用戶付費，嚴重侵害用戶權益，造成用戶財產受損，遭到用戶大量投訴。應用價格欺詐行為常見形態主要有以下兩類：（一）云控算法，區別定價：應用在未標明交易條件的前提下，通過云控算法等技術手段，同一功能或服務對

40、不同用戶制定不同的價格，導致用戶權益受損。（一）云控算法，區別定價：應用在未標明交易條件的前提下，通過云控算法等技術手段，同一功能或服務對不同用戶制定不同的價格，導致用戶權益受損。在某節拍器 App 中，未標明交易條件的前提下，就同一會員服務，在同一時間，對不同的用戶實行區別定價。同樣是“永久會員”，向不同用戶分別定價 162 元和 110 元。經過分析發現，該應用在本地存在定價配置文件，該配置文件也可隨時通過云端更新，里面包含了共 13 種價格組合。云端還會更新定價配置邏輯，每次新用戶安裝，會隨機選擇一種定價組合。（二）低價誘導，高價結算：應用不標示或者顯著弱化標示實際價格，以低價誘騙消費者

41、，以高價進行結算。（二）低價誘導，高價結算：應用不標示或者顯著弱化標示實際價格，以低價誘騙消費者，以高價進行結算。某掃描 App 會員購買界面上，以 0.01 元/月的價格誘導用戶進行付費，弱化實際結算價格，用戶在付款時稍不注意就會支出超出預期的費用。4.3 網賺品類主要風險問題4.3 網賺品類主要風險問題網賺應用指的是用戶通過完成指定的任務獲取現金回報，而應用運營者則主要通過流量投放實現變現的一類應用。這類應用“提現”來吸引用戶進行任務，比如讓用戶看數條視頻后可提現等等。無論網賺應用的任務是玩游戲還是看視頻又或者是充電、走路等，用戶在完成這些任務過程中都是要看廣告的，廣告收益就是這類應用的主

42、要收益來源。我們發現部分網賺應用為了快速回本、增大收益，試圖在各個環節增加用戶提現難度，如設置假提現、不一次性明示提現規則，甚至部分應用還會使用欺詐性的廣告素材，在用戶身上獲取更高的收益，更有甚者，還會出現上文中我們提及的誘導用戶訂閱自動續費服務問題。4.3.1 假提現4.3.1 假提現“假提現”指的是某些做任務賺錢類 App 在用戶達到其宣稱的提現標準時卻告知還需完成其他任務方可提現，以不斷增加提現條件，設置提現門檻等方式迫使用戶投入更多時間使用其 App 的現象。在應用商店根據提現相關的關鍵詞進行檢索得出數據，此類 App 在架的有 908 款，負面評價用戶數量多達 20033 人。此類應

43、用最初以小額提現秒到賬的方式吸引用戶使用，但在大額提現時通過屢次設置虛假條件欺騙用戶，給用戶營造一種很快就能提現的錯覺，這樣即使難度增加，用戶也不想放棄現有的獎勵，之后在提現階段通過各種不合理途徑拒絕給用戶支付。實際上，App 運營商只需以最初支付的小額提現的成本即可獲得高于該成本幾十倍的利潤，然而用戶卻白白耗費時間和精力做任務、看廣告，淪為其營利工具。以下為“假提現”的示例：(1)達到提現門檻之前，提現頁面截圖提現界面宣稱“滿多少提多少”，當選擇提現 300 元時，頁面下方顯示提現條件為“余額滿足 300 元”，并未提示其他附加條件；(2)達到門檻后，提現頁面截圖當用戶余額達到 300 元后

44、，提現條件變為“連續簽到 5 天”；(3)即使用戶完成簽到任務，提現條件可能還會增加“邀請好友”等其他任務，以此類推，層層加碼，不斷為用戶設置更多的提現門檻。4.3.2 未一次性明示提現規則4.3.2 未一次性明示提現規則“未一次性明示提現規則”指的是應用未在提現界面直接告知用戶完整的提現規則，用戶需要去其它地方才能查看完整的提現規則。此類應用一般只在提現頁面展示較為容易實現的提現條件，而實際用戶提現還有其它的條件需要達到。以下為相關示例：(1)提現頁面只展示金額達成條件，但是實際在用戶協議中還有其它條件未展示。(2)有些應用的提現頁面雖然為用戶提供了查看完整提現規則的快捷入口，但提示形式依然

45、不夠顯著。用戶不一定會去點擊或者去其它地方查看相關的規則，并沒有對用戶造成很好的明示作用。4.3.3 欺詐性廣告素材4.3.3 欺詐性廣告素材（一）話費券廣告（一）話費券廣告此處的話費券廣告指的是應用內出現以【充值 19.9 元得 100 元話費】為噱頭吸引用戶付費的廣告，然而用戶實際獲得的并非“話費”，而是碎片化的“話費券”（可能是 20 張5 元充值券），并且充值時有嚴格的限制條件，如：必須下載特定應用，在該應用內進行充值才能使用優惠券、每次充值必須達到 100 元才能使用一張 5 元優惠券。且整個充值流程對用戶權益沒有保障，當用戶反悔想要退還已充值錢款時無法找到退還渠道，申訴無門。在違規

46、投訴平臺使用關鍵詞“話費券”進行檢索，得到 13908 條投訴結果，其中大部分投訴問題為“話費券并未到賬”。以下為相關示例：(1)應用內完成簽到時彈出“充值 19.9 元得 100 元話費”的廣告(1)應用內完成簽到時彈出“充值 19.9 元得 100 元話費”的廣告(2)點擊進入后卻顯示獲得的是“話費券”(2)點擊進入后卻顯示獲得的是“話費券”（二）盲盒廣告（二）盲盒廣告某互動廣告頁面，無論抽到哪個獎品均顯示【恭喜砸出大獎】，讓用戶誤以為自己中獎，只需支付 39 元即可領取價值幾千元的手機。然而實際上，用戶支付的 39 元獲取到的僅為一次抽獎機會，獎品形式為隨機盲盒，并非廣告引導的手機類獎品

47、，且盲盒不支持退換。以下為相關示例：(1)抽獎池顯示獎品均為手機；由廣告頁面可知供應商名為“XX 盒子”(2)只要點擊“免費抽獎”就會出現【恭喜中獎】界面，提示【付款 39 元即可提貨】，獎品頁面的手機圖片具有誤導性五、總結五、總結2022 年，安天移動安全-OPPO 聯合實驗室在堅持安全普惠原則，協同移動互聯網中多方共同構建移動互聯網風險應用體系。憑借十余年的技術積累和實戰經驗，與監管部門、手機廠商等產業伙伴一同深度配合，積極參與到產業安全洞察、終端應用檢測、應用市場上架審核等多個重要環節，最終通過應用安全治理為終端消費者使用 App 時的自身權益保駕護航。但是應用治理只是作為一種手段，而不是目的，最終目的是通過建立基于“良贏治理”，促進產業良性發展并在保障用戶利益、增強用戶體驗的前提下，形成圍繞移動互聯網產品和服務質量的良性競爭生態，達成個人用戶、企業、社會和國家機構的多方共贏目的。本報告最終目的是期望以此引發生態各方對現今的移動終端用戶權益和應用安全風險現狀的討論，共同推進移動互聯網應用生態的凈化發展。