针对近日接连爆出银行储户存款被“刷脸”盗走事件，顶象防御云业务安全情报中心复盘了整个流程：黑灰产首先窃取储户信息，然后制作一个山寨的银行App，诱导储户下载后，再利用劫持摄像头、替换人脸数据等方式登录储户账号，并使用利用劫持手段获取储户的短信验证，最后完成储户资金的的盗取。顶象防御云业务安全情报中心认为，表面上看这是一次“刷脸”盗窃资金的行为，背后是黑灰产一系列作弊工具的集中应用，是一次典型的团伙作案行为。两大行接连发生储户刷脸被盗案件7月初，媒体报道，交通银行的人脸识别系统存在漏洞，造成6名储户百万元现金被异地盗取。一个名为马跃的受害储户表示，他的妻子刚把50万元存进刚开的交通银行卡中，不久账户中的资金就不翼而飞。警方向银行调取的内容显示，犯罪分子的IP地址为海外，转账使用了短信+人脸识别的方式。交通银行承认，用户本人当天并未离开北京，但远在海外的犯罪分子，却7次通过了交通银行的人脸识别，6次通过活检。三周后，又一家媒体报道，中国银行储户马某接到了一个自称是警方的电话。对方准确地说出了她的个人信息，还通过视频电话的方式，“证实”了自己的“身份”。在点击对方发来一个带链接的短信后，马某看到了自己的身份证正面照片，但是登录手机银行却发现，账户内的20多万元被转走。基于人脸的识别技术被广泛运用于金融领域，主要作用是实现在线身份认证，已成为登录、确认、申请、修改等业务环节中重要的验证技术。当人脸识别被伪造、被攻击，储户的财产很可能随之遭受损失。储户资金被盗背后有一个庞大产业链按照常规状态。银行交易场景下有专业的业务安全风控机制，任何异常操作或行为都会触发风控，激发银行短信、外呼语音、人脸等多重验证。黑灰产如果要实现储户资金的盗取，通过暗网交易、电信诈骗、钓鱼链接方式，收集储户的信息，以便于进行登录、验证、转账。然后，入侵银行App的人脸识别系统，通过劫持摄像头，替换提前准备好的虚假人脸视频，绕过人脸识别验证；最后通过嗅探工具、短信劫持软件、设置短信转发等方式获取储户的短信验证码，实现转账盗刷行为。一系列违法操作，涉及多个环节和很多专业作弊工具，这背后有一个黑灰产业链，他们有组织、有分工，是一个典型的银行卡盗刷团伙。机械工业出版社出版的《攻守道-企业数字业务安全风险与防范》一书中，对黑灰产有明确的定义：网络黑灰产是指利用计算机、网络等手段，基于各类漏洞，通过恶意程序、木马病毒、网络、电信等形式，以非法盈利为目的规模化、组织化、分工明确的群体组织。彼此分工明确、合作紧密、协同作案，每一环节都有不同的牟利和运作方式，形成一条完整的产业链。黑灰产的作案手法全面复盘这个黑灰产团伙是如何运作的呢？基于爆出的几个储户资金被盗案例披露的信息，顶象防御云业务安全情报中心复盘了银行盗刷团伙的整个作案过程。第一步，获取目标储户信息。收集目标储户信息，是黑灰产业链的上游来完成，主要包括拖库、洗库、撞库、打造社工库。黑灰产将窃取的大量数据库资料进行分类梳理，然后，基于社工库对储户进行全方位的画像，以便于对对特定人群进行定向诈骗活动。第二步，获取储户人脸视频、截取短信。获取储户的个人信息后，黑产人员会伪装成警方、客服等人员给储户进行电话诈骗，取得储户信任后，再引导储户完成一些下载操作，以获取储户人脸视频、手机设备的劫持，进而可以同步收到银行短信、电话等通知。第三步，诱导储户下载山寨App。黑灰产制作银行的山寨App。这些App代码经过了篡改，并植入了相关病毒代码或后门，能够收集用户手机内的隐私信息、劫持短信电话、盗取照片资料等。由于不能够在正规应用市场上架，黑灰产以短信、邮箱形式发送至储户，储户点击相关信息中的链接地址就能够下载黑灰产制作的山寨App。第四步，诱导储户录制人脸视频。App下载后，黑灰产引导储户完成一系列注册、登录、认证等操作，并诱导含储户完成实人认证、人脸视频认证。储户操作后，这些重要且关键信息会被同步传送并黑灰产。第五步，截取储户的验证短信、电话。当银行账号发生夜间转账、大额转账或短时间多笔转账时，银行App会进行人脸识别、短信验证、外呼语音等多重验证，盗刷时能绕过多重验证方式，黑灰产提前引导储户完成等短信和电话劫持。1、指引储户自行设置。诱导储户，自行对手机进行短信自动转发、电话呼叫转移，这样银行向储户发送的验证短信和电话，会自动转发到黑灰产的设备上。2、使用通讯劫持工具。通过使用网络嗅探器可以把网卡设置于混杂模式，并可实现对网络上传输的数据包的捕获与分析。黑产通过短信嗅探设备实时掌握短信内容，但这种技术主要针对2G的GSM信号，所以黑产会通过干扰手机信号，使4G变为2G信号，再窃取储户的短信验证信息。3、山寨App自动进行短信监听。储户按照指引下载山寨App，能够实时监听获取储户的短信信息和远程设置电话转移到指定手机号。木马指令列表：短信拦截功能：电话转接功能：第六步，盗刷。完成以上各项准备后，黑灰产对储户账号进行盗刷。1、凌晨行动。银行卡盗刷多发于凌晨 0点至6点之间，一是因为黑灰产身处境外，与国内存在时差；二是凌晨是储户休息时间，半夜进行盗刷，不容易让人发觉。2、异地盗刷。前面提到的交通银行、中国银行盗刷事件均是储户在北京，但遭到盗刷时的地址均在海外。从某城市法院提供的历史统计数据看，银行卡盗刷交易发生在本地的案件不到总数的10%，90%以上的银行卡盗刷交易发生在外地或境外，尤其广东、广西、河南等地区是银行卡异地盗刷交易的高发区域。异地盗刷，让黑灰产更容易逃避法律制裁，同时增加取证、侦察、追回的难度。3、绕过人脸核验。通过山寨银行App，找到人脸识别摄像头调用节点，并劫持上传数据，再将替换数据直接注入，把上传人脸动态识别更改成事先准备好的人脸识别视频，由此绕过人脸验证，并成功登录。4、盗刷转账行为分析。黑灰产盗刷储户资金后，会在短时间内快速把储户银行卡里的余额通过跨行转账、大额消费等方式将资金转移。比如，储户银行卡是A行，黑灰产便会提前准备B、C、D等他行银行的银行卡交易；当因银行限额需分多笔金额转出时，还会分别转入多个不同银行的银行卡中，目的就是为了增加银行、警方追回资金的难度。顶象防控建议和防护方案基于盗刷团伙的欺诈手段和作弊工具，顶象防御云业务安全情报中心建议银行，从多维度进行风险识别，包含端环境检测、APP包合法性、通信传输安全和业务安全风控，进一步提升银行卡的安全性。对App进行风险环境检测。盗刷团伙通过技术手段劫持摄像头相关的接口，使App读取提前录制好的人脸视频，以绕过人脸验证。盗刷团伙使用的是代码hook/注入关键接口，该情况一般发生在被root或越狱的设备上。集成终端安全SDK能够对App运行环境进行检测，检查设备是否有代码注入、关键API遭hook、root/越狱等风险。对App进行合法性检测。盗刷团伙诱导储户下载的山寨App并不是官方版本，而是经过破解、篡改后，二次打包后的版本。所以，需要增加App包合法性检测，以检测App的签名、大小、进程信息、App版本号等。同时，检测该App官方发行过哪些版本、相关App版本的详细信息检验等，以判断当前App版本是否存在，是否为虚假等。保障通信传输安全。在终端增加环境检测等模块后，环境检测模块产生的数据往往没有和业务数据进行绑定，这就造成黑产有可能会篡改报文中的一些数据，所以本方案里运用了一些安全手段，防止终端安全检测模块的数据被篡改和冒用。基于防控建议，顶象防御云业务安全情报中心建议银行配置提升风控能力外，特别加强人脸识别的防控。通过业务感知防御平台拦截设备伪造、摄像头劫持风险；通过实时决策引擎，对用户各个业务节点配置对应风控策略识别黑产异常行为风险；搭建模型联合防控，沉淀积累用户数据，通过风控数据以及业务的沉淀数据，对账号日常登录设备、日常登录城市进行建模，识别异地、新设备风险，模型的输出可以直接在风控策略中使用。业务感知防御平台（移动版）。业务安全感知防御平台能够识别发现移动端风险，通过对移动端100+风险项及异常行为的分析识别，及时发现针对摄像头劫持、设备伪造、注入、hook、越狱、root、模拟器等风险，并提供从风险识别、预警处置、黑样本沉淀的闭环管理。实时决策引擎。决策引擎能够检测设备环境，实时发现注入、二次打包、函数劫持账号等风险。同时，结合黑产异常行为特征配置的风控策略，及时发现账户异地登录、新设备登录、非正常交易时间短、非常用登录地且跨行大额转账异常行为等。智能模型平台。基于历史业务沉淀的数据，搭建专属的风控模型，输出用户常用登录设备模型和用户常用登录地模型；为账户登录、交易转账、提高限额、重置密码等提供策略支撑。

谷歌语音介绍Google Voice 是谷歌公司出品的一个提供网络电话服务的平台。GV它就是一个网页，就像我们平常使用的Gmail邮箱一样，有很多功能。它提供你一个虚拟的美国电话号码，该号码可以绑定关联多个号码，并把来电转到任何一个你设定的号码上。Google Voice 也提供一般电话的功能，如来电显示、阻挡来电、电话留言语音、多方通话等；并且提供一个集成的留言信箱，将用户所有电话的留言汇集到同一个信箱当中，方便查询。Google Voice 也能将用户的留言转成声音档案，发到用户的电子邮件信箱当中，甚至将留言编写成文字，传到计算机。通俗而言，谷歌语音是一个虚拟美国电话号码服务，你可以得到一个美国电话号码，安装环聊 APP 后，你可以接收和发送短信、拨打和接听电话。怎么修改谷歌账号的语言、密码、辅助邮箱在使用谷歌语音的过程中，发现各位小伙伴因为语言不同的原因，无法顺利的修改密码和辅助邮箱。其实，语言可以通过账号的设置更改，抑或通过谷歌浏览器的翻译。操作的前提是翻墙的情况下。修改 Google 语言、密码和辅助邮箱链接：修改 Google 账号语言教程修改 Google 账号密码教程修改 Google 账号辅助邮箱和电话教程谷歌语音收费：官网的说明：https://www.Google.com/voice/rates?hl=en_US¤cy=%22USD%22Google voice 可以免费拨打美国和加拿大电话， 在国内你也可以免费接收来自全球的短信。免费收发美国、加拿大短信。无月租，不限时，但是国内需要翻墙。使用 hongouts 拨打电话时需要关联一个美国号码使用。如果需要拨打中国，请先充值，费用是每分钟 1 美分，暂不支持短信发送至中国。谷歌语音充值教程：Google Voice充值教程谷歌语音的电话号码填写格式谷歌语音的电话号码都是美国的，美国*代码+1，电话号码 10 位数字。比如你的谷歌语音电话号码是(475)208-1493。【1】在程序或者服务没有*或者地区选择项目的情况下，而且号码只有一个框输入的，请输入+14752081493。【2】在程序或者服务可以选择*或者地区的情况，请选择“美国”，然后在输入 4752081493。【3】在有两个框输入的情况下，*框输入+1，第二框输入 4752081493。北美电话区号统计列表谷歌语音使用1、PC 上使用 Google Voice直接使用 https://hangouts.google.com/ 即谷歌的环聊应用程序谷歌语音网页使用google voice 教程环聊网页版使用google voice教程2、手机上使用 Google Voice不要下载 Google voice app 了，官方已经停止 Google voice app 的更新，现在全力推 hougouts所以你一定要下载 hougouts 来使用 gv，同时强烈建议只用网页版。IOS 版环聊 https://itunes.apple.com/cn/app/hangouts/id643496868?mt=8安卓版环聊 https://play.google.com/store/apps/details?id=com.google.android.talk安卓版环聊拨号器 https://play.google.com/store/apps/details?id=com.google.android.apps.hangoutsdialer安卓版环聊必须安装插件（环聊拨号器）才能拨打电话手机环聊（安卓、苹果）上使用google voicegoogle voice手机 APPS hangouts 设置与使用|解决无法接听的问题谷歌语音可以用多久gv 号码*免费，不过大约连续 9 个月不使用可能会被回收， 现在接打电话、收发短信都算使用，回收之前一个月一周三天 google 会分别邮件提醒你。我们可以通过 ifttt 或广告短信进行保号。切记充值是没有办法保号的Google Voice保号教程 | IFTTT 定时拨打 GV 号码Google Voice保号教程 | 使用广告短信转移谷歌语音到自己的账号Google Voice 号码即 GV 号码是可以免费在不同谷歌账号进行自由转移的。为了方便交易，将 Google Voice 号码转移的操作写个图文教程，方便大家操作转移，当然也方便用户在本站购买 Google Voice 号码后自己操作完成交易。特别提醒：以下操作全程一定记得使用美国代理进行！Google Voice号码电脑上转移图文教程手机上操作google voice的过户转移本文链接：http://www.gmailpf.com/?p=45 转载请注明出处，谢谢

你好，我要把我刚注册的域名avivaeu.com，需要转移给域名所有人，填完所有信息后，一直让你短信认证，我输入认证码后，点击确定，再点确认又出来这个（如图），用阿里的手机app扫描二维码后也走不下去。请问我要如何操作才可以

现在互联网流量随着便携式智能手机的普及，逐步从电脑端转移到手机上。随之衍生出各种各样的手机APP，商城APP更是让大家足不出户就享受了日常生活中的便利。很多企业、商家都想开发一款自己的商城APP，那么这样一套商城APP开发下来大概多少钱？首先开发一个商城APP的成本费，非常大程度上和开发人员的薪酬挂钩，而薪酬又和开发时间挂钩。一般开发一个商城APP，少则两月，多则一两年。而一般价钱是1~2万元（十几天）至十几万（1-2年）不等。其次商城APP开发的价格与要开发的商城APP的功能需求密切相关。需要商城APP开发，商城APP定制开发可以联系我司tel幺五三339幺贰七13。手机商城APP开发价格与APP功能需求直接相关，一般来说要开发一个商城APP软件需要的功能模块包括：地图定位、城市切换、登录注册、产品店铺、分类搜索、宫阁画廊、在线支付、购物车、转发分享、评论互动、在线客服、消息推送、电话短信、积分会员、商家入驻、商城结算、物流查询、外卖配送、订单管理、新闻公告、数据统计、分销拼团等等。功能等复杂程度，影响到整体开发周期，需要的人的数量也不同，因而开发费用也有一定的差距。商城APP开发对企业、商家来说有很大优势。商城APP开发不依托于第三方平台，商城规则自主定制，省去了很多的麻烦和障碍，更加容易展示自身的品牌文化。商城APP开发可以使用自主性的服务软件，避免了过多的费用开支。开发一款APP商城，除了做好后期的维护和升级，可以有更大的空间来进行商城的开发。同时APP可以直接展示在手机的页面，进入寻找对用户来说更加便捷。我司无论是商城APP、微信小程序、还是网站建设等开发都有着丰富的经验，公司产品案例遍布全国。公司技术团队过硬，有多年的互联网经验，保障您的安全开发。如果有相关需求，欢迎联系！

随机智能手机的普及，安全的重灾区也开始向移动端转移。短信拦截木马、传播恶意广告、锁屏勒索、流氓推广等黑色产业链日趋成熟，ROM植入样本、利用漏洞提权样本、“寄生兽”通用App更新机制漏洞、媒体库Stagefright系列漏洞层出不穷出现，以Android为主的移动OS及相关应用已经千疮百孔。随着购物、支付等高价值行为转移到移动，其安全形势已经非常严峻，随时检查监控手机安全变得刻不容缓。这也催生了移动安全创业的热潮，以消费者市场为主、提供实时移动app安全检测的Seworks，近日这家移动安全初创企业刚刚获得了820万美元的A轮融资。 Seworks是一家提供移动app实时安全检测的初创企业，成立于2013年，总部位于旧金山，创始人来自一支知名的白帽黑客团队。Seworks的主要安全品牌是AppSolid，这项安全服务可以扫描诊断移动app内存在的漏洞，并且实时监控安全状态。它采用了二进制级的保护机制，即移动app开发者将编译好的APK交给Appsolid之后，由后者对二进制代码进行加密保护，可防止app被反编译、篡改、复制等。AppSolid最近提供了流行的游戏引擎Unity的安全插件，可为移动游戏应用提供源码保护、内存防黑等机制。 Seworks的安全服务是在今年3月份推出的，目前已在美国、欧洲、亚洲等地的商业和游戏领域获得了若干客户。其收费采用按月订购模式，其中月活用户数在1000以下的为免费使用，月活1000以上20万以下按每用户每月2美分收费，月活用户数20万以上的企业模式价格面议。 此轮融资由SoftBank Ventures、Qualcomm Ventures、Samsung Ventures、Smilegate Investment以及Wonik Investment Partners投资，加上此前从Qualcomm与软银获得的200万美元种子轮融资，至此，其总融资为1020万美元。 面向消费者的移动安全主要的玩家包括Intel、卡巴斯基、赛门铁克、微软等传统防病毒软件提供商，但是Seworks从源头侧提供移动app安全保护以及二进制级的保护机制可以提高其竞争力。随着安全威胁的日益加剧，预计这个领域还会有更多新玩家的出现，带来更有创意的解决方案。不过道高一尺魔高一丈，安全领域的斗争永远都不会停止。 本文转自d1net（转载）

在当今数字时代，移动应用的数量呈爆炸性增长，涵盖金融、电子商务、社区、医疗、房地产、工业等各行各业。在给人类带来便利的同时，也给黑客带来了可乘之机，移动黑产也越来越强大，他们的重点是从传统的PC网站转移到移动互联网的战场。尽管国内近五年互联网安全行业发展迅速，优秀的安全防护产品层出不穷，但黑客攻击手段也日益变化，想从根本上解决互联网安全问题，目前无从下手。以前，我们谈过网站如何保护安全。今天，我们谈谈移动应用程序如何保护安全、常见的攻击手段和解决方法。一、APP二次包装。现在移动互联网的应用复盖了整个行业，其中也有很多投机家，他们的开发经费不够，想以最低的成本运营市场上的起爆产品，所以开始了APP解读的想法。他们雇用黑客，反译APP，修改重要代码和服务器的连接方式，重新包装，最后签字，生成与原创相同的应用。然后向一些不正当的渠道公布谋取利益。此外，还有一些黑色组织在破解应用程序后添加恶意代码，如获取相册数据、获取地址簿和短信数据，以及高级黑客技术监控银行账户等敏感信息。解决方案:APP的唯一标志是签名，开发团队和开发公司可以追加防止二次包装的相关代码，可以预防一些小毛贼。目前，国内主流软件分发平台也对APP进行了盗版识别，但由于疏忽，盗版APP、木马式APP蔓延开来。如果想以更高效的方式解读APP的话，建议咨询网站安全公司，加强APP本身的安全性，大幅度增加了编译、调整和二次包装的难易度。二、拦截重要函数。插件技术的本质是通过拦截APP软件的重要函数，模拟APP客户端，欺骗服务器发送虚假数据的手段。例如，疯狂的红包软件，其原理是利用HOOK技术拦截红包函数，制作插件与APP函数对接，达到插件的目的，一些大型APP软件具有HOOK识别机制，但大多数APP仍然没有保护的概念。解决方案:混淆或加密关键函数或代码执行过程。三、敏感信息泄露。许多开发人员认为APP移动软件安全性高，不太重视客户端的安全。出乎意料的是，黑客渗透方式的方法超出了想象。通常，他们会编译APP软件可以阅读的代码，从中提取敏感的信息，如通信密钥、客户加密算法、常量数据等。拥有这些重要数据后，根据数据通信协议进行网络渗透，最后侵入服务器。解决方案:一定要混淆、分割、重组重要信息，安全无小事。如果开发团队不太了解如何操作，请与我们商量，对APP进行全面的安全评价，以黑客的想法对软件运行的各个环节进行渗透型测试攻击，挖掘APP存在的漏洞和风险。四、通信协议解读。结合挖掘出敏感信息和加密算法，黑客通常通过APP客户端和服务器通信进行渗透攻击，常见的通信方式有HTTP、Socket、WebSocket等，有这些重要信息后，伪造客户端指纹由于开发商缺乏安全意识，服务器和数据库陷落，给客户带来了不可估量的损失。解决方案:做好服务器安全信任认证，提高开发人员的安全意识，让我们的创造性安全进行安全评价和长期安全运输，防止未来是最好的保护，如果想要对公司或自己的安卓APP或IOS-APP进行全面的安全渗透测试，检测APP的安全性的话可以向SINESAFE,鹰盾安全，绿盟，大树安全等等寻求这方面的服务，毕竟术业有专攻。五、开发商疏忽。大多数开发人员没有安全意识，其中软件开发公司更严重。他们专注于实现客户的需求，不考虑现在的代码是否有安全上的危险。在生产软件的同时，也生产脆弱性，没有任何软件是完美的，没有脆弱性。因此，建议网络安全技术人员对代码进行安全审计，挖掘漏洞，避免风险。无论是大型软件还是小型软件，安全稳定都是APP运营的标准。否则，即使是更好的商业模式也无法忍受网络攻击的推敲。大型软件受到竞争对手和黑产组织的威胁，小型软件黑客通过扫描式随机攻击侵入服务器，稍有疏忽的平台被黑客利用。

公民个人信息不容侵犯，确保APP不“越界”，国家一直在行动。数据显示，近年来，工信部持续开展APP侵害用户权益的整治活动，开展了六批次集中抽检，检查了76万款APP，通报748款违规APP，下架了245款拒不整改的APP。友商案例 以极光举例，是通过提供消息推送，即时通讯、统计分析、社会化组件和短信等开发者服务累计数据和标签，继而通过精准营销、金融风控、市场洞察和商业地理服务等数据业务进行变现。在南方都市报发表于2020年11月27日的文章中被指出存在使用违规收集个人信息的第三方组件的问题，此外腾讯、个推、小米SDK（软件开发工具包），以及旧版本的360加固工具同样被揭露存在此类问题。阿里云数据隐私保护 阿里云作为业界首家发起发起《数据保护倡议》的企业，数据隐私保护是阿里云的第一原则。 隐私保护采取严苛的标准：全球首张云安全国际认证金牌（CSA-STAR） / 亚洲合规资质最全的云服务商 / 全球第一张ISO / 22301国际认证证书 / 第一家同时完成德国C5云安全基础要求和附加要求评审的云服务提供商 / 欧盟数据保护法规GDPR / 等保2.0四级。EMAS发布最新隐私协议 移动研发平台EMAS高度重视个人信息的保护，在客户使用EMAS服务时，将根据法律法规要求并参照行业最佳实践为客户的个人信息安全提供充分保障。为此，EMAS制定本《隐私权政策》以帮助客户充分了解EMAS平台对客户和最终用户的个人信息的处理方式。隐私政策内容：一、我们如何收集和使用您以及您最终用户（以下简称客户）的个人信息二、我们如何共享、转让、公开披露客户的个人信息三、我们如何保护客户的个人信息四、客户如何行使个人信息的权利五、我们如何处理未成年人的信息六、客户的个人信息储存与全球范围转移七、本隐私政策如何更新八、如何联系我们 该隐私政策适用于EMAS移动推送/HTTPDNS/移动热修复/远程日志/崩溃分析/性能分析/移动用户反馈等产品。 现EMAS最新隐私协议已发布，为客户信息安全保驾护航。

猎豹移动财报发布之后，股价跌破发行价，一时之间，人们又将目光聚焦到这家曾风光无限的“小巨头”身上。一手带大它的傅盛被业界视作“新生代互联网领袖”的代表，因其在海外市场表现亮眼，想要国际化的独角兽们视之为楷模。除了傅盛和国际化之外，猎豹移动还有一大标签，即工具类app。傅盛在猎豹移动上市之后，以布道者的角色向行业传授成功之道，一大关键就是：工具类app更适合国际化。不想 “工具”这个曾被猎豹移动视为优势的标签，正在成为猎豹移动想要弱化的标签。 爆发容易 坚挺不易 为什么工具类app在移动互联网时代更适合国际化？相对于内容型、社交型、电商型app而言，工具类app是产品驱动，而不是运营驱动，只要能抓住用户痛点推出对应功能，不同国家的用户需求大同小异，好的功能+强的推广，工具型app借助于App Store、Google Play等分发渠道，进入全球市场并不是什么难事儿。非工具型app，则有巨大的习惯和文化差异，以及资源门槛，全球化总会遇到困境。 工具类app的特性，决定其在更容易国际化的同时，还更容易快速爆发，并且创业门槛较低：只要你发现了痛点，做一个app本身并不难，是小团队就可以胜任的事情。而社交、电商等app则需要更全面的团队配置，能搞掂运营、供应链诸多环节。正因如此，不论是PC软件，还是移动互联网，均流行大量的工具类app：输入法、浏览器、安全软件是PC时代的工具三大件，每个用户都会安装；手机端则有墨迹天气、美图秀秀、清理大师、通讯录管理、手机浏览器等app，动辄用户上亿。 不得不提的一个惨淡事实是：工具类app在获取上亿用户之后，成长为巨头的并不多，除安全软件有360和对标移动端泛安全工具的猎豹移动成功上市外，大多数工具公司生存境况一般：在输入法和浏览器领域均占据主要市场份额的搜狗依然未能上市；曾谋求做BAT之外第四个巨头的UC浏览器被迫进入阿里怀抱，；脸萌、足记等更多工具app则早已销声匿迹。真正依靠工具app做到上市或即将上市的公司，可谓凤毛麟角。而业已上市的360和猎豹移动均面临了同样的困境：股价低迷，价值并未得到资本市场认可，360私有化，猎豹移动破发。 问题究竟出在哪里？ 从猎豹移动即将上市开始，傅盛就开始毫无保留地分享猎豹移动成功之道，这被许多人视作是猎豹移动遭遇今日困局的一大原因：傅盛的高调为猎豹引来了许多竞争对手，例如APUS。在其谋求杀回中国市场时，360、腾讯、百度等手机安全玩家早已推出类似功能。这反映了工具类app的第一大硬伤：容易复制。巨头们如果出手，在推广上的能力自然不会弱。相比之下运营驱动的产品，巨头则很难抄袭，58同城、饿了么等平台能够与BAT角力，正是因为它们在功能之外有更多“自己的东西”。 一个app如果是纯工具，用户粘性不会高到哪里去，因为其用户真的是像张小龙期待的那样：“用完即走”。对于app而言，这意味着用户将消耗更少时间在产品上，而移动互联网经济的本质是眼球经济，注意力少，价值就低了。另外纯工具的可替代性很高，在功能易复制的前提下，用户逃离和转移是分分钟的事情。所以，纯工具类app一直在尝试解决“留不住人”这个老大难问题。 工具类app最后的一个问题是，商业模式太过单一。不论是PC时代的浏览器、输入法，还是移动端的安全、天气等app，几乎都清一色地通过“广告”变现。其中有一些尝试过增值服务，如UC浏览器当年尝试过做社交、做游戏等，皆无大成。最终工具类app在广告的道路上越走越远：有的开始做广告平台，有的涉足应用分发和游戏联运，搜狗则干脆采取了“三级火箭”策略将用户从输入法导入到浏览器再导入到搜索引擎，做各色广告，整体而言，商业模式都还是比较单一。况且在用户数达到瓶颈、产品功能没有更新的情况下，广告收入也无法实现健康增长。 何以解忧？这里有四味解药 工具类app又何尝意识不到自身的缺陷呢？过去这些年，大家一直在努力克服短板，也有了一个共同的答案：平台化。对“平台化”，各家有自己的理解和行动，最终取得了不同的成绩。具体来说，工具类app选择了这四味解药： 1、社交化，与社交结合高增长、强粘性、不怕抄。 如果微信没有朋友圈和微信群，它就只是一个升级版的短信，社交是微信的灵魂。社交化对于工具app来说有很多好处：可克服工具类应用“用完即走”的尴尬，可凭借关系链对付抄袭者，还能依靠人拉人实现极速增长。微信无人能敌，就表明社交化的巨大能量。看到社交的魔力所在，一些工具类app开始追求社交化，其中最成功的是美图秀秀，由于很多人美化照片本身就是为了社交，所以美图秀秀虽是工具app，却具有很强的社交属性。更明显的例子就是美图推出的美拍。在2014年5月推出短视频社交“美拍”，9个月便获取了1亿用户，成为全球增速最快的app，在库克访华时，美图公司CEO吴欣鸿透露美图移动端产品全球覆盖设备数已经超过10亿台，在iOS平台已有超过5亿用户，社交化功不可没。 　　美图秀秀旗下的短视频社交美拍 2、矩阵化，更多、更好、更新的工具类App。 工具类app大都不会只做一个产品，由于用户需求可不断细分，又会衍伸出新的需求，因此工具类app往往会在第一个“核心”app基础上，延展出大量的关联app，进而形成自己的矩阵。猎豹移动的策略是在CleanMaster基础上做了大量的手机管理工具，例如内存管理、电池大师等，将手机优化做精做细，在顶峰时猎豹移动可为CM系列的每款工具投入上百人，将体验做到极致。而美图公司除了美图秀秀这款“航母”app之外，围绕“美”还推出了其余十几款app产品，并将“美”这个事情做到极致。尽管豆瓣、百度等非工具性应用也在做产品矩阵，但效果一般，相对而言，工具类app做矩阵更加容易，并且理由更充足：将用户需求满足到极致，在特定场景下用户总会在自家产品圈里，而且就算有人要抄，不大可能十多款都抄吧？ 3、内容化，“用完别走”。 猎豹移动已在印度推出类似于今日头条的app；无独有偶，UC浏览器在今年推出了“UC头条”试图做类似于今日头条的内容分发平台；暴风、迅雷等知名PC工具则开始涉足视频内容端。内容化，一直是工具类app想要转型的方向，为什么要内容化？因为工具上有更多内容之后，用户就会有更多时间留在工具上，进而形成注意力经济，如果走传统广告模式注意力就是真金白银，当然，现在大家更愿意在内容之上探索更多的变现模式，例如网红、IP、电商等。在工具内容化上，最成功的是美图，美拍已成为最大的短视频平台之一，2015年10月日视频播放数就已达2.69亿次，视频播放数破千万的用户达2141位。美拍直播上线之后，也火速后来居上，在直播领域站稳脚跟。 4、硬件化，将工具做硬 这几年伴随着智能硬件潮流，越来越多软件公司开始做硬件，其中最积极的，还是工具类app：搜狗重点在做糖猫儿童手表，猎豹则发布了豹米空气净化器，墨迹天气做了监测空气质量的“空气果”。对于这些公司而言，做硬件的核心动因大都是让已有功能通过硬件更好地满足用户，他们的优势很明显：对于某领域的长期专注和研究，形成了较强的技术壁垒。此外，硬件本身可成为盈利点，并且对用户的“捆绑”能力远远高于软件，也是工具类app纷纷选择硬件化的原因所在。 　　墨迹天气旗下的 上述四大方向，是工具类app在克服易被复制、粘性不高、商业模式单一这三大问题的主流举措。不过，除了做矩阵相对容易之外，做内容、做社交、做硬件，都是很难的事情：如果缺乏社交属性要用户去工具上社交，太勉为其难；做硬件则有较高的门槛，要做出来存在着许多坑，要卖出去并不容易；今年在内容创业红得发紫、网红直播方兴未艾的时候，内容化恐怕是app最大的机会，但做内容需要慢工出细活，得有长期投入的决心。  本文转自d1net（转载）

对于很多用户来说，App这个事物，似乎是人与机器打交道的最天经地义的方式，仿佛“自古以来”就是如此。00后的“后浪”们，使用App可以说是“与生俱来”了。而从未接触过电脑的七八十岁老人，则可能是通过使用手机而首次接触到“带芯片的机器”，App也是他们这辈子首次接触到的软件。前些年里，很多企业的“数字化”，也言必App。但App这个东西，也就随着智能手机的大流行出现了不过十二三年，而移动互联网发展的高峰期显然已经过去了。App这种形态的软件，早在几年前，也已经遭遇到它的困境露出疲态。它对于使用者和开发者，都产生一定的局限。App类技术的疲态App的软件形态存在这些问题：它们是用户手机里的一个又一个信息孤岛，明明在同一个设备上，却无法互相跳转连通。尤其是和开放的Web连接互通不顺畅平滑。甚至可以说，手机App之间的移动互联网，和PC时代以来浏览器中的互联网，是两个平行世界对一个App的发现、安装和运行，过程并不流畅。发现机制，一是通过互联网搜索引擎，或者通过一些媒体内容介绍，从而找到跳转Google Play、Apple App Store、Huawei App Gallery等等的链接，然后再从这些应用商店里下载；二是直接在应用商店里搜索下载。然后安装使用。用户之间的互相推荐分享，没有什么特别便利的机制 - 通过邮件、短信发送链接，然后接收方重复上述过程，此过程中流失率高应用商店的存在，对于开发者和消费者，都有点鸡肋。它隔断了用户在open Web直接通过链接下载App的可能，它里面的内容通常也不能被互联网搜索引擎直接索引，所以用户只能自己“逛店”，到里面主动发起搜索，或者看看当前的App排行榜，去发现有兴趣的东西，但显然现在越来越少人会去干这种事情。对于开发者而言，所开发的App申请上架，审核时间不可控，被驳回的理由不透明，发版周期长。发版后，想让自己的产品在有数百万App的应用商店中脱颖而出，营销成本极高对于任何企业来说，信息化意味着养一个团队同时支持iOS、Android以及Web。三者功能不易对齐、进度不易同步、体验完全不同时代召唤新软件形态 - 轻应用App的“重”，导致了一系列让它们“变轻”的技术手段出现，包括了Apple App Clips、Google Instant Apps，也包括了中国市场发展起来的由手机厂商联盟推动的“快应用”，当然也包括了最成功的“小程序”。这些技术载体标准、规格各异，采用的技术开发工具、开发方式以及所运行的环境也不同，但是它们无疑都是要达成“轻快”体验的目标。苹果App ClipsApple的App Clips，有说是Apple版的“小程序”。Apple官方称之为「轻应用」，可以理解成是某个App的轻量级版本，它拥有该App（本体）的部分功能，可以把它看做已有App的某个功能碎片。App Clips体积相对小，压缩前包体积最大不超过 10 M，关键是无需经 App Store 下载，因此它能保证及时性。从这个角度看确实有点像小程序。App Clips的界面是一个卡片，用户在iPhone上看到它显示的时候，它背后的代码几乎就已经安装在了设备上了，所以响应迅速。App Clips是用户快速访问和体验一个App功能的便利方式，作为该App的一小部分，可以随需随用，而且使用时该Clips所属的App并不需要被预先安装存在于用户设备上 - 这也是App Clips的主要卖点：让用户快速体验App的部分功能后，再决定是否下载完整的App本身。App Clips提供了快速展示本体App价值的机会。要让用户更轻松地获取完整App，开发者可以适时的在 App Clips中显示下载选项。App Clips甚至可以保留用户提供的任何信息，并且无缝转移到完整 App 中。但是，它有一些比较大的局限：App Clips开发属于 iOS 原生开发，开发过程几乎和原生开发无异。所以，没有iOS开发工程师的企业或者团队，就别指望靠HTML5前端工程师去干这活了App Clips号称无需经过App Store下载，但不要以为它就无需提交Apple经受比较痛苦的审核过程，你并没有这个自由。它既然是App的一部分，每次升级还是得提交审核发布App Clips既然是iOS原生的代码实现，显然它就无法在Android等其他平台上存在。所以它不是一个跨平台保障一致性体验的机制。例如你很可能需要用Google Instant Apps的方式来重新实现一次类似功能（但用户体验无疑是很不一样的）因为上述技术原因，更因为小程序这种形态的应用已经在国内市场取得巨大成功，App Clips估计难以得到广泛的应用。Google Instant App其主要目的是其针对本体App，提高被用户发现的能力。例如用户可以通过搜索引擎和产品网站发现和直接打开使用体验一个Instant App，并因此被“引流”去下载安装完整的本体App。其他方面与Apple的App Clips原理上有相似性。当然，具体技术实现手段从编程语言到工具都完全不同。它也是原生应用开发的一部分。小程序说到小程序，大部分的读者第一反应，可能就是某些互联网社交平台、支付平台上的小程序。确实，小程序的概念深入人心并且已经被约定俗成的绑定到某些互联网公司的App上，导致大众听到这个概念时无法分清它指的是某家企业的小程序平台、还是某个机构所开发的小程序应用、还是某种类型小程序软件技术。仅仅在小程序这个范畴下，又有多家互联网巨头的技术竞品。除了上至80老翁下至8岁小儿都熟悉的“微信小程序”之外，尚有支付宝、百度、美团、京东、快手、头条等等多家的平台。快应用受到小程序类技术启迪，由国内手机厂商和运营商共同发起的一种技术形态，因为与小程序的原理上有一定相似性，不在此赘述。值得一提的是，号称是欧盟嫡系、欧盟基因的开源组织OW2，支持了快应用在欧洲的推动。小程序之所以“轻”，是因为它基于HTML、CSS、JavaScript以及JavaScript基础上一些DSL（Domain Specific Language，通常以XML形态出现），以文本格式传播，加载后由“宿主”App提供解析、渲染、执行的能力。也就是说它只是一些供解析的指令。它可以视为是HTML5基础上的人机交互体验优化，它轻量、利于传播、能产生网络效应、发版敏捷、和Web内容可以无缝融合、跨设备支持、继承了HTML5的普适性又兼具了App的移动端体验。什么是有生命力可持续发展的轻应用虽然有Apple和Google这样的巨头在推动各自的“轻应用”技术，可是在此作为一家之言，我们并不看好这些技术形态能取得多大的成功。判断标准是什么呢？能否解决跨设备、全端支持问题。企业们都希望能够让自己的应用，开发一次、多处运行。硬件/操作系统厂商显然不在解决这个问题的最佳位置上。当前即便有Flutter、RN等跨平台技术去一定程度替代原生App的开发，但这些并非“轻应用”类型技术替代品。说到App Clips和Instant Apps，你依然需要采用iOS和Android的原生手段实现。能否提供灵活多样的发现机制。用户不仅通过应用商店搜索发现App，更可以通过互联网搜索引擎、网站传播、朋友分享转发，获得相关应用信息并在发现后即可“就地”使用。是否对开发者也足够轻。采用指令式的、解析型的语言编程，换句话说，基于脚本型动态语言、标签语言，应该是对大部分开发者而言门槛较低、开发较为敏捷。事实上也只有采用这种类型的技术，才能让代码轻巧体积小和便于下载、转发。能否形成网络效应。数字化时代就是讲用户的网络效应，商业场景在人与人、设备与设备之间分享、传播、借力，形成裂变。本质上这就是利用网络中的用户节点去帮助做软件分发。如果软件体积大、接收者需要经历明显的下载安装的阶段，网络效应就无法达成。需要做到转发者发送方便，接收者则点开即用，就像打开网页链接马上看到内容一样。传播是否安全。原生的代码，因为对设备端操作系统资源的访问权限较大，越过应用商店机制的“越狱式”随意分发，导致的是病毒泛滥，对消费者数据安全、隐私保护造成极大伤害。App Clips和Instant Apps是尝试在应用商店机制之外提供依然安全但又便利的折衷方案。但代价是比较复杂的技术机制。有没有公共标准或者工业标准可依托。使用建立在标准上的技术，对于开发者来说，风险低的多，首先所开发内容不用担心被技术平台锁死，其次有标准工具可用。在一个技术标准的周围，往往形成丰富的技术生态 - 开发工具、测试工具、插件、文档、开源组件、开发者社区都形成积累。是否建立在一个松散耦合的架构基础上。轻应用往往都是一些功能单元、场景片段，如果它们之间的高度耦合、互相依赖、难分难解的，就无法独立开发测试、互不影响的发布。这好比服务器端的服务，如果彼此紧密关联，则最终它们形成一个事实上的单体应用，难以拆分和扩展，更遑论多团队并行开发。Apple App Clips和Google Instant Apps，本质上是一个App的碎片，和App本体是一一对应、紧密耦合的关系。相较之下，小程序则是宿主应用与动态“插件”的离散关系，插件与宿主的关系是如此之松散，乃至插件的开发者、拥有者数量可以无穷无尽，并且和宿主拥有者无需有任何前置商业关系。一个互联网大平台的App，动辄支持百万级别的小程序。这种松耦合程度的技术架构，才可以支持高度敏捷性、高度可运营性、和高度的规模化。如果基于上述的判断条件，我们看好小程序这种技术形态是轻应用领域的良好选择。因为：便于在用户之间、设备之间的分享传播用户之间的推荐，也是一种发现机制基于JavaScript、CSS、XML而扩展/衍生，开发门槛相对低，能找到大量的Web开发者胜任开发工作代码运行在基于浏览器内核的容器中，往往与运行环境所在的设备的其他软硬件资源隔离，安全性得到保障，但复杂度较低（无需开发者深入了解内部原理）向未来兼容 - 正因为技术栈建立在Web技术基础上，Web上不断出现的开源框架、工具往往都可以被利用宿主应用与小程序之间极度松散耦合，让敏捷轻量成为可能。所以，接下来我们主要讨论小程序作为未来主流的轻应用形态。是时候重新理解小程序小程序的出现，已经有五、六年以上时间。是不是就已经发展到高峰甚至过了它的鼎盛期？实际上，这是一个在继续演进的领域，还有很大的创新空间，是时候重新检视，并对小程序这个概念作出一些澄清，因为它负载了过多的含义在里面，往往在不同的语境下说的是不同的意思，导致了交流过程说明清楚的困难。从手机用户的角度看，小程序是一种应用，就是衣食住行、医疗健康、市政服务等等各种生活场景的服务交互方式，在终端用户的印象里它们似乎都是依附、归属在某个互联网大平台的App里面的。但对于开发者来说，小程序首先是一种技术载体，用什么工具开发、基于什么语言和规范、打包成什么样的格式、遵循什么样的要求才能申请上架到什么互联网平台。对于企业来说，往往要考虑自己的小程序投放到多个小程序平台，这些平台各自拥有其自己全权管控的小程序内容生态。企业不过是把自己的业务以小程序形态“进驻”到这些平台上。此外，小程序是一种正在形成的互联网技术标准，W3C的Mini-App工作组正在形成标准化的建议稿（上文提到的欧盟开源组织OW2所支持的快应用实现，也将遵循这个标准）。它不再是某个互联网公司的“专利”，“小程序”这个名字也不代表是哪一家的技术。它是一种轻应用形态，一种数字内容的表现方式，或者我们称之为“小程序化的数字内容”。标准形成后，小程序技术的底层实现方式，依然可以是各家厂商不同。这好比浏览器厂家有Google、Microsoft、Apple、Mozilla、Opera... 它们各自的产品Chrome、Edge、Safari、Firefox、Opera等等也完全基于各自的技术而产生，但这不影响它们都能正确的在各种电脑、手机上解析、渲染和展现HTML的内容。规范、既成事实标准、最终工业标准的形成，带来了对企业应用软件的重新解构。市场上出现新的技术门类，就是让企业以小程序这种形态为技术载体实现业务功能，并帮助企业以敏捷的方式，开发、运营、管理自己的“小程序化”的业务场景、应用服务、业务内容。小程序化，首先发生在企业内部的数字化进程中，它和互联网上的平台们，没有必然的联系。企业里开发的同一个小程序，它首先是供给给了自己的App，至于是否投放到第三方平台，那是业务、法务、合规等等部门的联合决策问题了。新生物种：以小程序为载体的企业轻应用方案互联网巨头们自营的平台，在其中上架的小程序内容，均由他们进行审核、生杀予夺。所形成的数百万计的小程序内容生态，也是由平台掌握。当然，这些小程序也只能运行在他们提供的App中。但这种连接能力强、数字化程度高、生态内容丰富的技术，能否为一般企业所掌握呢？这里所谓的“掌握”，不是说企业有能力去开发小程序然后上架至某个互联网平台开展业务、成为别人生态的一部分，而是企业能否拥有类似的技术，搭建自己的小程序运营平台、小程序商店、小程序开发者中心，自行掌握对其中内容的审核、上下架管理，把小程序投放至自己的App中运行，并让别人成为自己的合作生态。拥有这样的技术，任何企业对内可以让IT把业务内容小程序化、对外可以采购或引入开发商提供的小程序化应用系统，然后上架至自己的“小程序商店”，对自己的员工、客户进行分发。这种工具，我们称之为小程序化轻应用技术底座，它就是让企业以小程序这种“格式”、“规范”、“标准”去开发软件功能，并对这些功能单元进行生命周期管理、上下架发布审核以及传播渠道的投放与监控。面向企业的小程序化轻应用技术，它的竞品是谁呢？答案并非拥有小程序生态的互联网平台，而是传统原生App开发模式、网页应用开发模式、desktop软件开发模式。这正如HTML、JavaScript首先盛行于互联网的网站，后来它们逐渐被运用于企业应用，出现国内曾经风行一时的所谓“B/S架构” （Browser-Server架构），从而与PC时代的C/S架构、基于Visual Basic/Visual C++的应用开发产生竞争并最终替代了后者。小程序化的轻应用技术，正处于从互联网进入企业市场的时刻。FinClip：起源于金融业的轻应用技术底座最早把小程序作为企业轻应用软件技术载体的产品是FinClip - 凡泰极客自2019年前后即开始深耕这一领域。FinClip的技术方案，目的就是要让任何行业的任何企业，均可以拥有自主打造小程序生态、发布管理小程序内容、在自己的App中运行小程序的能力。因为FinClip团队相信：小程序是促进数字化连接的最佳载体连接是企业数字化转型的核心关键数字化内容资产的小程序化，最有利于敏捷发布业务场景、实时风控、降本增效FinClip的命名本源，是 FinTech + Clip。因为这个技术起源于金融科技领域，原来的设计理念是，让银行、证券等金融机构把功能繁琐复杂、合规要求严格、数据安全风险控制性强的数字化业务场景，以一种“轻应用”的技术形态开发，让业务部门以“上下架”的机制自行进行功能碎片的发布管理，让消费者用户以随需随用的方式加载至App中进行使用，并且每次的使用，总是自动获得最新的版本。FinClip研发团队基于金融业务场景的需求，经过对系列相关技术的深度研究，决定采用“小程序”格式，并把它称之为“Clip”。“Clip”这个词，也被Apple在其App Clips技术中采用。它是一词多义，浓缩了多个中文翻译的内涵，特别适合于技术命名：【含义1】：别针、回形针。这可能也是大部分人所熟悉的第一反应。【含义2】：报章、电影或电视的剪辑片段，例如“I watched a clip of the movie”。【含义3】：快速、迅速。例如“We set off at a good clip, but we gradually slowed down”（我们出发时速度很快，但逐渐慢了下来）。【含义4】：嵌入在枪支上的弹夹、弹匣（a container that is fastened to a gun, from which bullets go into the gun to be fired）。【含义5】：当作为动词的时候，有“夹在”、“别在”什么东西上面的意思。因为小程序技术形态完全吻合这个单词所包含的多重含义：作为代码“片段”，被“夹在”某个应用“宿主”上迅捷运行；并且代码是加载到一个嵌入在宿主中的“弹匣”（或者说“容器”）里随时射出；适合于像附件一样转发分享传播的应用片段，启动时间短、运行速度快。所以，FinClip的含义，就是“金融科技场景的敏捷轻应用”。FinClip让金融机构能够敏捷、动态的发布业务场景，并能迅速对有任何潜在合规风险、信息安全风险的场景实时下架，而无需重新发版App并经历手机操作系统平台的应用商店、应用市场长达数天的审核甚至打回。毕竟金融业务风险处理有巨大的时间压力，还有监管机构问责的压力。风控永远不嫌“实时”。发展到今天，FinClip已经不再是金融业务场景的专用技术。事实证明，它能满足强监管、强信息安全与隐私保护规定、强风控要求的金融业诉求，也就能满足其他各行各业的应用诉求。它也不再仅仅支持在手机App中运行轻应用，它更支持在各种桌面端、物联网智能设备端的运行，逐渐发展成为一个在多终端、多设备进行数字内容发布与监测管控的平台型技术工具。

据 softpedia 网站11月15日报道，信息安全公司 Kryptowire 在一些价格低廉的安卓手机防火墙上发现“后门”，从事信息安全工作的承包商略显危言耸听地表示：它有一个后门，会每隔72小时就把你所有的短信都发送到中国。 “涉事”企业为设计了该软件的上海广升信息技术有限公司 ( Adups )。 美国手机制造商BLU产品公司表示，其12万部手机受到影响。 最惊悚的是，纽约时报中文网的报道指出： “这个问题显示了处在整个技术供应链中的公司，如何能够在制造商或用户知情或不知情的情况下侵害隐私。它也让人看到了中国公司——进而延伸到中国政府——可以监视手机的一种方式。多年来，中国政府一直在使用各种方法来过滤和跟踪互联网的使用，监视在线对话。政府要求在中国经营的技术公司遵守严格的规则。” 而 Kryptowire 则是一家美国国土安全部的承包商，但这家公司马上跳出来说——对 BLU 手机的分析是独立于政府合同进行的。 随后，Adups 的法律代理加利福尼亚州帕洛阿尔托的律师林丽丽叶马上澄清：“广升不隶属于中国政府部门，也不为中国政府搜集数据，这仅是一家私人公司的错误行为”。 据广升向 BLU 高管提供的解释这个问题的文件，广升有意设计了这个软件，以帮助中国手机制造商监视用户行为。广升表示，带有上述功能的软件版本原本不是为美国手机写的。 这一起险上升到“国家安全”层面的事件究竟是怎么回事？ softpedia 撰文指出，Kryptowire 曾分析表示： “Kryptowire 已经发现好几个设备都在搜集敏感信息并转移到第三方，无需征求用户的同意，这些设备在美国各大网上零售商都可以买到，如亚马逊、百思买等，这些设备搜集的信息包括短信文本、联系表、通讯记录、设备唯一识别码如 IMEI 和 IMSI 。” “专家则发现，这个‘后门’收集的信息包括电话号码、位置数据、短信内容、通讯记录、安装及使用的应用等。” 中国公司疑陷“间谍门”：被指在安卓手机留“后门” 为什么会有这个“后门”出现？文章认为，Adups （广升）主要还是出于商业及广告目的，因此搜集用户的行为数据。 据广升提供的文件，这款软件是根据一个未指明的中国制造商的要求编写的，该制造商希望软件有存储通话记录、短信消息和其他数据的功能。广升说，中国公司使用这些数据提供客户支持。 林丽丽说，该软件的目的是帮助中国客户识别垃圾短信和电话，不过她没有给出提这个要求的公司的名字。 目前，尚未可知的是，受广升该“后门”影响的手机有多少。但是，softpedia 给出了一则联系——广升为华为和中兴公司提供防火墙升级支持，潜藏意思读者可以自己揣摩。 BLU 则表示，公司已更新了软件，删除了广升提供的这项功能。 雷锋网(公众号：雷锋网)联系到了一位某大型互联网公司安卓漏洞研究专家，向他征求对此事的看法。他表示：“国内应该也有，是供应商预装的 APP ，但搜集短信的全文、联系人名单、通话记录这些好像没有确实证据，我们目前分析过，确实会回传的是手机安装软件以及一些手机系统的信息。“ 目前国内的安卓机上类似的问题多吗？ 该专家表示：”这个我没法给你数据，肯定是有的，而且这是预装软件，只能 ROOT 卸掉，或者靠厂商进行新系统升级。“ 本文转自d1net（转载）