獵豹移動多款手機應用卷入廣告欺詐 下載量超20億次

騰訊科技訊 11月27日消息，據外媒報導，應用分析和歸屬公司Kochava發現，8款非常受歡迎的安卓應用利用用戶權限卷入廣告欺詐案中，可能竊走了數百萬美元廣告收益。這些應用在谷歌應用店Google Play的總下載量超過20億次。

Kochava發現7款從事廣告欺詐行為的應用程式屬於獵豹移動(Cheetah Mobile)，這家在紐約證券交易所上市的公司去年被一家賣空投資公司指控存在欺詐行為，但獵豹堅決否認這一指控。另一款應用屬於Kika Tech，這家總部位於矽谷的公司在2016年獲得了獵豹的大筆投資。這兩家公司聲稱，他們的移動應用程式每月擁有7億多活躍用戶。

這些指控是對龐大數字廣告技術行業的最新打擊。該行業仍受到巨額欺詐問題的困擾，移動生態系統充斥著惡意廣告和欺詐行為。新聞聚合網站BuzzFeed News上月已經曝光了一項廣告欺詐案，該計劃追蹤數十款安卓應用的用戶行為，以產生虛假流量並竊取廣告商的收益。谷歌估計該公司及其合作夥伴損失了近1000萬美元廣告收入，隨後谷歌從Play store刪除了許多應用。

雖然最直接的受害者是那些因欺詐計劃而損失廣告收益的品牌，但廣告欺詐也會導致合法出版商和開發商損失慘重。以移動應用程式為例，它可能會讓用戶感到沮喪，因為他們可能會看到自己的手機電池耗盡電量，數據使用量飆升，這是在他們不知情的情況下發生的非法廣告交易的結果。

這起廣告欺詐案利用了一個基本事實，即許多應用程式開發人員需要支付一筆費用(或賞金)，通常從0.5到3美元不等，支付給幫助他們安裝新應用程式的合作夥伴。Kochava發現，獵豹和Kika應用程式跟蹤用戶下載新應用程式的時間，並利用這些數據宣稱是自己促使用戶下載了新應用程式。獵豹和Kika的這種做法被稱為“點擊泛濫”和“點擊注入”，確保這些公司即使在應用程式安裝過程中沒有扮演任何角色，也能獲得相應的安裝獎勵。

Kochava的客戶分析主管格蘭特·西蒙斯(Grant Simmons)表示:“毋庸置疑，這是盜竊行為。”他說，這個例子值得注意，因為獵豹和Kika Tech都是大型應用程式開發商，他們將這些實踐應用到自己的應用程式中。

西蒙斯稱：“這些公司明目張膽地大規模這樣做，而不是隨便找個人躲在地下室裡隱秘行動。”

在收到Kika鍵盤應用卷入欺詐廣告的影片後，Kika Tech的美國總經理馬克·理查森(Marc Richardson)表示，該公司“無意從事欺詐行為”。理查森稱：“Kika鍵盤是一款大型知名應用程式，它可以幫助用戶以許多獨特的方式進行交流，我們對這些‘點擊泛濫和注入’的做法感到非常失望。我們感謝你們提請我們注意這個問題。”

Kika還向BuzzFeed News提供了來自其首席執行官Bill Hu的聲明，聲明稱任何廣告欺詐行為都是在該公司完全不知情的情況下發生的。他說：“目前，Kika正在廣泛研究引發關注的關鍵問題。事實上，如果我們的產品中已經植入了代碼，我們將盡一切努力迅速、全面地糾正這一情況，並對相關人員采取行動。現在，我們在開始內部研究，不再提供進一步的評論。”

但Kochava和BuzzFeed News Method Media Intelligence的普拉納特·夏爾馬(Praneet Sharma)進行的另一項分析都發現，Kika鍵盤使用該公司自己的專有軟體執行“點擊泛濫”和“點擊注入”操作，並將這個功能直接內置在應用程式中。西蒙斯說:“許多企業運營的其他應用程式也有同樣的行為，這不像是什麽重大機密。更重要的是，考慮到應用程式領域，這實際上是一種商業策略。”

獵豹發布聲明，稱整合到其應用程式中的第三方軟體開發工具包(SDKs)應對“點擊注入”負責。該公司稱：“我們通過SDK集成與許多主流廣告平台合作。我們通過SDK從這些廣告平台獲得廣告，並顯示他們的廣告。我們無法控制這些SDK的行為。廣告平台和獨立仲裁機構共同決定應用程式安裝的歸屬，而我們沒有參與其中。我們會繼續調查此事，如果有任何進一步的消息，我們會及時通知你們。”

然而，Kochava發現，參與可疑活動的SDK實際上是獵豹所有和開發的，而不是第三方。當BuzzFeed News發布這一資訊時，獵豹表示：“獵豹的任何SDK都沒有涉及點擊注入。”西蒙斯說:“如果我們所發現和記錄的不是欺詐，我們非常好奇它到底是什麽。”

除了對兩家中國知名應用程式開發商的商業行為提出嚴重質疑外，這也凸顯了安卓應用程式生態系統和谷歌應用店中的安全、隱私和廣告欺詐問題。BuzzFeed News向谷歌提供了Kochava捕捉到的獵豹和Kika應用程式的影片，以及Method Media Intelligence識別出的相關應用程式代碼截圖。谷歌最初表示，尚未證實應用程式中存在欺詐策略，並要求Kika和獵豹提供更多資訊，該公司將繼續調查。

西蒙斯稱：“谷歌是Google Play的策展人，也是最大應用盈利平台之一的所有者。如果它對廣告欺詐在這個生態系統中發生在哪裡感到困惑，我們很樂意提供幫助。”

移動和科技公司的獨立研究公司Arete高級分析師理查德·克萊默(Richard Kramer)表示，谷歌需要將受影響的應用從其應用店中移除。他質疑道：“為何谷歌不立即從Google Play中刪除這些應用，並建議用戶解除安裝它們？這可能會減少他們網絡中的廣告庫存，但我預計谷歌會對印象品質更加敏感。整個行業需要做的，不僅僅是隱藏在貌似可信的真相背後。”

應用程式安裝欺詐問題很普遍。市場研究公司eMarketer的數據顯示，應用程式安裝在全球的市場價值超過70億美元。應用程式歸屬平台AppsFlyer分析了過去12個月裡安裝的10億次應用程式，發現其中25%存在欺詐行為，這意味著在過去一年裡估計有17億美元廣告收益被盜。

網約車巨頭Uber目前正在起訴其一家廣告代理公司，原因包括“欺詐性地聲稱應用程式下載是在用戶從未點擊廣告的情況下完成的”。該機構否認了這一指控。

廣泛的過度授權

涉及到的獵豹的應用程式包括清理大師、CM檔案管理器、CM Launcher 3D、安全大師、電池博士、CM鎖和獵豹鍵盤。其中幾款是整個Google Play中最流行的生產力應用程式。據AppBrain analytics的數據顯示，僅在過去30天裡，這些應用程式的下載量就超過了2000萬次。CM Launcher 3D也作為Google Play的“必選應用”之一向用戶推廣。

獵豹在最新的季度財報中稱，它從“公用產品和相關服務”中獲得了1.96億美元收入，其中這七款應用程式是關鍵的組成部分。另一個類似的應用程式是Kika鍵盤，它可以讓用戶發送各種表情符號。它是Google Play中最受歡迎的鍵盤，號稱每月擁有6000萬活躍用戶。

受影響的獵豹和Kika應用程式要求用戶提供範圍廣泛的權限，包括跟蹤擊鍵或看到何時下載其他應用程式，這讓人質疑這些公司收集的數據數量。夏爾馬形容這些應用程式為“廣泛的過度授權”。他說:“事實上，你擁有需要高權限的應用程式，它們收集了如此多的資訊。它們什會記錄任何東西，所以從隱私的角度來看，它們侵犯了很多東西。”

Kika的美國總經理理查森表示，該公司“非常重視數據安全，這是我們工作的核心。我們的數據收集和使用一直嚴格遵守谷歌的政策和GDPR法律。”但夏爾馬稱，谷歌和其他運營應用店的公司不應該接受需要如此高權限的應用程式。他表示，安卓生態系統“幾乎沒有監控和安全措施”。

點擊注入流程

應用程式開發人員通常會向第三方發放所謂的“獎金”，以幫助推動安裝。如果用戶點擊某個應用程式的廣告，然後安裝並打開它，該應用程式的開發人員將向廣告網絡付費。關鍵是要知道誰應該為推動安裝而獲得獎勵，因為這筆收入需要流向提供廣告服務的網絡，以及廣告出現的網站和應用發布者。這就是這個系統的弱點。應用程式安裝歸屬(App install attributor)通常不是一門精確的科學，因為很難確定是哪個廣告導致應用程式在特定的手機上被安裝。

要將安裝歸功於正確的一方，需要將有關用於點擊廣告的設備資訊，以及服務於該設備的網絡和發布者的資訊與應用程式一起傳遞。當應用程式最終被打開時，它會執行“回溯”操作，查看最後一次點擊來自哪裡，並相應地設定安裝屬性。

Kochava發現，獵豹和Kika應用程式正在利用這一歸因系統，以確保它們獲得最後一次點擊的獎勵。即使沒有提供廣告，也沒有在安裝過程中扮演任何角色，情況也是如此。

獵豹的移動應用

Kochava發現了7個獵豹應用程式，這些應用程式要求用戶允許它們查看新應用程式的下載時間，並能夠啟動其他應用程式。當用戶下載新應用程式時，獵豹應用程式會偵聽。一旦檢測到新的下載，獵豹應用就會查找該應用程式可用的活動安裝賞金。然後，它會發送包含相關應用程式歸屬資訊的點擊，以確保獵豹贏得獎勵，儘管這與正在下載的應用程式無關。

西蒙斯說，作為額外的保障，獵豹的應用程式還可以在用戶不知情的情況下啟動新下載的應用程式。這有助於提高它在安裝應用程式時獲得賞金的幾率，因為只有當用戶打開一個新應用程式時，它才能獲得獎勵。

西蒙斯稱：“這種邪惡的策略試圖自動打開應用程式，因為它通過確保用戶可以通過欺詐點擊來獲得賞金。”

Kika鍵盤

Kika鍵盤的獨特定位可以執行“點擊泛濫”和“點擊注入”操作。作為鍵盤，它要求用戶允許它查看正在鍵入的內容。Kika應用程式使用這種功能監聽用戶對其他應用程式進行的任何搜索。Kochava發現，Kika鍵盤開始尋找與這些搜索相關的應用程式提供的安裝獎勵。一旦Kika通過應用程式搜索功能識別出應用程式，它就會用這些應用程式中包含的屬性資訊生成一系列點擊，試圖在任何與用戶應用程式搜索相關的未來安裝中獲得獎勵。

即使Kika鍵盤未啟動，這款應用也會監聽應用店的搜索，西蒙斯說這一點尤其令人擔憂。和上面的例子一樣，它監聽用戶在應用店中搜索的內容。但Kochava發現，它並不會立即觸發屬性點擊，而是會顯示帶有活動優惠的應用程式廣告。如果用戶下載了一個應用程式作為這個搜索會話的一部分，Kika會宣稱那是自己的功勞，即使用戶從來沒有真正點擊過一個廣告來生成安裝。西蒙斯說:“他們會在你可能感興趣的應用程式上押下盡可能多的賭注。”

最後一點涉及到掩蓋這樣的事實，即獵豹和Kika應用程式涉及如此多的應用程式安裝。西蒙斯說，獵豹和Kika應用程式都裝載了專有軟體，以方便和隱藏應用程式的歸屬。這使得他們能夠通過許多廣告網絡傳遞屬性，從而隱藏這樣一個事實，即許多屬性都是通過這些應用獲得的。

西蒙斯說，Kochava發現Kika鍵盤和其中獵豹一款應用程式在20多個廣告網絡上散布安裝歸屬聲明。Kochava還發現，他們有時會使用虛假的應用程式名稱，以進一步模糊Kika和獵豹應用程式所扮演的角色。西蒙斯稱：“注入點擊來自許多不同的廣告網絡，而這些網絡中的子發布者要麽是在謊言，要麽言辭模糊。” （騰訊科技編譯/金鹿）