11月27日消息,据外媒报道,应用分析和归属公司Kochava发现,8款非常受欢迎的安卓应用利用用户权限卷入广告欺诈案中,可能窃走了数百万美元广告收益。这些应用在谷歌应用店Google Play的总下载量超过20亿次。

Kochava发现7款从事广告欺诈行为的应用程序属于猎豹移动(Cheetah Mobile),这家在纽约证券交易所上市的公司去年被一家卖空投资公司指控存在欺诈行为,但猎豹坚决否认这一指控。另一款应用属于Kika Tech,这家总部位于硅谷的公司在2016年获得了猎豹的大笔投资。这两家公司声称,他们的移动应用程序每月拥有7亿多活跃用户。

这些指控是对庞大数字广告技术行业的最新打击。该行业仍受到巨额欺诈问题的困扰,移动生态系统充斥着恶意广告和欺诈行为。新闻聚合网站BuzzFeed News上月已经曝光了一项广告欺诈案,该计划追踪数十款安卓应用的用户行为,以产生虚假流量并窃取广告商的收益。谷歌估计该公司及其合作伙伴损失了近1000万美元广告收入,随后谷歌从Play store删除了许多应用。

虽然最直接的受害者是那些因欺诈计划而损失广告收益的品牌,但广告欺诈也会导致合法出版商和开发商损失惨重。以移动应用程序为例,它可能会让用户感到沮丧,因为他们可能会看到自己的手机电池耗尽电量,数据使用量飙升,这是在他们不知情的情况下发生的非法广告交易的结果。

这起广告欺诈案利用了一个基本事实,即许多应用程序开发人员需要支付一笔费用(或赏金),通常从0.5到3美元不等,支付给帮助他们安装新应用程序的合作伙伴。Kochava发现,猎豹和Kika应用程序跟踪用户下载新应用程序的时间,并利用这些数据宣称是自己促使用户下载了新应用程序。猎豹和Kika的这种做法被称为“点击泛滥”和“点击注入”,确保这些公司即使在应用程序安装过程中没有扮演任何角色,也能获得相应的安装奖励。

Kochava的客户分析主管格兰特·西蒙斯(Grant Simmons)表示:“毋庸置疑,这是盗窃行为。”他说,这个例子值得注意,因为猎豹和Kika Tech都是大型应用程序开发商,他们将这些实践应用到自己的应用程序中。

西蒙斯称:“这些公司明目张胆地大规模这样做,而不是随便找个人躲在地下室里隐秘行动。”

Kochava发现存在“点击泛滥”和“点击注入”等行为的应用及其下载量

在收到Kika键盘应用卷入欺诈广告的视频后,Kika Tech的美国总经理马克·理查森(Marc Richardson)表示,该公司“无意从事欺诈行为”。理查森称:“Kika键盘是一款大型知名应用程序,它可以帮助用户以许多独特的方式进行交流,我们对这些‘点击泛滥和注入’的做法感到非常失望。我们感谢你们提请我们注意这个问题。”

Kika还向BuzzFeed News提供了来自其首席执行官Bill Hu的声明,声明称任何广告欺诈行为都是在该公司完全不知情的情况下发生的。他说:“目前,Kika正在广泛研究引发关注的关键问题。事实上,如果我们的产品中已经植入了代码,我们将尽一切努力迅速、全面地纠正这一情况,并对相关人员采取行动。现在,我们在开始内部研究,不再提供进一步的评论。”

但Kochava和BuzzFeed News Method Media Intelligence的普拉纳特·夏尔马(Praneet Sharma)进行的另一项分析都发现,Kika键盘使用该公司自己的专有软件执行“点击泛滥”和“点击注入”操作,并将这个功能直接内置在应用程序中。西蒙斯说:“许多企业运营的其他应用程序也有同样的行为,这不像是什么重大机密。更重要的是,考虑到应用程序领域,这实际上是一种商业策略。”

猎豹发布声明,称整合到其应用程序中的第三方软件开发工具包(SDKs)应对“点击注入”负责。该公司称:“我们通过SDK集成与许多主流广告平台合作。我们通过SDK从这些广告平台获得广告,并显示他们的广告。我们无法控制这些SDK的行为。广告平台和独立仲裁机构共同决定应用程序安装的归属,而我们没有参与其中。我们会继续调查此事,如果有任何进一步的消息,我们会及时通知你们。”

然而,Kochava发现,参与可疑活动的SDK实际上是猎豹所有和开发的,而不是第三方。当BuzzFeed News发布这一信息时,猎豹表示:“猎豹的任何SDK都没有涉及点击注入。”西蒙斯说:“如果我们所发现和记录的不是欺诈,我们非常好奇它到底是什么。”

除了对两家中国知名应用程序开发商的商业行为提出严重质疑外,这也凸显了安卓应用程序生态系统和谷歌应用店中的安全、隐私和广告欺诈问题。BuzzFeed News向谷歌提供了Kochava捕捉到的猎豹和Kika应用程序的视频,以及Method Media Intelligence识别出的相关应用程序代码截图。谷歌最初表示,尚未证实应用程序中存在欺诈策略,并要求Kika和猎豹提供更多信息,该公司将继续调查。

西蒙斯称:“谷歌是Google Play的策展人,也是最大应用盈利平台之一的所有者。如果它对广告欺诈在这个生态系统中发生在哪里感到困惑,我们很乐意提供帮助。”

移动和科技公司的独立研究公司Arete高级分析师理查德·克莱默(Richard Kramer)表示,谷歌需要将受影响的应用从其应用店中移除。他质疑道:“为何谷歌不立即从Google Play中删除这些应用,并建议用户卸载它们?这可能会减少他们网络中的广告库存,但我预计谷歌会对印象质量更加敏感。整个行业需要做的,不仅仅是隐藏在貌似可信的真相背后。”

应用程序安装欺诈问题很普遍。市场研究公司eMarketer的数据显示,应用程序安装在全球的市场价值超过70亿美元。应用程序归属平台AppsFlyer分析了过去12个月里安装的10亿次应用程序,发现其中25%存在欺诈行为,这意味着在过去一年里估计有17亿美元广告收益被盗。

网约车巨头Uber目前正在起诉其一家广告代理公司,原因包括“欺诈性地声称应用程序下载是在用户从未点击广告的情况下完成的”。该机构否认了这一指控。

广泛的过度授权

涉及到的猎豹的应用程序包括清理大师、CM文件管理器、CM Launcher 3D、安全大师、电池博士、CM锁和猎豹键盘。其中几款是整个Google Play中最流行的生产力应用程序。据AppBrain analytics的数据显示,仅在过去30天里,这些应用程序的下载量就超过了2000万次。CM Launcher 3D也作为Google Play的“必选应用”之一向用户推广。

猎豹在最新的季度财报中称,它从“公用产品和相关服务”中获得了1.96亿美元收入,其中这七款应用程序是关键的组成部分。另一个类似的应用程序是Kika键盘,它可以让用户发送各种表情符号。它是Google Play中最受欢迎的键盘,号称每月拥有6000万活跃用户。

受影响的猎豹和Kika应用程序要求用户提供范围广泛的权限,包括跟踪击键或看到何时下载其他应用程序,这让人质疑这些公司收集的数据数量。夏尔马形容这些应用程序为“广泛的过度授权”。他说:“事实上,你拥有需要高权限的应用程序,它们收集了如此多的信息。它们什会记录任何东西,所以从隐私的角度来看,它们侵犯了很多东西。”

Kika的美国总经理理查森表示,该公司“非常重视数据安全,这是我们工作的核心。我们的数据收集和使用一直严格遵守谷歌的政策和GDPR法律。”但夏尔马称,谷歌和其他运营应用店的公司不应该接受需要如此高权限的应用程序。他表示,安卓生态系统“几乎没有监控和安全措施”。

点击注入流程

正常安装程序和点击注入

应用程序开发人员通常会向第三方发放所谓的“奖金”,以帮助推动安装。如果用户点击某个应用程序的广告,然后安装并打开它,该应用程序的开发人员将向广告网络付费。关键是要知道谁应该为推动安装而获得奖励,因为这笔收入需要流向提供广告服务的网络,以及广告出现的网站和应用发布者。这就是这个系统的弱点。应用程序安装归属(App install attributor)通常不是一门精确的科学,因为很难确定是哪个广告导致应用程序在特定的手机上被安装。

要将安装归功于正确的一方,需要将有关用于点击广告的设备信息,以及服务于该设备的网络和发布者的信息与应用程序一起传递。当应用程序最终被打开时,它会执行“回溯”操作,查看最后一次点击来自哪里,并相应地设置安装属性。

Kochava发现,猎豹和Kika应用程序正在利用这一归因系统,以确保它们获得最后一次点击的奖励。即使没有提供广告,也没有在安装过程中扮演任何角色,情况也是如此。

猎豹的移动应用

Kochava发现了7个猎豹应用程序,这些应用程序要求用户允许它们查看新应用程序的下载时间,并能够启动其他应用程序。当用户下载新应用程序时,猎豹应用程序会侦听。一旦检测到新的下载,猎豹应用就会查找该应用程序可用的活动安装赏金。然后,它会发送包含相关应用程序归属信息的点击,以确保猎豹赢得奖励,尽管这与正在下载的应用程序无关。

西蒙斯说,作为额外的保障,猎豹的应用程序还可以在用户不知情的情况下启动新下载的应用程序。这有助于提高它在安装应用程序时获得赏金的几率,因为只有当用户打开一个新应用程序时,它才能获得奖励。

西蒙斯称:“这种邪恶的策略试图自动打开应用程序,因为它通过确保用户可以通过欺诈点击来获得赏金。”

Kika键盘

Kika键盘的独特定位可以执行“点击泛滥”和“点击注入”操作。作为键盘,它要求用户允许它查看正在键入的内容。Kika应用程序使用这种功能监听用户对其他应用程序进行的任何搜索。Kochava发现,Kika键盘开始寻找与这些搜索相关的应用程序提供的安装奖励。一旦Kika通过应用程序搜索功能识别出应用程序,它就会用这些应用程序中包含的属性信息生成一系列点击,试图在任何与用户应用程序搜索相关的未来安装中获得奖励。

即使Kika键盘未启动,这款应用也会监听应用店的搜索,西蒙斯说这一点尤其令人担忧。和上面的例子一样,它监听用户在应用店中搜索的内容。但Kochava发现,它并不会立即触发属性点击,而是会显示带有活动优惠的应用程序广告。如果用户下载了一个应用程序作为这个搜索会话的一部分,Kika会宣称那是自己的功劳,即使用户从来没有真正点击过一个广告来生成安装。西蒙斯说:“他们会在你可能感兴趣的应用程序上押下尽可能多的赌注。”

最后一点涉及到掩盖这样的事实,即猎豹和Kika应用程序涉及如此多的应用程序安装。西蒙斯说,猎豹和Kika应用程序都装载了专有软件,以方便和隐藏应用程序的归属。这使得他们能够通过许多广告网络传递属性,从而隐藏这样一个事实,即许多属性都是通过这些应用获得的。

西蒙斯说,Kochava发现Kika键盘和其中猎豹一款应用程序在20多个广告网络上散布安装归属声明。Kochava还发现,他们有时会使用虚假的应用程序名称,以进一步模糊Kika和猎豹应用程序所扮演的角色。西蒙斯称:“注入点击来自许多不同的广告网络,而这些网络中的子发布者要么是在谎言,要么言辞模糊。” (腾讯科技编译/金鹿)