查看原文
其他

面对严打微信外挂巨浪,微信端软件开发者如何远航?

潘峰 陈琦伟 知识产权那点事 2020-09-18

文 / 潘峰 浩鲸云计算科技股份有限公司,陈琦伟 北京盈科(合肥律师事务所


2019年6月19日,微信安全中心发布《关于打击"微信营销"外挂的公告》,称现在仍有部分用户使用第三方外挂软件,对微信的流程和数据进行了侵入,篡改微信客户端数据、逻辑,以实现恶意营销、欺诈等目的,对此,微信安全团队将进行专项清理并持续打击。2019年7月5日,微信安全中心发布《2019年上半年打击使用外挂行为处理公示》,再次表明严打微信外挂行为的态度。微信端软件开发问题迅速在圈内引发热议,并引起了微信端软件开发者的安全运营风险思考。为帮助微信端软件开发者识别相关法律风险,下文笔者将对微信端软件开发者安全运营问题进行分析,以供参考。



一、何为“微信外挂”

1.“外挂”与“辅助程序”

“微信外挂”,是指基于Xposed、substrate等技术框架开发的、对微信软件外观界面(含主题)和功能进行修订的技术软件。微信安全中心高级工程师Elon分析,微信外挂从技术上来看,一是篡改微信官方发布的二进制文件,二是修改微信系统的接口或逻辑返回到数据,模拟正常用户点击方式实现自动化操作,三是在模拟器上即非真实设备上安装或运行微信客户端,因其可以实现自动化、批量化的操作方式,诸如“多开”“群控”“虚拟定位”等【1】


根据微信安全中心《2019年上半年打击使用外挂行为处理公示》,常见的微信外挂有以下几类:


一类是以各种噱头诱导用户直接下载使用的:

● 一键转发朋友圈:可以批量转发朋友圈图文以及好友发送过来的小视频;

● Android模拟器:在电脑上模拟手机端登录微信,实现和微信手机端一样的操作;

● 红包外挂:当微信收到红包消息之后,自动完成微信抢红包的操作;

● 皮肤微信:可以更换微信logo图标,自定义微信主题;

● 微信多开:在一台设备上使用多个微信号。


另一类是利用群控技术开发的外挂,通常被包装成“微营销”神器:

● 微信群控:通过虚拟定位、批量打招呼等方式,实现批量添加好友,自动化批量发朋友圈,一键点赞,一键评论等功能;

● 微信机器人:微信群营销,实现定时群发,自动回复,自动聊天等控制功能;


常见外挂示例



应注意的是“外挂”与“辅助程序”存在明显的区别。很多辅助程序,如按键精灵等,都是模拟用户的操作,有规律的进行一个循环的操作,但不会对原有的数据和程序进行修改。而“外挂”是会篡改数据,在微信原本没有的功能上开发新功能。


2.“微信外挂”的危害

微信外挂软件破坏了微信平台的生态平衡和正常运营,为恶意营销行为提供了便利条件,对正常用户造成骚扰。


● 带来隐私风险:外挂软件存在收集泄露用户隐私信息、盗取用户帐号密码等风险;

● 威胁财产安全:很多外挂软件还会植入木马病毒,使用外挂可能被坏人利用,威胁自己的资金安全;

● 被利用骚扰别人:可能在不知情情况下,被利用来骚扰别人,影响好友关系;

● 助长坏人犯罪:容易被违法犯罪分子利用,用以发布不良信息、实施欺诈,助长违法犯罪的发生;

● 影响使用微信的稳定性:山寨开发的外挂软件,极不稳定,会造成微信经常崩溃,可能导致重要沟通信息丢失。


二、微信端软件开发法律风险类型化分析


微信端软件在开发运营过程中,面临的法律风险主要来源于三个方面:一是因妨碍、破坏微信正常运营服务而被认定为构成不正当竞争;二是因非法侵入、控制计算机系统程序、工具而构罪;三是因非法收集用户隐私信息带来的网络安全问题。


1.妨碍、破坏微信正常运营服务的不正当竞争风险

《反不正当竞争法》第12条中规定经营者利用网络从事生产经营活动,应当遵守本法的各项规定。经营者不得利用技术手段,通过影响用户选择或者其他方式,实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。


在“数据精灵案”中,深圳微源码软件开发有限公司(以下简称“微源码公司”)是“数据精灵”软件的开发、运营者,2015年10月6日起,微源码公司在微信平台陆续注册了“数据精灵分销平台”、“一键转发平台”、“一键转发开发团队”等26个公众号,并在上述公众号中大量发布大量涉及推荐、介绍使用“数据精灵”等接入微信系统的技术软件的信息,并重点介绍了“数据精灵”软件可实现包括“微信多开”、“一键转发朋友圈”、“自动加人”等微信所不具备的功能。



微信运营方认为“数据精灵”软件的上述功能违反了微信公众号服务平台的“运营协议”、“服务协议”的相关规定,对微信软件进行了修改、干涉了微信软件的正常运营。



深圳市中级人民法院判决认为相关外挂软件的所谓“特殊功能”会加重微信的运营负担,破坏微信软件运营之稳定性,并加大微信运营服务的成本投入,进而对微信造成损失;微信核心功能系社交功能,涉案软件的相关恶意功能引发诱导分享及恶意群发行为,降低微信用户体验,损害微信商誉;微信即时通信服务由腾讯公司单独运营,其他网络服务经营者未经许可,不得参与或干扰微信软件运行。涉案软件的相关恶意功能如“暴力加粉”“恶意群发”“全球虚拟定位”等,干扰、破坏了微信软件正常运行,构成不正当竞争。


最终法院判决微源码软件开发有限公司、商圈(深圳)联合发展有限公司、侯某某立即停止“数据精灵”软件的下载、宣传、推广及运营行为,同时赔偿微信运营方500万元。


2.非法侵入、控制计算机系统程序、工具的刑事风险

开发者在开发过程中,如未经微信权利方同意,擅自对微信软件的基础功能进行修改,如通过向微信软件的进程空间植入控制模块,添加诸如自动抢红包、暴力加粉、消息一键群发推送、自动回复机器人、全球虚拟定位、微信群自动推广、微信号批量增删好友等恶意功能的,属于对微信软件的修改和破坏。


在江西省首例“微信外挂”案中,袁某等19人成立了武汉某科技有限公司,该公司在未经微信产品权利人腾讯公司授权或者同意的情况下,先后开发了“魅力”、“原动力”、“萌钻”、“哆来咪”等软件,通过修改及控制微信客户端与服务器端之间传输的数据,实现微信多开、一键转发朋友圈内容、修改微信定位位置、自动抢红包、自动添加好友等官方微信所没有的功能。之后,该公司将开发好的软件功能包上传至网络平台,再将激活码发送给代理商,代理商再销售给客户,以此牟利。经鉴定,截至案发,袁某利用非法软件牟利930余万元,其他18名涉案人员,包括其公司员工、代理商分别获利8000元至80万元不等。2019年5月9日,江西省赣州经济技术开发区检察院以提供侵入、非法控制计算机信息系统程序、工具罪对袁某等19人提起公诉。检察机关认为,袁某等19名被告人提供的专门用于侵入、非法控制计算机信息系统的程序、工具,对微信实施了未授权的增加、修改的操作,绕过了微信的安全保护措施,控制微信实现其功能,对微信的正常操作流程形成干扰,属于破坏性程序。19 名被告人的行为均触犯了《中华人民共和国刑法》,犯罪事实清楚,证据确实、充分,应当以提供侵入、非法控制计算机信息系统程序、工具罪追究其刑事责任。


3.非法收集用户隐私信息的网络安全风险

微信应用作为一种计算机信息系统,在为用户提供信息服务的同时,也收集、存储大量的用户个人信息以及其他隐私信息。一旦微信系统被未经授权的程序或工具侵入,必然意味着大量个人信息的泄露。例如,许多微信用户会使用清理僵尸粉的外挂软件,此类外挂软件的使用原理是利用微信PC端或网页端登陆授权和外挂软件进行的操作。外挂软件的开发者与销售者先通过添加清理人员的微信、外部链接跳转、公众号推广这三种方式进行宣传,引诱用户使用。使用的用户与清粉人员取得联系后,即会收到对方发送的二维码以供扫描,用户的扫描行为实际上为同意清粉人员登录自己微信的授权。如此一来,软件开发商能够窃取微信用户的个人信息、好友信息、支付信息等隐私,还可能产生诈骗等问题,造成重大的隐私泄露及网络安全事故。【2】


三、安全运营建议


作为微信端软件的开发者、运营者,首先应严格按照微信服务平台的《运营协议》、《服务协议》约定进行软件开发,避免被认定为“微信外挂”。如个别功能涉及“微信多开”、“一键转发朋友圈”、“自动加人”等微信所不具备的功能的,应及时予以整改,避免微信权利方依据《运营协议》、《服务协议》及不正当竞争法相关规定,采取进一步的法律措施。


其次,微信端软件开发者、运营者在收集和使用(尤其涉及对外提供)个人信息时,应取得相关人员的事先同意,并在用户隐私协议中明确隐私信息收集的范围、收集隐私的信息用途、是否涉及隐私信息的存储、转移、以及用户联系运营商修改、删除收集个人信息的途径等关键性内容。


除此之外,微信端软件开发者、运营者还应根据网安法的规定,做好个人信息的安全保密措施,防止信息被篡改或泄露。定期为其提供的产品、服务进行风险评估,发现其网络产品、服务存在安全缺陷、漏洞等风险时,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。


参考文献

【1】腾讯网络安全与犯罪研究基地,《微信外挂的打击与治理:法律与技术的跨界对话| 问道安全观系列沙龙》,2017年8月26日 。

【2】《“微信外挂”软件开发、销售案下,互联网犯罪与网络安全风险防范解读》,大数据法律研究微信公众号,2019年6月27日。



(本文为授权发布,未经许可不得转载)


近期活动 1


想看更多经典案例?
聆听更多精彩点评?
游闽键律师带你畅游知产世界!


近期活动 2


“听书”火热上线,详情请戳!👇


近期活动 3


你有一本电子游戏宝典待查收,详情请戳!👇


 近期热文 


SHIPA

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存