电话

15169028800

水平太差!阿里钉钉考勤被大牛助手攻破大专生CEO被判5年半!

标签: 安卓手机软件助手 2023-05-09 

  海淀区法院的一则刑事判决书发人深思!因为用软件改变阿里巴巴开发的钉钉地理定位作弊,几位年轻人付出了沉重的代价。

  每日打卡考勤,对于一些人而言是一大考验。于是,有不法分子瞄准了这一“商机”。

  一个月交费25元、或者一年交费89元,即可通过APP虚拟定位技术,将虚假的位置传送至钉钉系统,实现在家里“打卡”的效果。

  两年内,10万人次成为这一产品的用户,开发者张某杰赚了四五百万元,也给自己带来了牢狱之灾:法院判处其有期徒刑五年六个月。

  10月初,北京市海淀区人民法院公开一起破坏计算机信息系统罪案件,被告人张某杰被判处有期徒刑五年六个月。

  判决书显示,被告人张某杰于2019年5月31日被公安机关抓获。据张某杰供述,其在2017年成立了北京得牛科技有限公司并担任CEO,公司的法定代表人是张某辉,其用他的身份证注册该公司,公司主要开发手机应用软件并提供有偿使用服务。公司开发的软件“大牛助手”APP,通过购买深圳罗盒科技有限公司虚拟程序APP的使用权,对该APP的界面进行优化并添加充值接口,然后上线运行。

  张某杰公司一共有22名员工,包括安卓开发程序员、客服、人力资源、UI设计人员、媒体运营人员、有产品经理等。其中,客服的工作内容是帮助用户解答使用其公司软件出现的各类问题,程序员负责“大牛助手”APP的研发,ASO专员负责将APP上传至应用商店。

  据张某杰的供述证实,“大牛助手”在不改变其他APP源代码的情况下,通过虚拟位置信息、Wi-Fi信息和照片信息,对其他APP该类信息进行修改。当用户使用其他APP不想暴露自己的位置信息时,“大牛助手”就对用户的位置进行遮蔽,当用户想要修改自己位置信息时,“大牛助手”可以进行修改,修改时打开“大牛助手”,将需要改变定位信息的APP添加到列表中,点击模拟定位功能,然后在地图上选择需要修改的位置即可。

  据悉,“大牛助手”的新注册用户有12小时免费试用时间,包月会员需缴纳每月25元,年费会员需缴纳89元。目前该公司通过该APP一共赚取四五百万元。

  判决书显示,经阿里巴巴公司技术人员对“大牛助手Android系统1.1.1”进行分析发现,该软件绕过了“钉钉”无限安全保镖模块,劫持了“钉钉”平行空间检测接口,当“钉钉”的平行空间检测接口需要获取设备信息时,“大牛助手”通过重放技术伪造虚假数据,直接向“钉钉”的平行空间检测接口传输虚假数据,造成伪造打卡记录,干扰“钉钉”系统的正常运行。

  经审理查明,被告人张某杰于2017年至2019年,开发“大牛助手”APP并通过互联网推广该APP达10万余人次。“大牛助手”APP可对被害单位阿里巴巴(中国)有限公司开发的钉钉系统处理、传输的地理位置数据进行未授权地干扰,破坏钉钉系统获取用户真实地理位置的功能。经鉴定,“大牛助手”APP为破坏性程序。

  北京市海淀区人民法院认为,被告人张某杰故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果特别严重,其行为已构成破坏计算机信息系统罪,应予惩处。

  2021年4月16日,北京市海淀区人民法院判决,被告人张某杰犯破坏计算机信息系统罪,判处有期徒刑五年六个月。

  第一,作为国内最牛的阿里巴巴,一个这么多人应用的钉钉系统,安全如此脆弱,所以这样的公司算什么科技公司呢。

  第二,说实话钉钉欺负了大多数人个人隐私,虽然大多数人迫于上班的老板的压力只能就范,当初,凌通社所在地方领导也是想用这个的,被我断然拒绝,用就去法院,其实,只要看看确实这么多人购买了这个东西造假,就知道钉钉是多么被人恨了。

  第三,如果根据判决书的描述,似乎嫌疑犯并没有侵犯到钉钉的系统里面,而是搞了一个虚拟的地理位置,不知道嫌疑犯有没有请安全专家去鉴定。

  第四,我们相信法院的判决,但对于这些专业性安全问题,是不是说的更清楚一些呢?虚拟地理位置时候是计算机犯罪呢?究竟是什么原理?我们不能放过一个坏人,但还是得弄清楚来龙去脉。

  张超杰,男,1987年出生,汉族,大专文化,户籍所在地为河南省平顶山市卫东区。因涉嫌犯破坏计算机信息系统罪,于2019年5月31日被羁押,同年7月4日被逮捕。

  1、张超杰的供述证实:其在2017年成立了北京得牛科技有限公司并担任CEO,公司的法定代表人是张某1,其用他的身份证注册该公司,公司主要开发手机应用软件并提供有偿使用服务。

  其公司开发的软件是大牛助手APP,其公司购买深圳罗盒科技有限公司虚拟程序APP的使用权后,对该APP的界面进行优化并添加充值接口,然后就上线运行了。

  其公司一共22人,有安卓开发程序员、有做服务器的、有做客服的、有做人力资源的、有做UI设计的、有媒体运营人员、有ASO专员管理应用商店、有测试人员、有产品经理还有IOS开发程序员,客服的工作内容是帮助用户解答使用其公司软件出现的各类问题,程序员负责大牛助手APP的研发,ASO专员负责大牛助手APP上传至应用商店。

  大牛助手可以进行其他APP的多开分身使用,其和数据部交代过在不改变其他APP源代码的情况下,通过虚拟位置信息、wifi信息和照片信息,对其他APP该类信息进行修改。

  当用户使用其他APP不想暴露自己的位置信息时,大牛助手APP就对用户的位置进行遮蔽,当用户想要修改自己位置信息时,大牛助手可以进行修改,修改时打开大牛助手APP,将需要改变定位信息的APP添加到大牛助手的列表中,点击模拟定位功能,然后在地图上选择需要修改的位置即可。

  大牛助手的新注册用户有12小时免费试用时间,包月会员是每月25元,年费会员是每年89元,用户通过支付宝和微信支付,目前其公司通过大牛助手APP一共赚了四五百万元。

  其咨询过律师和朋友,大牛助手APP没有改变其他需要使用虚拟定位功能APP的源代码,只是改变了它回传到服务器的位置信息。

  2、证人闫某的证言证实:其是北京得牛科技有限公司产品经理,主要做市场调研。其在软件正式开发之前提出概念,初步做一套模型,但仅做软件功能展示使用,配合文字说明与大家进行开发评审,其现在的主要任务就是研究大牛助手APP手机定位服务。大牛助手APP以模拟定位为主,一般是上班族上班打卡和学生早操打卡用。这个APP做出来的数据都不是真实的,该软件的收费是一年89元、一个月25元。

  3、证人生某的证言证实:其是北京得牛科技有限公司在线客服,平时客户遇到问题时,通过官网上的QQ与其联系,其来解决问题。其有时也会让客户提供本人手机安卓系统和现在使用的软件版本号以及所模拟的应用信息,根据这些信息使用模拟器进行测试,找到问题后反馈解决办法。其公司生产的大牛助手APP分为ROOT版和非ROOT版,苹果手机分越狱版和非越狱版。大牛助手APP在免ROOT环境下运行数据测试工具,拥有模拟打卡、模拟路线、wifi模拟、拍照模拟等功能。这个软件的收费标准是一年89元、一个月25元。

  4、证人张某的证言证实:其是北京得牛科技有限公司推广,实际工作的时候负担了一部分客服和UI设计工作,客服方面主要是处理客户反馈的问题。其做客服的时候有用户向其咨询过钉钉打卡问题,其的反馈是要看用户的手机系统而定,有的手机系统能用,有的不能用。其认为大牛助手APP让用户自由修改手机软件位置是不合法的。

  5、证人白某的证言证实:其是北京得牛科技有限公司的客服,其通过QQ跟客户交流他们使用中的问题并反馈给产品经理,产品经理把问题反馈给技术人员,问题解决了会在公司软件的版本更新中体现。客户反馈的主要是跟一些软件不兼容的问题,反馈钉钉软件的客户是最多的。

  6、证人李某的证言证实:其是北京得牛科技有限公司Android开发工程师,其公司主要是开发并维护大牛助手软件,其主要负责Android环境下的软件开发。大牛助手软件主要功能是手机应用的双开环境和虚拟定位。有些手机定位软件读取位置信息,大牛助手可以虚拟一个位置让手机软件读取虚拟的位置信息,通过这种方式即使人没在公司也可以远程打卡,钉钉软件读取的结果是在公司已签到。软件读取用户选择的位置而不是真实位置是因为大牛助手拦截了读取的手机GPS信息,把之前储存好的位置信息反馈给读取软件,在大牛助手软件下打开了一个虚拟环境,相当于有一个root权限,有这个权限后就可以读取装在这个环境下的软件参数,达到修改参数和返回值的目的。其公司主要就是靠大牛助手软件会员费获利。

  7、证人赵某的证言证实:其是北京得牛科技有限公司产品经理,其公司开发的有软件大牛助手、root版的大牛助手、大牛GPS,主要应用于微信、钉钉等大众软件,还有汪师傅等一些比较小众的软件,其的工作就是收集这些用户的需求然后给张某某发过去。其公司的软件是收费的,费用是张某某定的。

  8、证人孙某的证言证实:其是北京得牛科技有限公司ASO助理,主要负责优化APP应用简介,在安卓应用市场中更新应用的安装包。张某某让其修改大牛助手在应用市场中的简介,告诉其如何修改,其编辑好之后让张某某确认,经他许可后其再到应用市场中去修改大牛助手的简介。大牛助手装在安卓系统上,大牛GPS是一个苹果设备,这个应用没有进入到APP STORE中,但可以通过某种方式安装。其公司和钉钉之间没有合作关系,大牛助手的多开功能是免费的,模拟定位功能是收费的。大牛助手和daniu大牛的总下载量有100多万次,但具体付费用户有多少其不清楚。其还帮助公司测试过大牛助手,其测试过百度地图、高德地图、QQ、微信、钉钉、抖音、快手等,其中,测试钉钉的目的是测试是否可以通过大牛助手的模拟定位功能做到异地打卡。

  9、证人冯某的证言证实:其是北京得牛科技有限公司JAVA工程师,主要负责处理客户端请求的数据,与服务器之间相连接并存储于服务器等工作。其公司一共有四个服务器,两个专门用于连接软件,是阿里云的,服务器主要就是客户在注册时保存客户信息、购买会员信息以及客户反馈的信息,其公司主要靠客户购买大牛助手软件会员盈利。

  10、证人陈某的证言证实:其负责对大牛助手在手机客户端使用过程进行测试,虽然都是安卓系统的手机,但因为生产商不同运行上会有差异性,其把这些手机上全部安装大牛助手,以用户的角度通过手机操作使用大牛助手软件,检测每部手机在使用时运行是否流畅,是否有软件崩溃、闪退、无法使用的情况,对用户在使用过程中发现的问题向公司反馈。

  11、证人渠某的证言证实:其是北京得牛科技有限公司JAVA工程师,其公司软件设计的基本流程是张某某和产品经理提出意向和交互设计,工程师按照设计方案编写程序应用于软件内,UI设计各项功能使用界面,测试工程师实际使用软件发现BUG,软件完成测试后由APP上架员工完成应用商店上架流程。

  12、证人郑某的证言证实:其在北京得牛科技公司做程序兼容方面的工程师,其是逆向工程师,主要负责不同的应用程序能兼容其公司的产品,让他们能在其公司软件上顺利运行等工作。其分析大牛软件的兼容性,然后去跟手机进行匹配,张某某看着其手里的工作量分配不同的手机去做兼容,其根据公司客服反馈用户的问题来做兼容。

  其公司研发运营的“钉钉”软件系统具有公司日常考勤管理功能,用户可以使用“钉钉”软件进行打卡考勤。

  近日,其公司接到“钉钉”软件用户反馈,他们公司员工使用一款叫做“大牛助手”的软件进行“钉钉”打卡作弊。经其公司技术人员对“大牛助手Android系统1.1.1”进行分析,发现该软件绕过了“钉钉”无限安全保镖模块,劫持了“钉钉”平行空间检测接口,当“钉钉”的平行空间检测接口需要获取设备信息时,大牛助手通过重放技术伪造虚假数据,直接向“钉钉”的平行空间检测接口传输虚假数据,造成伪造打卡记录,干扰“钉钉”系统的正常运行。“钉钉”是其公司运营的一款类似于微信的即时聊天软件,是在互联网上使用的,其公司提供服务器支撑,所有的数据传输都是通过互联网系统,用户的手机客户端和其公司的数据服务器之间进行数据交互,从而完成“钉钉”软件的所有功能,该软件的独特功能就是可以进行公司考勤打卡、会议、请销假等企业管理功能。经初步统计,近一年有46 973个买家通过支付宝购买大牛助手的服务,获利2 627 713元,其中匹配“钉钉”软件打卡异常的买家用户7675个,涉及这些用户购买服务的会员费575 497元。

  14、司法鉴定意见书证实:经过对Daniu大牛助手的软件代码进行功能鉴定,该软件代码具有模拟位置信息的功能,该软件代码存在对钉钉服务器获取用户真实地理位置的功能进行未授权地干扰的行为,为破坏性程序。经过对Daniu大牛(苹果越狱版)APP进行软件功能鉴定,运行Daniu大牛(苹果越狱版),可以在钉钉中完成不同位置的打卡,并可在钉钉的打卡统计结果中查询到模拟的打卡信息,具有通过模拟位置实现钉钉打卡的功能。经过对大牛助手(安卓免ROOT版)APP进行软件功能鉴定,运行大牛助手(安卓免ROOT版),可以在钉钉中完成不同位置的打卡,并可在钉钉的打卡统计结果中查询到模拟的打卡信息,具有通过模拟位置实现钉钉打卡的功能。

  15、调取证据通知书证实:公安机关就本案向支付宝(中国)网络技术有限公司调取支付宝账号为×××@daniu.net近一年的注册信息、交易记录、转账记录、账户明细等证据材料的情况。

  公诉人还当庭宣读并出示了由公安机关在侦查过程中调取的证人朱某1、金某、朱某2、胡某、罗某、付某的证言,举报材料,营业执照,受案登记表,到案经过,身份信息等证据材料。

  张超杰认为本案证人或者不实际接触产品,或者陈述的不全面,证言不能做为定案依据;司法鉴定意见书与本案无关。其辩护人的质证意见与张某某的质证意见基本相同。

  张超杰辩称大牛助手APP取得了计算机软件著作权登记证书,该软件并不是针对钉钉系统研发,虚拟定位功能也不是该软件的全部功能,在实际应用中存在被用户滥用的现象,起诉书据此认定该软件为破坏性程序系以偏概全,并不准确;起诉书认定该软件被10余万用户使用亦与实际情况不符。其辩护人同意其辩解,同时认为,张某某主观上没有破坏计算机信息系统的故意,涉案软件并不会自动干扰钉钉软件的正常运行,用户操作该软件也仅仅造成了部分员工迟到早退的后果,没有达到后果特别严重的程度,认定张某某的行为构成犯罪明显超出了国民的预测可能性,故提请法庭宣告张某某无罪。

  经查,本案证人从不同侧面说明了本案的事实,所做的陈述经公安机关依法调取并经本人签字确定,并无不当;司法鉴定意见书依照专业的鉴定方法和规范对涉案软件进行鉴定,在此基础上形成对涉案软件功能等的鉴定意见直接与本案相关联,故对于辩方提出的质证意见,法院不予采纳。法庭认为,公诉机关提交的证据形式及来源合法,内容客观、真实,对其证明效力,法院予以确认。