30
安卓發展畸形 政府將出台法規約束
成也蕭何,敗也蕭何。開放性作為安卓平台的優勢,牢牢吸引著用戶、開發者、廣告聯盟,甚至連SP和CP公司,也瞄準了這塊熱土。但開放背後,看似龐大繁榮的安卓生態圈卻亂象叢生。無明確行業規則、無相關部門監管的安卓市場,APP們濫用權限、私自收集用戶隱私、垃圾短信泛濫、惡意插件扣除話費等問題頻頻發生。
與管理已相對規範的互聯網相比,移動互聯網亟需製定權威行業規則,那麼,誰該來給移動互聯網發牌照呢?
用戶的煩惱
不請自來的垃圾短信和廣告彈窗
“在機鋒網上下了幾款軟件,裝了之後,手機狀態欄頻繁彈出廣告窗口,而且不斷收到各種垃圾廣告短信。這種廣告彈窗一天好幾個,連看QQ消息狀態欄都給擋住了。而且這些廣告怎麼按清除都沒用,必須要點擊觀看。”
名為“低調”的網友對《IT時報》記者表示,無奈之下,他決定將應用全部卸載排查“真凶”,“按照安裝順序一個一個卸載,最後發現是一款盜版的《爆破小鳥》,把它卸了之後就清靜了。”
與“低調”不同的是,作為安卓開發工程師的小民,采取了更加徹底的辦法。“我現在用的是改版過的係統,在軟件安裝和使用過程中都會有權限確認的提醒,我幾乎都選擇了‘否’。”小民對記者表示,平時在使用過程中,他會把如網絡數據、短信、通訊錄等權限全部禁用掉,避免被某些APP私自訪問。
不過像小民這樣的高端手機用戶群體畢竟隻占極少數部分,更多的普通用戶仍無奈地為彈窗廣告和垃圾短信頭疼,與此同時,一些惡意APP也越發肆無忌憚。一位安卓開發者對記者介紹,有些APP甚至可以在鎖屏狀態下,從後台調用電話和短信功能,“用戶根本毫無察覺。”
安卓生態圈亂象
亂象一:各路人馬興風作浪
“廣告商和廣告平台私自收集個人信息,已經成了業界的默認規則,這些用戶信息的處理方式通常有兩種。一種是以1個號碼1角錢的價格賣給短信群發平台等渠道,可以立即套現;如果不急著套現,廣告商和平台可以將這些信息做數據分析和短信推送,通過短信渠道給用戶發送廣告信息,實現更加精確的廣告投放。”某位匿名業內人士向記者透露。這一說法也得到了安卓巴士創始人chino的證實。而某位廣告主則對記者表示,“通過短信渠道推送廣告的成本是5分錢/條,但最近風聲比較緊,要開始嚴管了,收集用戶信息的這些業務圈子裏都停止做了,大家在避風頭。”
與暗扣費APP製作方相比,廣告主的各種手段則顯得有些小巫見大巫。“廣告的利潤率比較低,但加入‘SP暗扣代碼’做APP,快的話一周就能回本,收入輕鬆過萬。你將插件打包到APP中,可以在短信PUSH或者網盟平台去推廣這些APP,很快就能起量,好的話每天下載量能到數萬。”一名從事SP業務的業內人士告訴記者,做SP暗扣業務是一本萬利的生意,而且內置的扣費插件可以使用更改簽名的方式繞開手機安全軟件的查殺。
不僅是廣告商和SP們在興風作浪,就連第三方市場,也是魚龍混雜,不少平台也參與了這個利益鏈條,甚至有些平台直接由廠家開發。N多網創始人陳翀對記者介紹,某些第三方平台也勾結其中,成為了暗扣費APP的落地平台。
“目前有些第三方平台是APP開發商和SP企業刻意開發的,個人如果沒有公司在後麵支撐,通道和推廣的成本都無力承擔。”此外,陳翀表示,搭建第三方平台本身沒有技術難度,造成了很多不正規平台中盜版軟件和惡意APP泛濫。而據一位業內人士對《IT時報》記者透露,一些第三方渠道推廣“暗扣費APP”的成本在1.5元左右,而且這其中還可以有回扣,甚至虛報數據。
亂象二:APP權限管理被過度濫用
雖然在國內安卓軟件的免費模式下,安卓開發者不可避免地要通過廣告來賺取成本和盈利,廣告主也喜歡精準模式的投放。但在無人監管的市場環境下,“開發者——SP業務公司/廣告主——第三方平台”這樣一條以安卓平台為生的生態鏈,卻漸漸走向了異路。
被過度要求的APP權限
不少用戶在安裝一些APP時會發現,如一款美食APP,也許除了要求知曉你的位置信息外,還會提出“可以讀取/刪除SD卡”、“可以讀取所有通訊錄”等並不相關要求,不同意,則無法繼續安裝下去。這樣一來,手機還屬於自己嗎?
安卓工程師“但丁不淡定”(網名)表示,目前從技術手段上實現讓用戶自主選擇安裝權限,是完全可行的。“穀歌提供的原生安卓並沒有提供關閉權限的功能,但這些需要可以通過第三方軟件來實現,有一些安全軟件內置了權限管理功能,用戶可以控製軟件的網絡、短信、通話權限。這些對專門做權限的開發者來說並不複雜,也就是那麼幾行代碼。”
可惜,“過度要求權限”的現象在APP中已然泛濫。一位業內人士指出,在APP市場,很多廣告主、廣告聯盟、開發者都在濫用權限收集隱私信息,甚至有些SP業務公司利用相關權限留下後門,通過後台插件進行惡意扣費等行為,這已經成了安卓廣告平台上的畸形現狀。但安全軟件又相對滯後,這使得用戶有點無所適從。
“安全軟件在收集到病毒樣本後,才能添加入病毒庫中,在手機上掃描出來。但現在病毒和插件製作方在發布前都會用主流的安全軟件先掃描,如果被查出來,隻要更換簽名程序就可以躲開查殺。”金山網絡反病毒工程師李鐵軍對記者解釋,殺毒軟件始終有一定的局限性,在病毒出來後才能對其進行辨別和查殺,手機也是如此。
權限問題引起穀歌等重視
所幸,APP濫用權限的現象正在逐漸引起重視。據業內人士介紹,目前像360手機衛士、LBE安全大師、手機毒霸等已經有了相應的權限管理功能,用戶可以通過這些軟件針對性地關閉掉APP的部分權限,而且部分係統已經可以做到在APP應用安裝和運行的過程中,按實際需要進行選擇性授權。
“穀歌新出的4.2係統,在安裝APP的時候集成了詳細的權限顯示信息,這個在之前的版本是從來沒有過的。它會顯示用戶所安裝軟件所需要的敏感權限,比如聯網、GPS這些權限會按照分類詳細顯示,讓用戶自己抉擇。比如一個遊戲要求短信權限,那就代表有扣費信息,用戶可以拒絕安裝該遊戲。”深度OS安卓開發工程師陳磊透露,穀歌已經逐漸開始重視權限安全,而且要求也會越來越高。
但讓用戶自主進行權限管理,仍有不小的難度。李鐵軍表示,雖然市場上有分析權限類的第三方軟件,可以有選擇性的進行關閉,但這對用戶的要求比較高,“隻有對安卓係統比較了解的高端用戶才能判斷是否應該關閉權限,普通用戶根本難以分辨。從長遠來說還是要國家有關部門明確規則,讓市場規範健康的有序發展。”
他山之石
海外安卓市場兩極分化 用戶安全意識強
國內安卓用戶的隱私安全完全依靠著第三方安全軟件和開發者、平台的自律,但這與安卓平台盤根錯節、魚龍混雜的龐大生態圈鏈條比起來,也僅僅是杯水車薪。那麼,國外情況如何呢?
同樣混亂的GooglePlay
“目前80%以上的國外用戶下載安裝APP是以GooglePlay市場為主,但GooglePlay市場本身也處於一個放任無序的狀態,裏麵大量充斥著各種盜版和垃圾APP.而且其程序支付都是開放的,開發者隨便找張信用卡,付20美元就可以在GooglePlay創建賬號並上傳應用。”從事安卓遊戲海外代理發行業務、東品西尚網絡科技有限公司CEO強強對記者介紹, GooglePlay的政策是“先上線,再審查”,並沒有對APP進行嚴格審查和篩選,而且相應的處罰措施也很輕微,“隻有應用在使用過程中遭到用戶舉報,GooglePlay才會選擇性的對開發者封停賬號,但封停賬號後,開發者再支付20美元就又能創建賬戶了。”
據了解,海外的安卓市場除了GooglePlay等第三方市場外,還有電信運營商市場(如Vcast)、設備製造商市場(如HTCLife、AmazonAppstore)、SNS社交類市場(如GREE、DNA等)等幾類應用下載市場。雖然GooglePlay相對混亂,但其中也不乏有像Verizon旗下Vcast這樣的優秀應用市場。
海外運營商市場相對規範
“Vcast先審核,再上傳,它對開發和上傳者強製要求實名製和ESRB分級標準。實名製是指開發商必須上傳自己的營業執照,個人開發者上傳身份證件ID信息,而且會與賬戶綁定納入信用體係之中,一旦賬戶出現不良記錄,極有可能無法繼續上傳應用;ESRB是指按應用和遊戲的內容進行年齡段的強製分級,比如分成PG-13、PG-15、PG-18等年齡適用。”據強強介紹,Vcast對應用程序的審核和監管相當嚴格,而且除了這兩項強製性規定外,還有對知識產權和個人隱私的保護。
“Vcast還采用了arm/DRM的版權防護機製,給APP裏嵌入了保護性的SDK.即一款APP隻能綁定一部手機使用,用戶在下載和付款後是無法將這款APP導出來的,這防止了有開發者對其進行盜版和山寨。通過APKLoader防盜版措施,用戶可以在任何應用市場下載到該應用,但這隻是一個程序殼,需要加載資源包後再使用。而應用所需要的資源包在開發商的服務器上,隻有程序外殼通過了驗證,才可以再下載資源包。像歐洲沃豐達和Orange的應用市場都采用了此種保護措施。”強強介紹。
另外,Vcast對用戶個人隱私的政策規定也非常嚴格。每款應用的WiFi、短信、機器ID、LBS等各種權限,在上傳前都被強製要求進行詳細解釋和說明,隻有解釋清楚對權限要求的原因後才能通過審核。
消費者自我防範意識高
除了第三方市場對應用的嚴格要求和監管外,國外消費者的安全防範意識相當高,這也很大程度從源頭上遏製了國外智能手機市場的亂象。“國外用戶對於應用權限要求的防範意識非常高,尤其是對短信權限異常敏感。他們會仔細查看每項權限的解釋說明,即使看了說明後,也有可能拒絕安裝。”強強在提到這一話題時,也是有點無可奈何,因為他們在將國內遊戲代理到國外時,曾以失敗收尾,“當時選了一款遊戲進行測試,因為要通過短信通道進行付費,所以要求開放信息的權限。但大部分用戶看到需要短信權限之後,直接選擇了拒絕安裝。”
不僅如此,國外也在加大對安卓平台的監管和整頓。有外媒報道稱,2012年8月23日,美國司法部宣布,通過與荷蘭、法國的法律監管部門的合作查封了三家業內知名度最高、專門提供Android盜版應用下載網站,它們分別是Appbucket、Sappzmartket、Applanet.據悉,雖然這三家網站的服務器主要設在美國境外,但美國司法部通過與其服務器所地的政府當局合作,在服務器上找到犯罪證據,最後成功查封這三家非法網站。國外運營商也在大力打擊吸費APP類的暗扣行為,據強強反映,以色列等中東地區的SP暗扣費業務也層出不窮,但經過整頓後,他們的收益銳減到之前的1/10都不到。
國內動態
工信部即將建立評估體係
“目前對智能手機平台的監管還處於短期的運動式管理階段,相當原始,處罰力度也不夠大。而且國內也沒有出台相應的配套法律。”電信專家陳金橋坦言,國內對於以安卓平台為主的智能手機市場監管還相當不完善,而且問題也日益嚴峻,“依附在智能手機平台的黑色產業鏈比較嚴重,而且鏈條上的協作分工也日益密切。這些病毒、暗扣都盯準了主流手機平台,越是熱門,越容易中招。”
在PC互聯網上,對於網站的管理已基本走入正軌,開通網站要備案,想要提供一些網絡服務要向通信管理部門申請ISP證或ICP證,這些政府監管措施有效解決了早先年互聯網上各種黃色網站、流氓軟件橫行的弊端。在新興的移動互聯網時代,類似的政府監管有沒有?APP對權限的要求是否該有標準?第三方平台是否也應備案?
據《IT時報》記者了解,對智能手機平台的相關管理辦法唿之欲出。“工信部正在建立一個長效的評估體係,對智能手機應用程序、內置軟件進行評估和抽查,而且相關的國家實驗室和研究院都參與到其中。其次是要將第三方平台納入管理,成立要備案,運行要監管。而且平台本身的運營也要有所要求,尤其對個人應用開發者要納入管理體係,如做實名認證等。”陳金橋對《IT時報》記者表示,除了以上的技術監控外,以後還將完善備案——審核——監督——抽查等各種手段,將整個平台納入到整體、規範的管理體係之中,同時服務提供商和內容提供商也要加大自我清查,整治惡意APP暗扣費等現象。
這些亂象也引起了其它政府部門的注意。“工信部早在去年就移動終端管理辦法公開征求意見,而且目前由工信部牽頭,相關的幾大國家部委都參與聯手整治行動,相關的規定和法律正在緊密籌備之中。”據陳金橋透露,目前國家有關部門欲針對性立法,而且相應的文本已經起草完畢,以後要對移動互聯網平台進行規範化管理。
此外,陳金橋還表示,相對於政府部門和法律的監管,用戶還得加強防範意識,從自身做起。“用戶在使用應用的過程中要謹慎,麵對權限要求等信息,不要輕易確認。畢竟打擊和整頓在後麵,還是要以個人防範為先。”
最後更新:2017-04-02 00:06:55