Google 刚刚从自己的 Play 市场上移除了至少 15 款 Android 应用程序,它们被证明含有恶意木马——偷偷扫描用户的联系人,并把其中的姓名,电话,邮件地址等隐私信息上传到远程服务器。
事情的起因是 4 月 12 号日本网站上发布的截图和恶意代码片段,作者提醒用户在安装应用程序前要留个心眼,以防自己的信息被泄露。
(代码片段请点击这里)
消息传开后,来自安全公司 McAfee 的开发者 Carlos Castillo 也发现了类似的恶意木马。它们伪装成媒体播放器或是游戏,然后常驻在 Android 系统的后台,并在用户毫无察觉的情况下获取和上传用户的联系人信息。
(图片来自 arstechnica )
这已经不是 Google Play 商店***次遭遇木马危机了,官方发言人原本拒绝对此发表评论,但随后 Google 选择了让可疑的程序下架。
说到这里,你或许还能联想到两个月前的“Path 事件”,当时新加坡的开发者 Arun Thampi 发现iPhone 版 Path 会偷偷扫描并上传用户联系人,包括姓名,邮件和电话号码等隐私信息。而这一切也是在用户不知情的情况下发生的。
Path 开发团队不得不发布临时版本来修正这个“错误”,这还牵出了苹果跟美国国会之间的对话。最终苹果承诺:“未经用户明确许可就收集或传输用户地址簿数据的应用违反了我们的方针。我们正努力让情况对用户来说变得更好。未来软件更新后,所有希望访问联系人数据的应用都必须取得用户的明确授权。”
问题是,应用商店的管理者是否应该为“木马”程序负责?是否能提供官方的杀毒服务?
都说“信心比黄金更重要”,Google 和苹果所面临的困难都差不多——如何在保证商店自由环境的前提下,***程度给消费者信心。
Google 既然能够从 Play 商店中大批量地移除程序,说明他们至少具备了发现恶意木马的能力(在审核的时候扫描 API 能大概知道一些)。同时,也应该把这种能力用来强化消费者信心。
就好比沃尔玛要给消费者一个承诺:在我们这儿不会买到变质的牛肉。
当然,这个“杀毒服务”能不能变成商店管理者的基本义务,恐怕还是要看用户的呼声。毕竟要监控几十万款程序,所花费的人力不是小数目。随着生态环境的日趋成熟,是该提出我们的要求了!
题图来自 blogspot
