无明确行业规则、无相关部门监管的Android市场,APP们滥用权限、私自收集用户隐私、垃圾短信泛滥、恶意插件扣除话费等问题频频发生。
与管理已相对规范的互联网相比,移动互联网亟需制定权威行业规则,那么,谁该来给移动互联网发牌照呢?
用户的烦恼
不请自来的垃圾短信和广告弹窗
“在机锋网上下了几款软件,装了之后,手机状态栏频繁弹出广告窗口,而且不断收到各种垃圾广告短信。这种广告弹窗一天好几个,连看QQ消息状态栏都给挡住了。而且这些广告怎么按清除都没用,必须要点击观看。”
名为“低调”的网友对《IT时报》记者表示,无奈之下,他决定将应用全部卸载排查“真凶”,“按照安装顺序一个一个卸载,最后发现是一款盗版的《爆破小鸟》,把它卸了之后就清静了。”
与 “低调”不同的是,作为Android开发工程师的小民,采取了更加彻底的办法。“我现在用的是改版过的系统,在软件安装和使用过程中都会有权限确认的提醒,我几乎 都选择了‘否’。”小民对记者表示,平时在使用过程中,他会把如网络数据、短信、通讯录等权限全部禁用掉,避免被某些APP私自访问。
不过像小民这样的高端手机用户群体毕竟只占极少数部分,更多的普通用户仍无奈地为弹窗广告和垃圾短信头疼,与此同时,一些恶意APP也越发肆无忌惮。一位Android开发者对记者介绍,有些APP甚至可以在锁屏状态下,从后台调用电话和短信功能,“用户根本毫无察觉。”
Android生态圈乱象
乱象一:各路人马兴风作浪
“广 告商和广告平台私自收集个人信息,已经成了业界的默认规则,这些用户信息的处理方式通常有两种。一种是以1个号码1角钱的价格卖给短信群发平台等渠道,可 以立即套现;如果不急着套现,广告商和平台可以将这些信息做数据分析和短信推送,通过短信渠道给用户发送广告信息,实现更加精确的广告投放。”某位匿名业 内人士向记者透露。这一说法也得到了Android巴士创始人chino的证实。而某位广告主则对记者表示,“通过短信渠道推送广告的成本是5分钱/条,但最近风声 比较紧,要开始严管了,收集用户信息的这些业务圈子里都停止做了,大家在避风头。”
与 暗扣费APP制作方相比,广告主的各种手段则显得有些小巫见大巫。“广告的利润率比较低,但加入‘SP暗扣代码’做APP,快的话一周就能回本,收入轻松 过万。你将插件打包到APP中,可以在短信PUSH或者网盟平台去推广这些APP,很快就能起量,好的话每天下载量能到数万。”一名从事SP业务的业内人 士告诉记者,做SP暗扣业务是一本万利的生意,而且内置的扣费插件可以使用更改签名的方式绕开手机安全软件的查杀。
不仅是广告商和SP们在兴风作浪,就连第三方市场,也是鱼龙混杂,不少平台也参与了这个利益链条,甚至有些平台直接由厂家开发。N多网创始人陈翀对记者介绍,某些第三方平台也勾结其中,成为了暗扣费APP的落地平台。
“目 前有些第三方平台是APP开发商和SP企业刻意开发的,个人如果没有公司在后面支撑,通道和推广的成本都无力承担。”此外,陈翀表示,搭建第三方平台本身 没有技术难度,造成了很多不正规平台中盗版软件和恶意APP泛滥。而据一位业内人士对《IT时报》记者透露,一些第三方渠道推广“暗扣费APP”的成本在 1.5元左右,而且这其中还可以有回扣,甚至虚报数据。
乱象二:APP权限管理被过度滥用
虽然在国内Android软件的免费模式下,Android开发者不可避免地要通过广告来赚取成本和盈利,广告主也喜欢精准模式的投放。但在无人监管的市场环境下,“开发者——SP业务公司/广告主——第三方平台”这样一条以Android平台为生的生态链,却渐渐走向了异路。
被过度要求的APP权限
不少用户在安装一些APP时会发现,如一款美食APP,也许除了要求知晓你的位置信息外,还会提出“可以读取/删除SD卡”、“可以读取所有通讯录”等并不相关要求,不同意,则无法继续安装下去。这样一来,手机还属于自己吗?
Android工程师“但丁不淡定”(网名)表示,目前从技术手段上实现让用户自主选择安装权限,是完全可行的。“谷歌提供的原生Android并没有提供关闭权限的功能,但这些需要可以通过第三方软件来实现,有一些安全软件内置了权限管理功能,用户可以控制软件的网络、短信、通话权限。这些对专门做权限的开发者来说并不复杂,也就是那么几行代码。”
可惜,“过度要求权限”的现象在APP中已然泛滥。一位业内人士指出,在APP市场,很多广告主、广告联盟、开发者都在滥用权限收集隐私信息,甚至有些SP 业务公司利用相关权限留下后门,通过后台插件进行恶意扣费等行为,这已经成了Android广告平台上的畸形现状。但安全软件又相对滞后,这使得用户有点无所适从。
“安全软件在收集到病毒样本后,才能添加入病毒库中,在手机上扫描出来。但现在病毒和插件制作方在发布前都会用主流的安全软件先扫描,如果被查出来,只要更换签名程序就可以躲开查杀。”金山网络反病毒工程师李铁军对记者解释,杀毒软件始终有一定的局限性,在病毒出来后才能对其进行辨别和查杀,手机也是如此。
权限问题引起谷歌等重视
所 幸,APP滥用权限的现象正在逐渐引起重视。据业内人士介绍,目前像360手机卫士、LBE安全大师、手机毒霸等已经有了相应的权限管理功能,用户可以通 过这些软件针对性地关闭掉APP的部分权限,而且部分系统已经可以做到在APP应用安装和运行的过程中,按实际需要进行选择性授权。
“谷 歌新出的4.2系统,在安装APP的时候集成了详细的权限显示信息,这个在之前的版本是从来没有过的。它会显示用户所安装软件所需要的敏感权限,比如联 网、GPS这些权限会按照分类详细显示,让用户自己抉择。比如一个游戏要求短信权限,那就代表有扣费信息,用户可以拒绝安装该游戏。”深度OSAndroid开发工 程师陈磊透露,谷歌已经逐渐开始重视权限安全,而且要求也会越来越高。
但让用户自主进 行权限管理,仍有不小的难度。李铁军表示,虽然市场上有分析权限类的第三方软件,可以有选择性的进行关闭,但这对用户的要求比较高,“只有对Android系统比较 了解的高端用户才能判断是否应该关闭权限,普通用户根本难以分辨。从长远来说还是要国家有关部门明确规则,让市场规范健康的有序发展。”
他山之石
海外Android市场两极分化 用户安全意识强
国内Android用户的隐私安全完全依靠着第三方安全软件和开发者、平台的自律,但这与Android平台盘根错节、鱼龙混杂的庞大生态圈链条比起来,也仅仅是杯水车薪。那么,国外情况如何呢?
同样混乱的GooglePlay
“目前80%以上的国外用户下载安 装APP是以GooglePlay市场为主,但GooglePlay市场本身也处于一个放任无序的状态,里面大量充斥着各种盗版和垃圾APP。而且其程序 支付都是开放的,开发者随便找张信用卡,付20美元就可以在GooglePlay创建账号并上传应用。”从事Android游戏海外代理发行业务、东品西尚网络科技 有限公司CEO强强对记者介绍, GooglePlay的政策是“先上线,再审查”,并没有对APP进行严格审查和筛选,而且相应的处罚措施也很轻微,“只有应用在使用过程中遭到用户举 报,GooglePlay才会选择性的对开发者封停账号,但封停账号后,开发者再支付20美元就又能创建账户了。”
据 了解,海外的Android市场除了GooglePlay等第三方市场外,还有电信运营商市场(如Vcast)、设备制造商市场(如HTCLife、 AmazonAppstore)、SNS社交类市场(如GREE、DNA等)等几类应用下载市场。虽然GooglePlay相对混乱,但其中也不乏有像 Verizon旗下Vcast这样的优秀应用市场。
海外运营商市场相对规范
“Vcast 先审核,再上传,它对开发和上传者强制要求实名制和ESRB分级标准。实名制是指开发商必须上传自己的营业执照,个人开发者上传身份证件ID信息,而且会 与账户绑定纳入信用体系之中,一旦账户出现不良记录,极有可能无法继续上传应用;ESRB是指按应用和游戏的内容进行年龄段的强制分级,比如分成PG- 13、PG-15、PG-18等年龄适用。”据强强介绍,Vcast对应用程序的审核和监管相当严格,而且除了这两项强制性规定外,还有对知识产权和个人 隐私的保护。
“Vcast还采用了ARM/DRM的版权防护机制,给APP里嵌入了保 护性的SDK。即一款APP只能绑定一部手机使用,用户在下载和付款后是无法将这款APP导出来的,这防止了有开发者对其进行盗版和山寨。通过 APKLoader防盗版措施,用户可以在任何应用市场下载到该应用,但这只是一个程序壳,需要加载资源包后再使用。而应用所需要的资源包在开发商的服务 器上,只有程序外壳通过了验证,才可以再下载资源包。像欧洲沃丰达和Orange的应用市场都采用了此种保护措施。”强强介绍。
另外,Vcast对用户个人隐私的政策规定也非常严格。每款应用的WiFi、短信、机器ID、LBS等各种权限,在上传前都被强制要求进行详细解释和说明,只有解释清楚对权限要求的原因后才能通过审核。
消费者自我防范意识高
除 了第三方市场对应用的严格要求和监管外,国外消费者的安全防范意识相当高,这也很大程度从源头上遏制了国外智能手机市场的乱象。“国外用户对于应用权限要 求的防范意识非常高,尤其是对短信权限异常敏感。他们会仔细查看每项权限的解释说明,即使看了说明后,也有可能拒绝安装。”强强在提到这一话题时,也是有 点无可奈何,因为他们在将国内游戏代理到国外时,曾以失败收尾,“当时选了一款游戏进行测试,因为要通过短信通道进行付费,所以要求开放信息的权限。但大 部分用户看到需要短信权限之后,直接选择了拒绝安装。”
不仅如此,国外也在加大对Android 平台的监管和整顿。有外媒报道称,2012年8月23日,美国司法部宣布,通过与荷兰、法国的法律监管部门的合作查封了三家业内知名度最高、专门提供 Android盗版应用下载网站,它们分别是Appbucket、Sappzmartket、Applanet。据悉,虽然这三家网站的服务器主要设在美 国境外,但美国司法部通过与其服务器所地的政府当局合作,在服务器上找到犯罪证据,最后成功查封这三家非法网站。国外运营商也在大力打击吸费APP类的暗 扣行为,据强强反映,以色列等中东地区的SP暗扣费业务也层出不穷,但经过整顿后,他们的收益锐减到之前的1/10都不到。
国内动态
工信部即将建立评估体系
“目前对智能手机平台的监管还处于短期的运动式管理阶段,相当原始,处罚力度也不够大。而且国内也没有出台相应的配套法律。”电信专家陈金桥坦言,国内对于以Android平台为主的智能手机市场监管还相当不完善,而且问题也日益严峻,“依附在智能手机平台的黑色产业链比较严重,而且链条上的协作分工也日益密切。这些病毒、暗扣都盯准了主流手机平台,越是热门,越容易中招。”
在 PC互联网上,对于网站的管理已基本走入正轨,开通网站要备案,想要提供一些网络服务要向通信管理部门申请ISP证或ICP证,这些政府监管措施有效解决 了早先年互联网上各种黄色网站、流氓软件横行的弊端。在新兴的移动互联网时代,类似的政府监管有没有?APP对权限的要求是否该有标准?第三方平台是否也 应备案?
据《IT时报》记者了解,对智能手机平台的相关管理办法呼之欲出。“工信部正 在建立一个长效的评估体系,对智能手机应用程序、内置软件进行评估和抽查,而且相关的国家实验室和研究院都参与到其中。其次是要将第三方平台纳入管理,成 立要备案,运行要监管。而且平台本身的运营也要有所要求,尤其对个人应用开发者要纳入管理体系,如做实名认证等。”陈金桥对《IT时报》记者表示,除了以 上的技术监控外,以后还将完善备案——审核——监督——抽查等各种手段,将整个平台纳入到整体、规范的管理体系之中,同时服务提供商和内容提供商也要加大 自我清查,整治恶意APP暗扣费等现象。
这些乱象也引起了其它政府部门的注意。“工信 部早在去年就移动终端管理办法公开征求意见,而且目前由工信部牵头,相关的几大国家部委都参与联手整治行动,相关的规定和法律正在紧密筹备之中。”据陈金 桥透露,目前国家有关部门欲针对性立法,而且相应的文本已经起草完毕,以后要对移动互联网平台进行规范化管理。
此外,陈金桥还表示,相对于政府部门和法律的监管,用户还得加强防范意识,从自身做起。“用户在使用应用的过程中要谨慎,面对权限要求等信息,不要轻易确认。毕竟打击和整顿在后面,还是要以个人防范为先。”