近日,有消息傳國家將出臺APP管理辦法,依法治理互聯網。現在手機APP發展很快,市場繁榮的同時也滋生了隱私被竊取、資金盜用風險增大等普遍現象。由政府制定科學合理的管理規范,可有效促進移動互聯網企業和產業的發展。但關鍵是,管理辦法如何才能有效、高效?是一出臺就會被“拍磚”還是心悅誠服地接受?
傳統軟件管理辦法失效
移動互聯網難治理,難就難在移動APP難治理,應用程序商店中惡意軟件和病毒日益增多、內容侵權與山寨應用頻現、刷排名滋生惡意競爭、用戶隱私保護漏洞頻出等問題日趨明顯。
數據表明,現在我國約有200家移動應用商店,2013年移動互聯網應用市場規模超過1000億元,僅次于美國。但同時,Android平臺上的惡意軟件和高危軟件數量驚人,根據百度發布的《第三季度移動安全報告》顯示,截至季度末,惡意軟件和高危軟件的總數已經突破了200萬個。
賽迪智庫軟件與信息服務業所所長安暉認為,APP應用軟件的發展帶來了新的管理難題,這些難題都與其安全性緊密相關。
一是APP應用軟件的數量眾多,開發周期較短且軟件版本更新頻率較快,傳統的《軟件產品管理辦法》中實行的軟件產品登記和備案制度中管理流程根本無法滿足此類軟件的管理需求。這種情況下,不僅用戶無法確認APP應用軟件的安全性,而且,一旦出現問題,也無法追責。
二是APP應用軟件開發者的數量和類型相對比較復雜,難以按照傳統的針對單位法人的管理方式來進行約束,同時也無法提供“在我國境內開發及申請單位擁有知識產權的有效證明”等材料。另外,目前對開發者的歸屬地都難以確定,無法對應用程序開發者產生一定程度的約束。
三是APP應用軟件的時效性至關重要,需要迅速搶占市場,贏得用戶青睞,提高下載量。為了搶時間,開發者無法按照傳統的軟件產品管理要求,先將軟件提交檢測機構,然后再出具相應的軟件檢測證明材料進行登記。這使得軟件質量特別是安全性難以得到保證。
四是應用程序商店提供商類型較多,如電信運營商、移動智能終端廠商、互聯網企業等,企業所在區域范圍較廣,如美國、歐洲、日本以及我國各省市等,且各自對應用程序商店及軟件的管理要求不同,也給APP應用軟件的管理帶來了一定挑戰。
安暉表示,由于APP應用軟件的特殊性,傳統的軟件產品管理方式難以對此進行有效監管。因此,必須針對其帶來的新問題,進行針對性創新,加強規范管理。
Android安全缺陷根深蒂固
移動APP的安全問題頻發,廣受詬病,這與APP缺乏安全審核有很大關系。百度手機衛士產品總監阮龍告訴《中國電子報》記者,對于不法分子或者“黑客”來說,移動APP市場空間大,有利可圖,而國內手機市場的安全性檢測又處于比較低的水平,對于市場上的APP幾乎沒有安全審核,這在源頭上給了很多問題軟件以可乘之機。
另一方面,不少應用開發者的技術也不過關。阮龍指出,在開發APP的過程中,對于一些普遍功能模塊,開發者往往會直接使用相應的第三方插件,但第三方插件容易被安全忽視,一些惡意插件就趁虛而入。除此之外,由于技術的原因,一些APP還存在潛在的“安全漏洞”,一旦被黑客發現并利用,后果也不堪設想。
此外,阮龍補充,山寨應用泛濫,很多應用都遭遇過被山寨抄襲的困擾。眼下市場上除了專門研制盜版的犯罪團伙之外,小部分研發正版軟件的公司也有推出盜版APP的狀況。這些盜版軟件不僅會擾亂市場競爭秩序,對于用戶來說危害更加明顯,因為盜版軟件中會藏有手機木馬,通過感染手機的方式獲取用戶信息,利用大數據分析用戶習慣再將相關數據轉賣獲利,更有甚者直接利用手機木馬竊取用戶銀行卡存款。
事實上,這些APP的安全問題幾乎都出在Android平臺上。由于Android系統過于開放,開發者可隨意嵌入自己所需要的程序,而谷歌的應用商店Google Play在國內又基本形同虛設,無法檢測Android APP,所以給了各類吸費應用、惡意應用、竊取隱私的應用、病毒木馬以可乘之機。
這就回到了APP的歸屬地——應用商店的問題上。阮龍認為,當前應用商店主要是通過給開發者提供后臺、開發者注冊賬號自行上傳應用的模式進行管理,一些沒有安全技術實力的中小型應用商店,并不具備對開發者上傳的應用進行甄別的能力,也無法詳細分析,特別是惡意代碼、惡意風險行為(資費消耗、惡意扣費、遠程控制等)、隱私泄露行為(惡意竊取用戶位置、惡意竊取用戶短信、惡意竊讀取用戶通訊錄信息等)。
騰訊手機管家安全專家陸兆華告訴《中國電子報》記者,國內移動APP的發布渠道比較凌亂,某些手機APP借助一些地下傳播渠道,比如通過論壇、網盤、直接群發惡意下載網址、誘導下載、惡意捆綁等方式,缺乏安全意識的用戶也經常誤安裝惡意程序進入手機,并造成各種危害和經濟損失,給惡意病毒樣本的收集增加了一定的難度。
政府管制需站在公眾利益上
現在,移動APP市場上也有一些自發的安全管理措施,騰訊的應用寶和百度的91手機助手都有相應的手段檢測APP。
陸兆華透露,騰訊是通過大數據、大系統進行有效移動應用管理的,特別是借助騰訊手機管家的在線安全檢測服務,包含維護數據量最大的軟件黑名單、白名單庫,各種手機軟件在上架之前,可以有效識別出各類惡意軟件和病毒包括各類竊取用戶隱私的惡意軟件等,直接禁止軟件的上線。
阮龍則表示,百度手機衛士可以對手機內安裝的應用進行檢測,不僅掃描手機中安裝的應用,對于系統預裝應用,以及SD卡中的應用安裝包文件進行掃描,從根本上解決了當前市場預裝混亂以及后臺偷偷下載惡意應用問題。百度手機衛士還輸出APP的安全檢測能力,應用商店可以通過這個能力掃描每天新提交的應用,在審核時發布前,第一時間發現帶病毒木馬等潛在風險的應用。
阮龍和陸兆華都指出,惡意應用以及帶有病毒等威脅用戶安全的程序是能被手機安全軟件完全查殺的,用戶如果安裝了安全軟件,就可以防止中毒和隱私泄漏。
這些行業內的自發自律行為,確實能起到安全管理的作用,但是并不能填補公共管理缺位的空白。復旦大學國際關系與公共事務學院副教授沈逸告訴《中國電子報》記者,市場自發形成的行業規制管制只是為了確保有序服務,指望行業管制去考慮社會責任、特別是考慮與謀取利潤相沖突的責任是不可能的,所以外部管制(即政府管制)必須介入。但是政府管制必須要站在維護公共利益上,而不是為了某個特殊利益集團服務或是為了維護自己的利益。
沈逸指出,國外移動應用軟件有年齡分級制度,用戶如果發現并有證據表明軟件損害消費者的利益就可以控告軟件方,但是政府一般不會主動介入管理,如果不做事先的強制審核,會規定負連帶責任。例如蘋果應用商店本身是有審核機制的,政府只需要盯著蘋果商店的審核。如果軟件出了問題,政府會找蘋果問責。
沈逸建議,中國政府應尊重技術特點和客觀規律進行管制。第一,對現在的APP收集哪些用戶隱私信息、存放在哪里、數據誰在使用等情況進行摸底調查。第二,在此基礎上,在移動APP市場建立關鍵的與國家安全相關的個人數據使用規范,出臺安全APP衡量標準。第三,出臺規范前,應該經過用戶、專家、廠商認真討論。
對此,阮龍也贊同,加強移動應用的安全與管理需要政府、運營商、應用廠商、安全廠商等產業鏈各方通力合作,共同治理。
京公網安備 11010502049343號