移动互联网难治理 手机APP怎么管?

  近日,有消息传国家将出台APP管理办法,依法治理互联网。现在手机APP发展很快,市场繁荣的同时也滋生了隐私被窃取、资金盗用风险增大等普遍现象。由政府制定科学合理的管理规范,可有效促进移动互联网企业和产业的发展。但关键是,管理办法如何才能有效、高效?是一出台就会被“拍砖”还是心悦诚服地接受?

  传统软件管理办法失效

  移动互联网难治理,难就难在移动APP难治理,应用程序商店中恶意软件和病毒日益增多、内容侵权与山寨应用频现、刷排名滋生恶意竞争、用户隐私保护漏洞频出等问题日趋明显。

  数据表明,现在我国约有200家移动应用商店,2013年移动互联网应用市场规模超过1000亿元,仅次于美国。但同时,Android平台上的恶意软件和高危软件数量惊人,根据百度发布的《第三季度移动安全报告》显示,截至季度末,恶意软件和高危软件的总数已经突破了200万个。

  赛迪智库软件与信息服务业所所长安晖认为,APP应用软件的发展带来了新的管理难题,这些难题都与其安全性紧密相关。

  一是APP应用软件的数量众多,开发周期较短且软件版本更新频率较快,传统的《软件产品管理办法》中实行的软件产品登记和备案制度中管理流程根本无法满足此类软件的管理需求。这种情况下,不仅用户无法确认APP应用软件的安全性,而且,一旦出现问题,也无法追责。

  二是APP应用软件开发者的数量和类型相对比较复杂,难以按照传统的针对单位法人的管理方式来进行约束,同时也无法提供“在我国境内开发及申请单位拥有知识产权的有效证明”等材料。另外,目前对开发者的归属地都难以确定,无法对应用程序开发者产生一定程度的约束。

  三是APP应用软件的时效性至关重要,需要迅速抢占市场,赢得用户青睐,提高下载量。为了抢时间,开发者无法按照传统的软件产品管理要求,先将软件提交检测机构,然后再出具相应的软件检测证明材料进行登记。这使得软件质量特别是安全性难以得到保证。

  四是应用程序商店提供商类型较多,如电信运营商、移动智能终端厂商、互联网企业等,企业所在区域范围较广,如美国、欧洲、日本以及我国各省市等,且各自对应用程序商店及软件的管理要求不同,也给APP应用软件的管理带来了一定挑战。

  安晖表示,由于APP应用软件的特殊性,传统的软件产品管理方式难以对此进行有效监管。因此,必须针对其带来的新问题,进行针对性创新,加强规范管理。

  Android安全缺陷根深蒂固

  移动APP的安全问题频发,广受诟病,这与APP缺乏安全审核有很大关系。百度手机卫士产品总监阮龙告诉《中国电子报》记者,对于不法分子或者“黑客”来说,移动APP市场空间大,有利可图,而国内手机市场的安全性检测又处于比较低的水平,对于市场上的APP几乎没有安全审核,这在源头上给了很多问题软件以可乘之机。

  另一方面,不少应用开发者的技术也不过关。阮龙指出,在开发APP的过程中,对于一些普遍功能模块,开发者往往会直接使用相应的第三方插件,但第三方插件容易被安全忽视,一些恶意插件就趁虚而入。除此之外,由于技术的原因,一些APP还存在潜在的“安全漏洞”,一旦被黑客发现并利用,后果也不堪设想。

  此外,阮龙补充,山寨应用泛滥,很多应用都遭遇过被山寨抄袭的困扰。眼下市场上除了专门研制盗版的犯罪团伙之外,小部分研发正版软件的公司也有推出盗版APP的状况。这些盗版软件不仅会扰乱市场竞争秩序,对于用户来说危害更加明显,因为盗版软件中会藏有手机木马,通过感染手机的方式获取用户信息,利用大数据分析用户习惯再将相关数据转卖获利,更有甚者直接利用手机木马窃取用户银行卡存款。

  事实上,这些APP的安全问题几乎都出在Android平台上。由于Android系统过于开放,开发者可随意嵌入自己所需要的程序,而谷歌的应用商店Google Play在国内又基本形同虚设,无法检测Android APP,所以给了各类吸费应用、恶意应用、窃取隐私的应用、病毒木马以可乘之机。

  这就回到了APP的归属地——应用商店的问题上。阮龙认为,当前应用商店主要是通过给开发者提供后台、开发者注册账号自行上传应用的模式进行管理,一些没有安全技术实力的中小型应用商店,并不具备对开发者上传的应用进行甄别的能力,也无法详细分析,特别是恶意代码、恶意风险行为(资费消耗、恶意扣费、远程控制等)、隐私泄露行为(恶意窃取用户位置、恶意窃取用户短信、恶意窃读取用户通讯录信息等)。

  腾讯手机管家安全专家陆兆华告诉《中国电子报》记者,国内移动APP的发布渠道比较凌乱,某些手机APP借助一些地下传播渠道,比如通过论坛、网盘、直接群发恶意下载网址、诱导下载、恶意捆绑等方式,缺乏安全意识的用户也经常误安装恶意程序进入手机,并造成各种危害和经济损失,给恶意病毒样本的收集增加了一定的难度。

  政府管制需站在公众利益上

  现在,移动APP市场上也有一些自发的安全管理措施,腾讯的应用宝和百度的91手机助手都有相应的手段检测APP。

  陆兆华透露,腾讯是通过大数据、大系统进行有效移动应用管理的,特别是借助腾讯手机管家的在线安全检测服务,包含维护数据量最大的软件黑名单、白名单库,各种手机软件在上架之前,可以有效识别出各类恶意软件和病毒包括各类窃取用户隐私的恶意软件等,直接禁止软件的上线。

  阮龙则表示,百度手机卫士可以对手机内安装的应用进行检测,不仅扫描手机中安装的应用,对于系统预装应用,以及SD卡中的应用安装包文件进行扫描,从根本上解决了当前市场预装混乱以及后台偷偷下载恶意应用问题。百度手机卫士还输出APP的安全检测能力,应用商店可以通过这个能力扫描每天新提交的应用,在审核时发布前,第一时间发现带病毒木马等潜在风险的应用。

  阮龙和陆兆华都指出,恶意应用以及带有病毒等威胁用户安全的程序是能被手机安全软件完全查杀的,用户如果安装了安全软件,就可以防止中毒和隐私泄漏。

  这些行业内的自发自律行为,确实能起到安全管理的作用,但是并不能填补公共管理缺位的空白。复旦大学国际关系与公共事务学院副教授沈逸告诉《中国电子报》记者,市场自发形成的行业规制管制只是为了确保有序服务,指望行业管制去考虑社会责任、特别是考虑与谋取利润相冲突的责任是不可能的,所以外部管制(即政府管制)必须介入。但是政府管制必须要站在维护公共利益上,而不是为了某个特殊利益集团服务或是为了维护自己的利益。

  沈逸指出,国外移动应用软件有年龄分级制度,用户如果发现并有证据表明软件损害消费者的利益就可以控告软件方,但是政府一般不会主动介入管理,如果不做事先的强制审核,会规定负连带责任。例如苹果应用商店本身是有审核机制的,政府只需要盯着苹果商店的审核。如果软件出了问题,政府会找苹果问责。

  沈逸建议,中国政府应尊重技术特点和客观规律进行管制。第一,对现在的APP收集哪些用户隐私信息、存放在哪里、数据谁在使用等情况进行摸底调查。第二,在此基础上,在移动APP市场建立关键的与国家安全相关的个人数据使用规范,出台安全APP衡量标准。第三,出台规范前,应该经过用户、专家、厂商认真讨论。

  对此,阮龙也赞同,加强移动应用的安全与管理需要政府、运营商、应用厂商、安全厂商等产业链各方通力合作,共同治理。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:河南电信推加密通信产品防泄密