工信部新规整治恶意代码 或“治大不治小”
该《通知》明确规定移动通信终端生产企业在申请入网许可时,要对预装应用软件及提供者进行说明,而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件,也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
目前,包括百度、阿里巴巴、奇虎360、盛大在内的互联网巨头均已宣布进军手机领域,并把自己开发的系统和应用预置到手机中。此外,还有大批手机厂商在出厂的手机中预装应用程序。而工信部此举,也被认为将对愈演愈烈的国内智能手机预装热产生约束力。
新时代弊病重现
在5月17日世界电信日这一天,艾媒网组织编辑按照用户的投诉去下载了一些智能手机软件的测试,结果发现不少恶意扣费的软件。
艾媒咨询CEO张毅向记者回忆道:当时,他们下载了一款山寨的植物大战僵尸软件,当用户手指“噼里啪啦”去打游戏屏幕上的怪物时,突然弹出一个窗口,用户根本来不及看上面是什么,就不小心点进去了。过了几秒钟,用户收到一条短信,提示自己已被扣掉几块钱。
与此类似的,还有一些山寨“切水果”软件,当用户切水果切得正高兴时,冷不丁也会弹出一个窗口,让用户点进去然后被扣费。
而当他们向运营商投诉此事时,运营商的客服却反馈说,是用户自己点了应用中的某个条款才产生扣费的,无法进行受理。这就是一次典型的恶意扣费软件侵害消费者的过程。张毅指出,恶意扣费的超过5成是游戏软件。
此外,Android智能手机被认为存在较大漏洞,用户信息很容易被不法分子盗用。比如当用户装上微信、陌陌这样的聊天软件,它就有权在你的手机底层植入一些东西,调取手机里的信息。这是一个天然的漏洞,一些不法分子可能会利用这一漏洞设法收听用户的通话。
记者此前曾采访过一些Android的系统开发商,他们认为,这是Android系统存在的天然漏洞,系统开发商往往陷入两难境地:假如完全堵上这些漏洞,那么微信、米聊这些软件都无法使用,假如不堵上,系统肯定会有安全漏洞。
“这就好比在你家装修的时候给了别人一把钥匙,别人随时可以进来。”张毅指出。
随着联发科、展讯的智能手机芯片方案成熟,大批过去做山寨功能手机的厂商开始进入智能手机领域,这些厂商正把过去功能手机时代的恶意扣费玩法带到智能手机上,吸费软件、恶意软件开始多起来。
此前,功能手机上的恶意吸费软件也曾一度猖獗。在此之前的2010年12月,工信部就曾下发过名为《关于进一步整治手机“吸费”问题的通知》的文件,其中规定要严格规范手机内置软件。
而本次工信部新规定的出台,则是首次对智能手机中的不法应用做出约束,目前该《通知》尚在征求意见稿阶段。
新规或“治大不治小”
记者调查发现,目前大的智能手机厂商出品的手机中恶意软件还并不多见,因此大厂商受到的影响并不明显。
“工信部新规可能主要是约束中小、山寨手机厂商,因为现在许多厂商把过去SP扣费的游戏规则都带到智能手机上来了。”在手机软件预装领域有丰富经验的高德副总裁郄建军指出。
郄建军认为,大厂商在操作上比较规范,如高德地图想要装入三星、摩托罗拉、华为这样的大厂商的手机就要经过许多测试,因为用户使用手机软件出了事,会怪罪是手机厂商的产品不好,带来很多麻烦,因此这些大型手机厂商在预装软件时相当谨慎,并会有比较严格的测试流程。
包括百度、阿里巴巴、360、盛大在内的互联网巨头们均宣布进军手机领域,并把自己开发的系统和应用预置到手机中,新规也可能对他们产生一定的约束。
“像奇虎360、腾讯这样的公司,他们的做法相对而言是比较规范的,而且他们之间的相互竞争,会对彼此的流氓手段进行曝光,彼此都会有较大压力。”知识产权律师游云庭指出,因此新规对腾讯、360这样的大厂商的行为会产生一定约束作用,因为此次通知给了他们一个明确的合法和违法的清晰界定。
在《规定》中,明确了手机厂商不应该预装“未向用户明示并经用户同意,擅自收集、修改用户个人信息的”软件。但上海一家手机ROM厂商的CEO向记者分析道,如果仔细追究起来,市面上大部分手机软件都在收集用户个人信息,到底如何界定是否违规?还需要工信部给出具体细则。
游云庭也认为,此次通知主要是为规范中小型手机厂商和其他山寨厂商的。但问题是,这次规定对小而散的厂商是否有实际硬性制约能力,还值得观望,因此本次工信部《规定》的出台,更多是“治大不治小”。他指出,在移动互联网刚刚起步的阶段,走出这样的第一步对之后的产业发展有帮助。
谁在夸大手机安全问题?
张毅认为,相比之下,手机出厂预装软件中存在的问题并不算多,反倒是刷机渠道和第三方应用商店渠道中的手机软件问题更多。
当用户拿到一部手机时,它的手机可能被刷了好几道——在国代那边可能被刷了一道,在省代那里被耍了一道,等到了手机卖场的库房,可能又被刷过一道。每刷一道,都有人试图通过预装软件赚钱,而这一过程,恰好成为恶意软件泛滥的土壤。
不过,也有业内人士警告,要防止少部分厂商借机拿手机安全做文章,以达到自己的商业目的。
“我认为,有少部分厂商在故意夸大手机上的安全威胁。”一位不愿透露姓名的大型手机应用商店的CEO向记者指出,少部分手机安全厂商千方百计地想把自己的安全软件装到用户手机中去,以占领移动互联网的入口。
他表示,自己商店里的应用都会经过测试,并剔除那些存在吸费、恶意收集用户信息的应用。“我们还向消费者承诺,假如消费者在我们这里下到了吸费软件,由此产生的损失由我们商店承担。”上述CEO指出。
知情人士向记者透露,奇虎360就曾试图把自己的安全控件植入到国内一家大型应用商店中,对其中下载的每一款软件进行扫描,并由360负责认定哪一款软件是流氓软件,但被这家应用商店直接拒绝。
此后,360开始大规模推广“360特供机”,通过在手机出厂预装的方式直接占领用户手机中的安全领域,360的CEO周鸿祎在多个场合强调手机安全问题,并发布《中国手机安全报告》。
在不久前召开的移动互联网大会上,腾讯CEO马化腾也一再强调将来手机安全是个大问题,腾讯也推出了自己的手机安全产品,并有消息称,腾讯正试图和许多手机厂商合作,在手机操作系统中植入腾讯的安全产品。
腾讯移动安全实验室每个季度都会公布手机安全报告,提醒用户目前市面上手机病毒很猖獗。据该实验室的《2012第一季度手机安全报告》显示,2012年第一季度的手机病毒软件包数几乎接近2011年全年的一半,而Android病毒软件包超过了2011年全年病毒包的3/4,而手机ROM内置和软件捆绑类病毒大幅攀升,占20%以上。
“实际上,手机病毒并不像人们想象的那么厉害。”上述应用商店的CEO指出,因为目前手机机型相当繁多,且Android版本升级频繁,病毒要在不同机型间扩散远远比当年的PC困难。
作者:曾航 来源:21世纪经济报道