服务热线:400-081-8026

当前位置:主页 > 科技新闻 > 移动互联网 >

Android应用审核乱象:诈骗软件冲上排行榜首

来源:新浪科技 时间:2015-10-23 16:43

S6353315426737301038112

一款名为VirusShield(病毒护盾)的“手机安全应用”,让谷歌官方应用商店GooglePlay遭遇尴尬,也揭开了Android应用审核乱象的冰山一角。

这款应用3月28日登陆GooglePlay,宣称能够保护手机免受恶意软件侵害,且耗电量极低。它的售价为3.99美元。一周内,这款应用的下载量突破3万次,冲上GooglePlay最新付费应用排行榜的首位。

然而,到了4月6日,国外科技博客AndroidPolice通过反编译发现,VirusShield从设计上并不具备任何反病毒功能,更不可能提供安全防护。它只有数百行代码,唯一的功能是在用户点击其图标时,把“X”号改为“√”号,欺骗用户“杀毒完毕”。

此文一出,舆论哗然。谷歌迅速将这款应用下架,而应用的开发者杰西卡特(JesseCarter)坚称,并非有意欺骗,只是上传了错误的应用版本。他还表示,将向已经购买VirusShield的用户退还费用。

另一方面,谷歌对此表现得相当淡定,其发言人称:“我们会移除违反开发规范的应用,比如非法的、或是煽动仇恨言论的应用。我们不会对单个应用置评。”

令人惊讶的是,如果严格参照GooglePlay的应用开发规范,VirusShield已经触及红线,但谷歌不仅未将其拒之门外,反而听之任之,直到大量用户投诉才将其下架。

去年,GooglePlay的应用数量超过100万款,压倒苹果AppStore成为全球第一大应用商店。谷歌恪守的“自由开放”吸引了众多开发者,成就了GooglePlay,但“用户投票”机制屡屡失效,让Virus Shield这样的欺诈应用觅得生存缝隙,也让谷歌遭受质疑。

机制失效

“VirusShield的行为绝对是诈骗。”在接受新浪科技采访时,张勇如是评判。

张勇是一位国内移动安领域的创业者。在他看来,VirusShield并不具备所宣称的安全防护功能,本质上就是在骗钱。但他同时指出,VirusShield被下架,或许仅仅是由于谷歌承受了较大的舆论压力。

与苹果AppStore严苛的人工审核不同,GooglePlay秉持开放态度,对于新应用的审核一直较为宽松,这已经成为Android开发者的共识。

“GooglePlay的应用审核机制是,上传后机器自动扫描应用内是否含有病毒等非法内容,确认没有问题后就可以上架销售了。”张勇说。

GooglePlay开发者计划政策规定,不能触碰的红线包括:露骨内容、暴力和欺凌、仇恨言论、假冒或欺骗行为、知识产权、个人和机密信息、非法活动、赌博、危险产品和系统干扰。

蹊跷的是,VirusShield显然属于“假冒或欺骗行为”,却并未在上传时遭到谷歌封杀。

这或许与谷歌笃信“用户投票”有关。在谷歌看来,用户能够有效甄别应用质量,并通过打分做出评判。最终,优质应用将脱颖而出,而劣质应用将被人遗忘。

但在VirusShield的案例中,“用户投票”显然失效了。1659名用户给这款毫无用处的软件打出了4.7分的高分(满分5分),另有2607个用户在Google+上点了“+1”表示认可。

7天时间里,VirusShield蒙骗了数万用户,牟利数万美元。不过,亦有业内专家猜测,这款软件是靠刷榜才冲上了付费应用榜首,有伪造数据的可能。

野蛮生长

一款漏网的欺诈应用并不可怕;但谷歌在Android应用审核的问题上过度依赖技术手段,,面对特殊情况应对迟缓,客观促成了整个应用生态体系的野蛮生长,恶意软件屡屡成为漏网之鱼。

张勇透露,Android应用的审核一直处于“黑箱”状态,谷歌究竟采用了哪些扫描技术,外人无从得知。而谷歌下架一款应用,同样不需要给出理由。

谷歌这种对自己的技术自信到有些傲慢的姿态,让一款应用登陆GooglePlay变得相对简单,为Android平台上恶意应用的泛滥埋下了祸根。

安全软件厂商卡巴斯基今年2月公布的数据显示,98%的手机恶意软件针对的是Android平台。中国国家互联网应急中心(CNCERT)今年3月披露的数据更加夸张,99.5%的移动互联网恶意软件瞄准的是Android。

而在VirusShield事件发生后,谷歌4月10日宣布,将提供一个安全升级,未来Android系统将持续不断地扫描已安装的应用,防止出现安全威胁。此前,Android系统只会在安装应用时进行一次扫描。

但在张勇看来,谷歌并未能解决VirusShield带来的难题:如果一款应用仅仅是“不作为”,那么该如何识别并加以封杀

“VirusShield是一个比较极端的例子,它什么功能都没有,纯粹是骗钱。但如果一款手机安全软件只能杀1种、10种、50种病毒,那么它算不算欺诈呢?”他说。

技术手段或许能够解决明目张胆的恶意代码,但在面对杀毒软件“消极怠工”这样的商业伦理问题时,谷歌的应用审核机制并不能很好地保护用户权益。

各自为战

与GooglePlay相比,国内的应用分发渠道不仅继承了审核不严格的特点,还存在规则各异、要求不一、各自为战的碎片化难题。

GooglePlay虽然贵为谷歌“亲儿子”,但由于各种原因,它在国内并不流行。国内用户通常通过安卓市场、豌豆荚、机锋、小米应用商店等第三方渠道安装Android应用,而这些市场的审核情况同样不容乐观

国家互联网应急中心今年初披露的数据显示,2013年手机病毒增长了5倍,而62%的手机木马或恶意软件是通过第三方应用市场或论坛传播的。部分原因是,随着同质化竞争日益激烈,许多市场将收录数量作为竞争指标,忽视了应用品质

此外,部分平台缺少足够的技术实力,无法对Android应用进行有效审核。业内人士指出,以谷歌对Android的理解程度,尚且无法做到万无一失,国内应用商店的审核能力更是可想而知。

另一方面,国内Android应用市场格局远未尘埃落定,仍处于群雄纷争的时代。每个平台都有一套自己的应用审核规则,平添了许多变数。

艾瑞咨询的数据显示,去年第四季度,360手机助手、豌豆荚、91手机助手、安卓市场、小米应用市场、淘应用、百度应用和安智市场等8家应用平台的份额超过5%,另有12家平台的份额在1%以上,整个应用分发市场的碎片化十分明显。

在暴力、赌博等非法内容方面,应用商店们的策略比较统一,坚决封杀。但在广告、内置应用下载和积分系统方面,不同平台往往会有不同的要求。

例如,安卓市场不允许推送广告,而机锋允许推送,但广告必须是和机锋有合作的。安智、应用汇和小米应用商店则是完全不允许有广告。

不过,开发者已经逐渐摸清了国内主要Android应用商店的脾气秉性,并制定出了一套攻略

Android开发者唐元鹏在知乎问答中详细介绍了主要应用商店的审核情况。根据他的描述,各家应用商店的审核力度略有不同,但基本上3天内就能保证应用上线。

据唐元鹏透露,虽然应用商店数量众多,但只要准备好开发者图标、安装包、文字介绍、关键词、截图等,基本每个市场都可以上传。

在他看来,维护好与平台的关系十分关键。“总体感觉,国内市场在某种程度上是‘可控’的。要是在市场里有熟人(下载量很高也有用处),审核就可以快一点。”他写道。