终端恶意软件:刷机市场是漏网之鱼?

Android平台的开放性激发了第三方应用市场的活力,但也同样是因为开放性,安全性问题正成为影响Android阵营进一步发展的“障碍”,同时也给用户安全带来了隐患。

日前,工信部出台《关于加强移动智能终端进网管理的通知》征求意见稿,其中规定,申请入网许可的移动智能终端生产企业以及与之有合作定制的企业将不得预装含有恶意代码、未经用户同意擅自收集并修改用户个人信息、擅自调用通讯功能的手机软件。

内置软件“乱象”

就目前的智能手机平台而言,iOS的封闭虽然受人诟病,但也给内置恶意软件设置了门槛,Windows Phone的市场尚未形成规模,因此,Android平台的智能手机成为“众矢之的”。

艾媒咨询CEO张毅表示,由于产品的特殊性,微信、米聊、陌陌等手机社交类应用均需要调取用户手机的通讯录等隐私信息,而目前大部分该类应用软件的做法是,在下载使用前,用户需打钩表示同意该软件的用户隐私协议才能获准安装并继续使用。

目前,《通知》征求意见稿对“恶意代码”的解释尚不明晰,因此,有观点认为,类似“小米手机”这样的互联网终端厂商将受到影响,对于进入手机行业的互联网厂商而言,内置自有软件是其重要战略,而这是否属于“通知”禁止的对象,尚不明确。

《第一财经日报》记者了解到,据调查,目前国内手机恶意软件主要表现在隐私窃取、资费消耗、恶意扣费三个方面。一类是,通过窃取用户通讯录和地理位置,强制用户访问指定网站或弹出广告;二是,在安装后无提示私自下载其他指定应用,导致用户流量消耗;三是,借助SP的计费通道恶意扣费。

上述三类手机恶意软件分别占据总量的40%、34%和28%。此外,据360公司监测,在被木马感染的Android手机中,通过ROM预装传播的手机病毒占比为40%,由应用商店传播的占28%。

刷机市场如何规范?

记者注意到,上述规定的约束对象为向工信部提交入网许可证的手机终端,但实际上,在手机从终端厂商出厂到最终用户的手中,仍然有诸多环节存在漏洞,“刷机”市场就是一个明显的“漏网之鱼”。

手机游戏开发商摩卡世界CEO宋啸飞就认为,《通知》征求意见稿不应仅针对手机生产企业在软件预装上展开要求,也应考虑到对应用商店以及第三方刷机市场等灰色渠道的管理。

据记者观察,诸如三星、HTC等知名品牌的Android手机在出厂前都会预装各自经过质量认证的应用商店,但也有一些手机厂商预装的应用商店,并不能保证其内的每项应用都不存在安全问题。那么对于此种现象,该如何监管?目前的《通知》征求意见稿里并没有明确给予解释。

应用汇CEO罗川表示,《通知》征求意见稿里的相关规定没有将在手机预装的应用商店明确在内,但出于用户体验优先的考虑,应用汇已经在《通知》征求意见稿颁布之前,与腾讯合作,为用户建立了恶意应用预先赔付通道。

不过,据记者了解,用户在购买手机后,通过在手机卖场刷机,进行二次系统应用安装,所感染上手机恶意软件的现象也较为普遍。这种现象的背后一方面是用户对免费软件的强烈需求,另一方面是随着国内智能机出货量的迅速增长,刷机市场所产生的巨额利润空间。

一名负责手机应用推广的工作人员告诉记者,刷机业务本身并没有太高成本,对操作人员的技能要求也不高,一两个学生在两三分钟内即可学会,算上向用户收取的刷机费和向应用推广方收取的推广费,靠刷机从每一部手机上就可赚取近100元利润,以IDC对今年国内智能手机将达1.36亿部的出货量粗略计算预测,刷机市场的利润空间将达百亿。

而在高利润的熏心以及管理的缺失下,一些刷机主为恶意软件搭建推广渠道的行为也较为常见。数据显示,在40%由ROM渠道感染病毒木马的手机中,其中有27%为行货手机,这也说明,至少有超过10%的手机病毒传播来自于第三方的刷机市场。

值得注意的还有,《通知》征求意见稿提出,获得进网许可后的智能手机操作系统,发生较大功能变化以及新增预装软件时,手机生产企业应向工信部备案。

不过,相关业内人士认为,这项措施一旦执行,将拉长第三方应用在出厂手机渠道上的推广周期,提升了手机生产企业对应用预装的门槛,从而使中小型手机应用开发商在手机厂商的预装合作上变得更加艰难。

张毅表示,如果《通知》未来推出,将提升手机生产企业的应用预装成本,这将鼓励更多的应用开发者寻找与手机生产企业预装合作之外的刷机渠道,使本来就高利润的刷机市场变得更为紧俏。