在A(yíng)ndroid手機用戶(hù)因一款兒童視頻應用聯(lián)網(wǎng)重復下載文件導致手機偷跑流量23G后�����,工業(yè)信息化部(工信部)在前段時(shí)間出臺了《移動(dòng)智能終端應用軟件(APP)預置和分發(fā)管理暫行規定(征求意見(jiàn)稿)》����,禁止手機預裝與基礎功能相關(guān)的不可卸載應用���,并對手機應用的安全性進(jìn)行了規范�����。
那么工信部“征求意見(jiàn)稿”的出臺對于手機企業(yè)����、應用開(kāi)發(fā)商�、用戶(hù)帶來(lái)哪些影響�����?本文就簡(jiǎn)單的分析一下�。
征求意見(jiàn)稿的兩大重點(diǎn)內容
我仔細研讀了征求意見(jiàn)稿����,發(fā)現主要有兩個(gè)重點(diǎn)內容:
其一�����,限制應用的越權行為����。生產(chǎn)企業(yè)和互聯(lián)網(wǎng)信息服務(wù)提供者所提供移動(dòng)智能終端應用軟件必須符合相關(guān)標準要求����,不得調用與所提供服務(wù)無(wú)關(guān)的終端功能�、強行捆綁推廣無(wú)關(guān)應用軟件�����,未經(jīng)明示且經(jīng)用戶(hù)同意���,不得實(shí)施擅自收集使用用戶(hù)個(gè)人信息�����、強制開(kāi)啟應用軟件����、違規發(fā)送商業(yè)性電子信息等侵害用戶(hù)合法權益和危害網(wǎng)絡(luò )安全的行為����。
其二�����,限制手機出廠(chǎng)預裝不可卸載應用�����。生產(chǎn)企業(yè)和互聯(lián)網(wǎng)信息服務(wù)提供者應確保除基本功能軟件外的移動(dòng)智能終端應用軟件可卸載��?��;竟δ苘浖侵副U弦苿?dòng)智能終端硬件和操作系統正常運行的移動(dòng)智能終端應用軟件����,主要包括操作系統基本組件����、保證智能終端硬件正常運行的應用�����、基本通信應用��、應用軟件下載通道等�。終端中預置的實(shí)現同一功能的基本功能軟件�,至多有一個(gè)可設置為不可卸載��。
對手機企業(yè)���、應用開(kāi)發(fā)商的影響
“征求意見(jiàn)稿”限制了應用的推送消息���、違規調用系統權限�、捆綁推薦其他應用等行為�,這意味著(zhù)許多手機App都必須進(jìn)行整改�����。比如���,在剛過(guò)去的雙11中�����,電商App瘋狂推送優(yōu)惠消息�;新聞類(lèi)App不停地推送熱點(diǎn)新聞��;還有些應用會(huì )推薦下載其他應用等����。
Android系統對應用權限監管不力�,導致了應用開(kāi)發(fā)者無(wú)視用戶(hù)權益����,瘋狂調用各類(lèi)權限����,用以推廣���、牟利��,或者調用位置��、短信等權限�,侵犯用戶(hù)隱私����。如果應用開(kāi)發(fā)商們真的按“征求意見(jiàn)稿”去執行�,那么絕大多數的Android應用都需要回爐重造����。而現在的狀況是��,Android系統被當做應用開(kāi)發(fā)商們的“法外之地”�����,他們可以隨意使用權限�����,怎能輕易放棄呢���?
此外�,由于“征求意見(jiàn)稿”并未禁止手機出廠(chǎng)時(shí)預裝應用���,只是要求要告知用戶(hù)預裝軟件的名稱(chēng)���,并允許用戶(hù)自己卸載���。而此前預裝應用成為手機企業(yè)牟利的重要手段����,一個(gè)預裝1-2元的收費����,對于出貨上千萬(wàn)的企業(yè)來(lái)說(shuō)�,獲利頗豐����。而這些應用都被壓制到ROM中�,難以通過(guò)普通方法卸載���,成為手機的“牛皮癬”?���,F在工信部要求必須允許用戶(hù)卸載��,這勢必降低預裝收費�����。
用行政手段讓手機應用守規矩能否奏效��?
雖然“征求意見(jiàn)稿”對應用的權限進(jìn)行了一些強制性要求���,但是應用開(kāi)發(fā)者真的會(huì )照做么�����?在《運營(yíng)商背上手機偷跑流量“黑鍋”活該么�?》一文中�,我曾談到“禁止應用違規調用權限�、偷流量等問(wèn)題�����,只依靠行政監管難以實(shí)施��,從Android系統著(zhù)手才是解決之道�����。”
然而當前無(wú)論是小米MIUI��、華為EMUI�����、魅族Flyme等都是基于A(yíng)ndroid的ROM��,并不是獨立存在的操作系統�,因此其差異化也僅僅是一些操作��、視覺(jué)上的���,對于應用權限的控制���、流量的監控等����,都難以做到系統級別的安全性����。
我曾看過(guò)一份泰爾實(shí)驗室對魅藍Flyme版(Android系統)和魅藍YunOS版的對比�����,其中在安全性這一項目中��,雖然兩個(gè)版本均自帶了一些基礎安全功能�,但是Android版相比YunOS版的安全性欠缺很多����。
測試安全項包括網(wǎng)絡(luò )反釣魚(yú)����、流量監控�����、隱私聯(lián)系人�、敏感數據訪(fǎng)問(wèn)����、防止App通過(guò)發(fā)短信惡意扣費等16個(gè)項目�,結果Flyme在流量監控���、敏感數據訪(fǎng)問(wèn)�、防止App通過(guò)發(fā)短信惡意扣費等10個(gè)系統級安全性上存在欠缺���。
這其實(shí)就體現出UI與OS之間的巨大差異��。目前���,小米���、奇酷都在對Android系統進(jìn)行深度的開(kāi)發(fā)�,修改大量底層代碼��,希望滲透到系統底層從而解決只做UI無(wú)法解決的系統級安全問(wèn)題�。但是這并非一蹴而就的事情�,需要耗費大量的時(shí)間�����、人力��。
而想要解決當前手機應用的權限調用亂象���,讓它們都像iOS應用那樣守規矩�����,讓私自聯(lián)網(wǎng)�、私自下載文件��、推送消息���、竊取隱私等行為被禁止����,就必須從系統層面進(jìn)行解決���,因為系統才是規矩的制定者�,否則工信部的行政手段只能流于形式�����。
