11月7日,工信部官方微博发布第三季度手机软件商店的检测结果,该次检查共发现20个商店的53款APP存在安全问题。其中,百度手机助手有两款APP恶意扣费,联想乐商店和2345手机宝库分别有一款APP“未经用户同意,收集和使用用户个人信息”。
剩余49款APP的问题是强行推广安装其他应用软件,其安全威胁相对较低。工信部已要求相关厂商把这些恶意APP下架。但已安装到用户手机上的恶意软件如何处理,公告中并未提及。
黑奇士在工信部公布的问题APP列表中发现,除了百度,阿里豌豆荚、腾讯应用宝和360手机助手中均出现了问题APP,尽管都是“强行推广安装其他应用软件”这类小毛病,但在手机安全领域最强的四大厂商同时出现问题,其象征性意义不容小觑。(小米商店也有问题,我没截图出来,手机厂商的安全能力只有更低)
根据熟知内情的人介绍说,工信部的检测只是其实技术能力也未见得多么技术高明,而且并非是7*24小时的不间断检测,仅仅是拿个病毒扫描引擎去做静态检测,而且采取的是抽查的形式,这样的检查就能把四大厂商干翻在地……我其实有点无话可说。
当然,病毒和反病毒的检测是个不间断对抗的过程,检测技术的升级带来的必然是攻击者对抗手段的升级,任何厂商都不能说自己的检测万无一失,即使Google、亚马逊这样的顶级巨头,其商店中也会有掺杂了病毒的漏网之鱼。
我曾经从Google商店和国内某著名商店下载了同一款软件对比,其对隐私权限的获取完全不同,其差别之大就像正品大牌和9.9包邮的拼多多一样大。
但是,别人的问题并不是原谅自己的借口,咱们做安全的人不能拿着“Google也有问题、苹果也有问题”来给自己做辩护。安卓生态的恶化是大家都能看到的问题,为什么不能对自己要求严一些、安全标注高一些?
就像这次工信部公布了53个APP被下架之后,涉及到的20个厂商无一宣布后续处理措施,就像没这么回事一样。有多少用户受到感染,多少个用户被扣费,用户的损失谁来赔?
一无所知,就像没这么回事!
以这样的玩忽职守、以这样的懈怠,你们的商店里不掺杂了病毒才有鬼!
