日前,工信部发布了《关于加强移动智能终端进网管理的通知》的征求意见稿,规定申请进网许可的移动智能终端不得安装含有恶意代码或擅自调用终端通信功能造成用户流量耗费、费用损失、信息泄露的软件。
征求意见稿中提到,流量耗费、费用损失等方面都可通过量化指标来注明,同时还要求,获得进网许可证后的移动智能终端操作系统发生较大功能变化或者新增预置应用软件的,生产企业应当向工信部备案。
随着智能手机的发展,恶意代码胡乱扣费,隐私被窃取修改,个人信息被倒卖,擅自联网导致耗费流量……各种恶意软件开始肆虐令用户防不胜防,威胁着每一位手机用户的安全及隐私。据曝光,一款名为"食人鱼"的恶意软件,侵袭了全国数万部手机,每年暗扣话费超过5000万元。
就目前较主流的智能手机平台而言,iOS的封闭虽然受人诟病,但也给内置恶意软件设置了门槛;安卓平台的智能手机成为"众矢之的",沦为恶意软件滋生的"温床",病毒的危害更集中于恶意扣费方面。艾媒咨询的数据显示,2012年第一季度,中国塞班和安卓平台新增病毒数分别为967和1572个。随着移动互联网的到来、智能手机的热卖及手机上网用户的增多,手机病毒继续向多元化方向发展。
进入智能机时代,手机里面储存的个人信息越来越多,包括私密短信、照片、视频等。而手机平台的开放性再加上网络的无缝对接,使得手机病毒与个人隐私实现了零距离接触。应用程序一旦中毒,个人隐私就存在被泄露的风险。
在过去,恶意软件主要盈利来源只有恶意扣费,而现在发送垃圾短信、发送诈骗短信、安装程序、倒卖信息等模式不断涌现,产业链越变越长。在这个链条中,手机方案厂商负责集成扣费软件或业务代码,手机厂商负责生产手机、预置软件和出货,SP、网盟、广告商等公司以各种方式,将被控制手机资源变现为"黑金"。
利字当头一把刀,巨额利润无疑是驱动这场乱象的主因。由于SP非法吸费投入极低,利润却很高,因此屡禁不止。很多内置自动扣费软件的山寨机、高仿机手机每次都只扣除1元或2元,每月扣除一次,用户很难发觉。在这个链条中,不论是什么业务,都有一个共同的特点,几乎没有任何成本,就可以轻松地拿到属于自己的利润分成。
工信部将恶意软件的监管提升到了法律层面,从网络秩序及民众利益角度看,确实是值得赞许的。但抛开它的"意义"不谈,回归到落实层面,在这条复杂的产业链上,该法规究竟能起到多大作用?
当前第三方软件应用商店、手机论坛等渠道对软件安全验证力度小,甚至根本就不进行安全验证,这也给了暗扣话费的恶意代码、病毒等软件插件传播的机会。还有一些渠道"刷机"商,完全不具备安全审核机制,导致恶意软件极容易混入其中,消费者一旦购买此类手机,扣费令人防不胜防。
此外,由于某些产品的特殊性,只要是涉及用户资料备份的软件,都会或多或少产生私密信息的收集,这是无法避免的,大部分该类应用软件的做法是,在下载使用前,用户需打勾表示同意该软件的用户隐私协议,才能获准安装并继续使用。例如微信、米聊、陌陌等手机社交类应用,需要调取手机的通讯录等隐私信息,用户基本处于"半透明"状态。
从一款手机应用软件的开发、发布及最终的数据统计来讲,目前的产业链上大多数从业者还是有安全意识的,并且技术方面也都能够实现。尽管要投入一定的人力、物力,但换来的将是用户的信任和肯定,他们会更愿意分享自己对于该产品的赞赏。但在具体执行上,仍然存在机制问题。
因此,"信息泄露"这一项,很大程度上还是要靠手机应用开发商自觉维护,工信部能做的工作,也只是判断是否"恶意"而已。但无论如何,工信部出台相关条例,彰显了政府部门惩治手机恶意软件乱象、保护用户个人隐私的决心,至少能起到警示作用,涉嫌违规的企业也会相应收敛。
当然,手机相关信息安全问题是一个多方面工作,涉及手机软硬件设计、病毒防范、测试认证、监管治理、立法打击等多方面综合治理。因此,要打造绿色手机使用环境,根治此类侵害还需要监管部门和运营商的大力行动,以及产业链各方的通力协作,封堵监管漏洞,建立更严格的问责制度等,创立良好的信任环境是十分重要的。
