【赛迪网讯】在利益的驱使下,预装恶意软件已成为手机市场的潜规则,解决问题需要建立芯片安全机制,完善产品监测手段,加强流通环节管控力度等多个环节入手。
近日,央视315晚会曝光了大唐高鸿通过预装软件,向手机植入恶意软件,获取用户IMEI、MAC地址等设备信息,查看系统应用软件列表,并监控用户日常使用软件的时间、次数、网络流量等侵权行为。
记者经过走访进一步了解到,因为恶意软件开发周期短,成本低,获利快,所以在手机市场中,此类问题普遍存在。不过要想从根本上解决问题,以目前的产品条件,还不能完全规避预装软件带来的风险。“当前,产业链上下游企业实现联动,才能最大限度保护用户的隐私安全。”从事安卓系统开发业务的中科创达副总裁杨宇欣表示。
“小把戏”
对于由预装软件引发的问题,业界人士并不陌生。
技术层面,窃取用户隐私的软件与吸费软件没有明显区别,都是在安卓系统平台中,被打包为APK格式的dalvik vm执行文件。因为此类文件在“/system/app”文件夹下执行是不受限制的,所以在程序正常运行时,用户在删除移动应用后,仍然无法删除保存在后台的问题程序。
与吸费软件不同,前者通过提升应用装机量,窃取用户日常生活和行为的数据信息,或者保证目标应用长期运行在智能手机中不被删除,而不是与利益相关方分享用户流量损失的红利。此类应用中,应用推广平台开发商按程序的装机量,向协议方交付0.7至3元人民币的费用,保证程序安装到手机中。
在使用过程中,用户数据信息,会通过无线网络信号,发送至指定平台上。收到回复后,平台厂商就得到了向软件厂商索取利润的凭证,进而索取相应利益补偿。“厂商的平台规模与推广力度越强,交付的费用也就越高。”东软集团嵌入式软件事业部高级软件工程师段观任表示。
过去,平台厂商会与手机生产商接洽,让刚出厂的手机早早预装目标应用。在产品进仓之后,工作人员通过连接设备,用电脑直连手机,完成预装准备工作。此流程中,操作方需要付出一定的人力成本,被央视点名的“大唐神器”正是这样的一款已经落伍的应用。
不过伴随技术的进步,硬件直连的方式正在被新式装备取代。据知情人士表示,目前,预装设备可以通过WiFi与手机连接,每台设备可以并行为40部手机安装程序,缩减了预装成本。“即使是为百万部以上规模的手机预装软件,工作量也不会很大,占用的时间成本也不高。”段观任表示。
在新式预装设备被广泛使用后,手机供应链开始伺机而动。杨宇欣表示,由于预装应用的条件限制不多,导致产品在流通过程中,分销渠道商与平台厂商的合作开始增多,重装手机系统的频率随之提升。
正因如此,用户很少使用到生产环节预制的软件,开始更多地使用渠道商预装的软件,平台厂商的合作伙伴,正在从传统的生产商转向渠道商。“谁更接近最终用户,谁就是平台商的最终合作伙伴。”杨宇欣说。
据中银通支付商务有限公司信息科技部总监陈建伟介绍,仍在经营此类业务的厂商不在少数。不过由于开发实现此类功能的应用难度不高,众多厂商会把相关业务 “隐藏”到其他业务之后,提升运转的安全性。“除非不想植入,全部流程执行下来的难度并不高,而且植入之后不会影响最终消费者的使用。”某渠道商工作人员表示。
以鼎开互联为例,预制服务只是其一小部分业务,主营产品及服务覆盖大规模网络应用技术开发和服务、手机客户端、应用软件开发等多个领域。“如果不是传送必要信息必须使用网络流量,用户根本不知道个人信息已经泄露的事实。”陈建伟说。
背黑锅的无奈
在众多问题出现后,让手机厂商开始为隐患手机背了黑锅。不过即便这负担再沉重,厂商也不会有扭转现状的意愿。
为降低产品开发成本,应对苹果iPhone给市场带来的冲击,2007年11月,众多厂商联合起来成立了开放手持设备联盟,发布了基于Linux系统的安卓手机平台。据国外科技媒体PhoneArena发布的最新数据显示,2013年安卓系统的全球手机市场的占有率已高达78.9%,iOS已经降到 15.5%。
不久后,发生在微软Windows平台的故事,在安卓系统中被重新演绎——病毒和木马程序大量出现,让安卓平台的安全隐患彻底爆发。虽然大量安全厂商纷纷涌现,并在移动平台推出应用服务,但面对层出不穷的问题仍然是杯水车薪。
“即使问题再严重,手机厂商能做的只能是修补,而不是革命。”段观任表示,手机安全的根由在于千疮百孔的安卓系统,扶持新系统自然是解决问题的一种方法,可是留给厂商的选项并不多。就算是第三大操作系统Windows Phone,市占率也仅有3.6%,20万的应用数量更是不到安卓平台的五分之一,其他平台的市占率和影响力可被忽略,更换系统就相当于产品贬值。
也有部分厂商试探性地开发Firefox OS,同时提前布局HTML5。不过后者同样属于开源系统,该属性与安卓系统相同。就算被手机厂商广泛采用之后,Firefox仍会与安卓一样,难以摆脱安全问题的困扰。
不仅如此,成本压力仍然是每家厂商必须考虑的因素。据媒体报道,包括Office在内,WP系统的授权费用是25美元/部,Windows RT系统的平板设备授权费用是90美元/部。如更换操作系统,为填补多出来的授权费成本,提价在所难免,这势必影响产品的市场竞争力。手机厂商也可以“自立门户”打造自有操作系统,三星已经提前布局,TIZEN系统已经植入其可穿戴设备GALAXY GEAR2中。不过能够拿出足够的资金支撑系统开发的手机厂商并不在多数,因此三星的行为只是个案。“成本决定着厂商的最终选择。”杨宇欣说。
然而背负成本压力的,又何止手机厂商?一方面手机厂商投入力度有限;另一方面人工和租金等成本不断提升,对于在夹缝中生存的渠道商而言,吸收预制平台应用厂商的资金,缓解生存压力也是理想的选择。某渠道商工作人员向记者表示,平台商的定向投入已经成为渠道厂商的固定收入,很多手机厂商也默认了这些行为。
平台商得到了用户数量,渠道商拓宽了盈利渠道,睁一只眼,闭一只眼的手机厂商“难得糊涂”,三方达成了默契,并从底层重构了盈利模式,所以预置软件商才有了如此宽松的生存环境。“正因如此,手机厂商会继续把黑锅背下去。”陈建伟表示。
多管齐下
目前,预装恶意软件的问题已成为行业潜规则,因此解决问题需要从多个环节入手。
在产品层,由于问题平台商已经与最接近用户的渠道商建立联系,因此加强对渠道商的监管力度效果不会明显。不过因为操作系统处于产业链的上游,所以解决问题也必须从“上层建筑”开始。
杨宇欣表示,芯片厂商可以在处理器层设置安全机制,通过硬解码的方式,识别系统中的安全隐患。这种模式,类似于个人电脑中被广泛采用的杀毒软件。在芯片层删除程序,或对问题程序加以控制,能够以最低的成本提升操作系统的安全性。
虽然手机厂商不会自我革命,但是出于保护品牌的目的,它们也开始通过各种手段改善现状。以三星为例,为摆脱问题应用的出现,从2013年第四季度开始,该公司不仅像苹果一样专门设计并使用破坏型封装,还为新品设置了开机注册的启动项。新机在首次开机时,会进行FOTA注册,一方面可以达成监测手机实际销售情况的目的;另一方面还降低了产品被预装软件的可能性。
流通环节,提升产品在正规渠道的流通量同样重要。出于提升品牌价值的诉求,苏宁易购、京东(滚动资讯)商城、国美、迪信通等线上和线下渠道商,会尽量避免手机预装软件带来的安全隐患,因此用户选择在主流渠道购买手机有很强的实际意义。“正规化的运作同样有助于产品更好地推广。”段观任表示。
2013年8月,中国移动曾推出M701与M601两款产品。运营商除了在应用预装过程中能够保证系统的安全性,产品在各地移动营业厅为主的渠道中销售,进一步降低了产品在流通过程中,出现安全问题的可能性。“全程正规化,是目前解决安全问题的最有效措施,中国移动的操作很有借鉴价值。”某业界专家表示。