國外的月亮也不一定圓 谷歌商店詐騙軟件搶榜首

一款名為Virus Shield(病毒護盾)的“手機安全應用”，讓谷歌官方應用商店Google Play遭遇尷尬，也揭開了Android應用審核亂象的冰山一角。

這款應用3月28日登陸Google Play，宣稱能夠保護手機免受惡意軟件侵害，且耗電量極低。它的售價為3.99美元。一周內(nèi)，這款應用的下載量突破3萬次，沖上Google Play最新付費應用排行榜的首位。

然而，到了4月6日，國外科技博客Android Police通過反編譯發(fā)現(xiàn)，Virus Shield從設(shè)計上并不具備任何反病毒功能，更不可能提供安全防護。它只有數(shù)百行代碼，唯一的功能是在用戶點擊其圖標時，把“X”號改為“√”號，欺騙用戶“殺毒完畢”。

此文一出，輿論嘩然。谷歌迅速將這款應用下架，而應用的開發(fā)者杰西?卡特(Jesse Carter)堅稱，并非有意欺騙，只是上傳了錯誤的應用版本。他還表示，將向已經(jīng)購買Virus Shield的用戶退還費用。

另一方面，谷歌對此表現(xiàn)得相當?shù)?，其發(fā)言人稱：“我們會移除違反開發(fā)規(guī)范的應用，比如非法的、或是煽動仇恨言論的應用。我們不會對單個應用置評。”

令人驚訝的是，如果嚴格參照Google Play的應用開發(fā)規(guī)范，Virus Shield已經(jīng)觸及紅線，但谷歌不僅未將其拒之門外，反而聽之任之，直到大量用戶投訴才將其下架。

去年，Google Play的應用數(shù)量超過100萬款，壓倒蘋果App Store成為全球第一大應用商店。谷歌恪守的“自由開放”吸引了眾多開發(fā)者，成就了Google Play，但“用戶投票”機制屢屢失效，讓Virus Shield這樣的欺詐應用覓得生存縫隙，也讓谷歌遭受質(zhì)疑。

機制失效

“Virus Shield的行為絕對是詐騙?！痹诮邮苡浾卟稍L時，張勇如是評判。

張勇是一位國內(nèi)移動安全領(lǐng)域的創(chuàng)業(yè)者。在他看來，Virus Shield并不具備所宣稱的安全防護功能，本質(zhì)上就是在騙錢。但他同時指出，Virus Shield被下架，或許僅僅是由于谷歌承受了較大的輿論壓力。

與蘋果App Store嚴苛的人工審核不同，Google Play秉持開放態(tài)度，對于新應用的審核一直較為寬松，這已經(jīng)成為Android開發(fā)者的共識。

“Google Play的應用審核機制是，上傳后機器自動掃描應用內(nèi)是否含有病毒、色情等非法內(nèi)容，確認沒有問題后就可以上架銷售了?！睆堄抡f。

Google Play開發(fā)者計劃政策規(guī)定，不能觸碰的紅線包括：露骨色情內(nèi)容、暴力和欺凌、仇恨言論、假冒或欺騙行為、知識產(chǎn)權(quán)、個人和機密信息、非法活動、賭博、危險產(chǎn)品和系統(tǒng)干擾。

蹊蹺的是，Virus Shield顯然屬于“假冒或欺騙行為”，卻并未在上傳時遭到谷歌封殺。

這或許與谷歌篤信“用戶投票”有關(guān)。在谷歌看來，用戶能夠有效甄別應用質(zhì)量，并通過打分做出評判。最終，優(yōu)質(zhì)應用將脫穎而出，而劣質(zhì)應用將被人遺忘。

但在Virus Shield的案例中，“用戶投票”顯然失效了。1659名用戶給這款毫無用處的軟件打出了4.7分的高分(滿分5分)，另有2607個用戶在上點了“+1”表示認可。

7天時間里，Virus Shield蒙騙了數(shù)萬用戶，牟利數(shù)萬美元。不過，亦有業(yè)內(nèi)專家猜測，這款軟件是靠刷榜才沖上了付費應用榜首，有偽造數(shù)據(jù)的可能。

野蠻生長

一款漏網(wǎng)的欺詐應用并不可怕;但谷歌在Android應用審核的問題上過度依賴技術(shù)手段，，面對特殊情況應對遲緩，客觀促成了整個應用生態(tài)體系的野蠻生長，惡意軟件屢屢成為漏網(wǎng)之魚。

張勇透露，Android應用的審核一直處于“黑箱”狀態(tài)，谷歌究竟采用了哪些掃描技術(shù)，外人無從得知。而谷歌下架一款應用，同樣不需要給出理由。

谷歌這種對自己的技術(shù)自信到有些傲慢的姿態(tài)，讓一款應用登陸Google Play變得相對簡單，為Android平臺上惡意應用的泛濫埋下了禍根。

安全軟件廠商卡巴斯基今年2月公布的數(shù)據(jù)顯示，98%的手機惡意軟件針對的是Android平臺。中國國家互聯(lián)網(wǎng)應急中心(CNCERT)今年3月披露的數(shù)據(jù)更加夸張，99.5%的移動互聯(lián)網(wǎng)惡意軟件瞄準的是Android。

而在Virus Shield事件發(fā)生后，谷歌4月10日宣布，將提供一個安全升級，未來Android系統(tǒng)將持續(xù)不斷地掃描已安裝的應用，防止出現(xiàn)安全威脅。此前，Android系統(tǒng)只會在安裝應用時進行一次掃描。

但在張勇看來，谷歌并未能解決Virus Shield帶來的難題：如果一款應用僅僅是“不作為”，那么該如何識別并加以封殺?

“Virus Shield是一個比較極端的例子，它什么功能都沒有，純粹是騙錢。但如果一款手機安全軟件只能殺1種、10種、50種病毒，那么它算不算欺詐呢?”他說。

技術(shù)手段或許能夠解決明目張膽的惡意代碼，但在面對殺毒軟件“消極怠工”這樣的商業(yè)倫理問題時，谷歌的應用審核機制并不能很好地保護用戶權(quán)益。

各自為戰(zhàn)

與Google Play相比，國內(nèi)的應用分發(fā)渠道不僅繼承了審核不嚴格的特點，還存在規(guī)則各異、要求不一、各自為戰(zhàn)的碎片化難題。

Google Play雖然貴為谷歌“親兒子”，但由于各種原因，它在國內(nèi)并不流行。國內(nèi)用戶通常通過安卓市場、豌豆莢、機鋒、小米應用商店等第三方渠道安裝Android應用，而這些市場的審核情況同樣不容樂觀。

國家互聯(lián)網(wǎng)應急中心今年初披露的數(shù)據(jù)顯示，2013年手機病毒增長了5倍，而62%的手機木馬或惡意軟件是通過第三方應用市場或論壇傳播的。部分原因是，隨著同質(zhì)化競爭日益激烈，許多市場將收錄數(shù)量作為競爭指標，忽視了應用品質(zhì)。

此外，部分平臺缺少足夠的技術(shù)實力，無法對Android應用進行有效審核。業(yè)內(nèi)人士指出，以谷歌對Android的理解程度，尚且無法做到萬無一失，國內(nèi)應用商店的審核能力更是可想而知。

另一方面，國內(nèi)Android應用市場格局遠未塵埃落定，仍處于群雄紛爭的時代。每個平臺都有一套自己的應用審核規(guī)則，平添了許多變數(shù)。

艾瑞咨詢的數(shù)據(jù)顯示，去年第四季度，360手機助手、豌豆莢、91手機助手、安卓市場、小米應用市場、淘應用、百度應用和安智市場等8家應用平臺的份額超過5%，另有12家平臺的份額在1%以上，整個應用分發(fā)市場的碎片化十分明顯。

在色情、暴力、賭博等非法內(nèi)容方面，應用商店們的策略比較統(tǒng)一，堅決封殺。但在廣告、內(nèi)置應用下載和積分系統(tǒng)方面，不同平臺往往會有不同的要求。

例如，安卓市場不允許推送廣告，而機鋒允許推送，但廣告必須是和機鋒有合作的。安智、應用匯和小米應用商店則是完全不允許有廣告。

不過，開發(fā)者已經(jīng)逐漸摸清了國內(nèi)主要Android應用商店的脾氣秉性，并制定出了一套攻略。

Android開發(fā)者唐元鵬在知乎問答中詳細介紹了主要應用商店的審核情況。根據(jù)他的描述，各家應用商店的審核力度略有不同，但基本上3天內(nèi)就能保證應用上線。

據(jù)唐元鵬透露，雖然應用商店數(shù)量眾多，但只要準備好開發(fā)者圖標、安裝包、文字介紹、關(guān)鍵詞、截圖等，基本每個市場都可以上傳。

在他看來，維護好與平臺的關(guān)系十分關(guān)鍵?！翱傮w感覺，國內(nèi)市場在某種程度上是‘可控’的。要是在市場里有熟人(下載量很高也有用處)，審核就可以快一點。”他寫道。