【翻墙问答】Camscanner软件被揭恶意代码 Google Play应改革上架制度

2019-08-30
电邮
评论
Share
打印
2017年5月17日,安卓及Google Play产品管理副总裁Sameer Samat在谷歌全球开发者大会上对产品进行介绍。其时,Google Play上的应用程序数量已达约三百万。由于Google Play的软件上架制度相对宽松,令一些黑客有机可乘。(路透社)
2017年5月17日,安卓及Google Play产品管理副总裁Sameer Samat在谷歌全球开发者大会上对产品进行介绍。其时,Google Play上的应用程序数量已达约三百万。由于Google Play的软件上架制度相对宽松,令一些黑客有机可乘。(路透社)

问︰以往的翻墙问答,都会鼓励使用Android(安卓系统)的听众去官方的Google Play下载软件,而下载的软件最好是一些有一定名气的程式及开发者。但相当有名气的软件Camscanner,最近被发现软件的广告程式库中有一些恶意代码,被保安公司发现后,谷歌主动下架。这次Camscanner事件,又有甚么启示给听众?

李建军︰其实中国的听众听到这事件,应该感到心寒,如果Google Play的保安审查机制不作改革的话,类似事件只会陆续有来。因为不少Google Play或iTunes App Store上受欢迎的免费软件,都是一些小公司开发,他们依赖广告收入维持,但有时候广告收入不一定十分理想,并不足以弥补开发软件所需的各类杂费开支。如果中国有些来历不明的基金,向他们提供异常丰厚的广告收入,或乾脆入股这些软件公司,这些新推出受欢迎的软件,就很容易变成病毒传播平台,或中国当局搜集情报的工具。类似Camscanner公司的情况相信不只一间,只不过这次因为刚好被保安公司的研究人员发现,不少保安专家才意识到,这种做法不单可行,而且对广大手机用户构成新的威胁。

问︰除了保安公司的研究人员,听众要得知开发商在程式加入一些木马程式,或开发商股东名单,容不容易?

李建军︰首先,不少开发商都是海外成立的有限公司,只要相关公司仍未上市,除非有人作出主动侦查,否则不容易知道相关人士的背景。好像最近有一只以纳粹抹黑犹太人手法去抹黑香港示威者的游戏,开发公司是一间新加坡公司,而要侦查新加坡成立公司的真实背景是需要时间。中国即使利用一些私募基金买了这些公司,也不会在传媒,或可以公开查阅的登记资料上看到,所以这种手法成了很多软件使用者的挑战。

另一方面,由于谷歌的审查机制和技术限制相对宽松,有些人暗中加入奇怪软件,谷歌不一定第一时间知情,以及将有关软件拒诸门外,因此,每一次有人用一些新颖手法、利用程式去散播木马,或作其他对网络安全有风险的事,总会在Google Play Store上先发生,而非一向审核机制严谨的苹果App Store,所以这不单是技术问题,某程度上亦都是制度问题。两者在审查软件机制上的差异,解释了为何iOS仍未受这类作案手法的波及。

问︰为何苹果iTunes App Store,暂时少见这类问题?

李建军︰首先,苹果本身作业系统的设计,都有很多各式各类的保安限制,所以除非用家自行将手机「越狱」,否则恶意软件要作恶并不容易,一如Mac上面病毒作恶的难度比起Windows来得高,都是因为作业系统本身设计所致。而苹果对iTunes App Store所有上架软件更新,都作出详尽的代码审查,亦不容许滥用即时更新代码机制,避过审查制度。这也是iTunes App Store软件,比较少出现各类丑闻的原因。

因此,如果谷歌不改革现行Google Play的软件上架制度,再加上Android的保安一向相对宽松,类似事件只会接二连三发生。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

完整网站