【翻牆問答】Camscanner軟件被揭惡意代碼 Google Play應改革上架制度

2019-08-30
電郵
評論
Share
打印
2017年5月17日,安卓及Google Play產品管理副總裁Sameer Samat在谷歌全球開發者大會上對產品進行介紹。其時,Google Play上的應用程序數量已達約三百萬。由於Google Play的軟件上架制度相對寬鬆,令一些黑客有機可乘。(路透社)
2017年5月17日,安卓及Google Play產品管理副總裁Sameer Samat在谷歌全球開發者大會上對產品進行介紹。其時,Google Play上的應用程序數量已達約三百萬。由於Google Play的軟件上架制度相對寬鬆,令一些黑客有機可乘。(路透社)

問︰以往的翻牆問答,都會鼓勵使用Android(安卓系統)的聽眾去官方的Google Play下載軟件,而下載的軟件最好是一些有一定名氣的程式及開發者。但相當有名氣的軟件Camscanner,最近被發現軟件的廣告程式庫中有一些惡意代碼,被保安公司發現後,谷歌主動下架。這次Camscanner事件,又有甚麼啟示給聽眾?

李建軍︰其實中國的聽眾聽到這事件,應該感到心寒,如果Google Play的保安審查機制不作改革的話,類似事件只會陸續有來。因為不少Google Play或iTunes App Store上受歡迎的免費軟件,都是一些小公司開發,他們依賴廣告收入維持,但有時候廣告收入不一定十分理想,並不足以彌補開發軟件所需的各類雜費開支。如果中國有些來歷不明的基金,向他們提供異常豐厚的廣告收入,或乾脆入股這些軟件公司,這些新推出受歡迎的軟件,就很容易變成病毒傳播平台,或中國當局搜集情報的工具。類似Camscanner公司的情況相信不只一間,只不過這次因為剛好被保安公司的研究人員發現,不少保安專家才意識到,這種做法不單可行,而且對廣大手機用戶構成新的威脅。

問︰除了保安公司的研究人員,聽眾要得知開發商在程式加入一些木馬程式,或開發商股東名單,容不容易?

李建軍︰首先,不少開發商都是海外成立的有限公司,只要相關公司仍未上市,除非有人作出主動偵查,否則不容易知道相關人士的背景。好像最近有一隻以納粹抹黑猶太人手法去抹黑香港示威者的遊戲,開發公司是一間新加坡公司,而要偵查新加坡成立公司的真實背景是需要時間。中國即使利用一些私募基金買了這些公司,也不會在傳媒,或可以公開查閱的登記資料上看到,所以這種手法成了很多軟件使用者的挑戰。

另一方面,由於谷歌的審查機制和技術限制相對寬鬆,有些人暗中加入奇怪軟件,谷歌不一定第一時間知情,以及將有關軟件拒諸門外,因此,每一次有人用一些新穎手法、利用程式去散播木馬,或作其他對網絡安全有風險的事,總會在Google Play Store上先發生,而非一向審核機制嚴謹的蘋果App Store,所以這不單是技術問題,某程度上亦都是制度問題。兩者在審查軟件機制上的差異,解釋了為何iOS仍未受這類作案手法的波及。

問︰為何蘋果iTunes App Store,暫時少見這類問題?

李建軍︰首先,蘋果本身作業系統的設計,都有很多各式各類的保安限制,所以除非用家自行將手機「越獄」,否則惡意軟件要作惡並不容易,一如Mac上面病毒作惡的難度比起Windows來得高,都是因為作業系統本身設計所致。而蘋果對iTunes App Store所有上架軟件更新,都作出詳盡的代碼審查,亦不容許濫用即時更新代碼機制,避過審查制度。這也是iTunes App Store軟件,比較少出現各類醜聞的原因。

因此,如果谷歌不改革現行Google Play的軟件上架制度,再加上Android的保安一向相對寬鬆,類似事件只會接二連三發生。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站