杜絕終端惡意軟件不能一蹴而就

作者 | 陳亮

近年來(lái)，網(wǎng)絡(luò)上多次爆出由惡意軟件引起的用戶資費(fèi)被惡意扣取或信息泄密事件，并引起了業(yè)界的多次熱烈討論，但時(shí)至今日，惡意軟件依然猶如“牛皮癬”難以清除。為此，今年4月份工信部頒發(fā)了《關(guān)于加強(qiáng)移動(dòng)智能終端進(jìn)網(wǎng)管理的通知》（以下簡(jiǎn)稱“通知”），從保護(hù)用戶個(gè)人信息和網(wǎng)絡(luò)信息安全的角度，要求所有申請(qǐng)進(jìn)網(wǎng)許可的移動(dòng)智能終端必須對(duì)終端操作系統(tǒng)和各類預(yù)裝軟件的詳細(xì)信息進(jìn)行申報(bào)，以此杜絕操作系統(tǒng)和軟件安全隱患。如今半年的過(guò)渡期已經(jīng)結(jié)束，2013年11月起該通知將正式實(shí)施。通知的實(shí)施本應(yīng)是件好事，但實(shí)際上業(yè)界對(duì)此卻不抱過(guò)分樂(lè)觀態(tài)度，究竟為何？

一、軟件預(yù)裝手段多樣、監(jiān)控難度較大

按照通知的規(guī)定，智能終端制造企業(yè)在申請(qǐng)入網(wǎng)證之前和入網(wǎng)證申請(qǐng)通過(guò)但需要對(duì)操作系統(tǒng)和預(yù)裝軟件進(jìn)行調(diào)整之時(shí)，都必須向工信部申報(bào)。這則要求看似從根本上杜絕了通過(guò)操作系統(tǒng)漏洞或后門、通過(guò)預(yù)裝惡意軟件來(lái)盜取用戶信息或謀取不當(dāng)利益的行為，但通過(guò)整個(gè)預(yù)裝軟件的價(jià)值鏈來(lái)看，這種辦法只能起到片面的效果。原因何在？

從目前的軟件預(yù)裝的嵌入點(diǎn)來(lái)看，主要有以下的方式。

首先是出廠前預(yù)裝。這種方式通常是有兩種價(jià)值模式。一是電信運(yùn)營(yíng)商向智能終端廠商定制手機(jī)的時(shí)候，要求智能終端廠商在出廠之前預(yù)裝指定的應(yīng)用軟件，這類軟件大多是電信運(yùn)營(yíng)商自有的各類增值業(yè)務(wù)，此類增值業(yè)務(wù)通常也不具備竊取用戶信息或盜取用戶資費(fèi)的主觀惡意，但實(shí)際上由于部分用戶并不需要此類軟件而被迫“拉郎配”、或是由于操作不當(dāng)導(dǎo)致被扣費(fèi)而引發(fā)的投訴時(shí)而有之；二是智能終端廠商為謀取更多的利益而與部分應(yīng)用軟件提供商合作預(yù)裝，預(yù)裝應(yīng)用軟件提供商再根據(jù)終端的銷售量或預(yù)裝軟件的激活使用量與智能終端廠商進(jìn)行推廣費(fèi)用結(jié)算，此類預(yù)裝軟件存在良莠不齊的現(xiàn)象，甚至有部分“打擦邊球”的智能終端廠商和惡意軟件提供商相互勾結(jié)，通過(guò)預(yù)裝軟件來(lái)謀取不當(dāng)?shù)美?shù)年前在山寨機(jī)大行其道的時(shí)候，這種類似的預(yù)裝軟件“吸金”行為屢見(jiàn)不鮮，部分終端制造廠商也因此賺足了昧心錢。

其次是出廠后預(yù)裝。這種方式也有兩種常見(jiàn)的操作。一是智能終端廠商在終端出貨之前進(jìn)行預(yù)裝，也即是呈送主管部門的終端和實(shí)際出廠的終端實(shí)際上并不一致；二是智能終端在流轉(zhuǎn)到渠道（包括一般終端零售渠道、電信運(yùn)營(yíng)商渠道等）之后，渠道商進(jìn)行了應(yīng)用軟件的預(yù)裝。

除了預(yù)裝之外，部分惡意軟件還采用偽裝成正規(guī)軟件、植入惡意代碼等方式，通過(guò)互聯(lián)網(wǎng)或各類應(yīng)用商店通過(guò)“釣魚(yú)”的方式誘使用戶安裝下載，這一類方式更為分散，單純依靠官方力量的整治難度更大。

由此可見(jiàn)，目前通知的管理對(duì)象只是智能終端廠商，對(duì)于終端設(shè)備出廠之后相關(guān)環(huán)節(jié)的管理卻無(wú)明確要求。因此，通知看起來(lái)似乎是從根本上杜絕了惡意軟件預(yù)裝的源頭，實(shí)際上只是“按下葫蘆浮起瓢”，預(yù)裝軟件的提供者可以將合作的對(duì)象轉(zhuǎn)向智能終端的銷售代理商或零售渠道商，要么合作對(duì)象調(diào)整“轉(zhuǎn)戰(zhàn)后方”；要么化整為零“打游擊”，打擊惡意軟件的難度之大可見(jiàn)一斑。

二、整治惡意軟件是系統(tǒng)工程

惡意軟件的目的主要是謀取不當(dāng)?shù)美?，從目前惡意軟件的主要價(jià)值模式分析，通常有以下環(huán)節(jié)。

第一是惡意軟件提供者。其獲利主要有直接獲利和間接獲利兩種模式。直接獲利是通過(guò)惡意軟件內(nèi)置的扣費(fèi)點(diǎn)，通過(guò)欺詐或瞞騙的方式，也即是誘騙用戶付費(fèi)，甚至在未告知用戶的前提下直接扣取用戶資費(fèi)的方式來(lái)獲利。目前由于各電信運(yùn)營(yíng)商對(duì)于代收費(fèi)業(yè)務(wù)整治力度較大，惡意軟件主要是通過(guò)誘騙用戶付費(fèi)的方式來(lái)獲利。間接獲利主要是通過(guò)出賣用戶信息、盜取用戶信息用于套利或強(qiáng)制用戶安裝其他軟件來(lái)獲利。

另外是惡意軟件推廣合作伙伴。其主要是通過(guò)惡意軟件的安裝量、激活量或扣費(fèi)量獲取酬勞或分成。

通過(guò)上述分析，不難看出惡意軟件的整治是一個(gè)相當(dāng)復(fù)雜的系統(tǒng)工程，除了智能終端廠商之外，還涉及到智能終端的代理商和渠道商、電信運(yùn)營(yíng)商、各類應(yīng)用分發(fā)者和用戶本身。前期三大電信運(yùn)營(yíng)商對(duì)惡意扣費(fèi)、違規(guī)扣費(fèi)等問(wèn)題進(jìn)行了集中清理，收效較為明顯。此次對(duì)于智能終端廠商的規(guī)范要求也能在一定程度上限制惡意軟件的蔓延。但對(duì)于其他對(duì)象的管控依然有所缺失?；诖?，筆者認(rèn)為，應(yīng)從以下幾個(gè)方面著手整治。

首先“通知”中針對(duì)智能終端行廠商提出了要求，但并未明確處罰和糾偏的條款，這種“有責(zé)無(wú)罰”的要求對(duì)于智能終端廠商的威懾力究竟有多大尚待考驗(yàn)。因此，應(yīng)在要求的基礎(chǔ)上適當(dāng)增加罰則，敲山震虎。

其次是從用戶角度看，“通知”中并無(wú)明確用戶的合法權(quán)益受到侵害時(shí)應(yīng)當(dāng)如何處理，也缺少對(duì)問(wèn)題處理聯(lián)動(dòng)的規(guī)定。一旦出現(xiàn)侵權(quán)行為用戶是否可以向工信部或其他相關(guān)部門舉報(bào)?舉報(bào)流程如何?舉報(bào)的查證流程如何保證透明閉環(huán)等等，都還有待進(jìn)一步細(xì)化。

第三是司法介入力度要進(jìn)一步加強(qiáng)。目前法律已經(jīng)明確了竊取公民個(gè)人信息屬于違法行為，但從法律實(shí)例來(lái)看，真正受到制裁的案例尚屬少數(shù)，大部分違規(guī)、違法行為依舊大行其道，究其原因就在于個(gè)人信息受到侵害之后，用戶的舉證難度大、維權(quán)流程繁瑣，成本高。而隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用與服務(wù)對(duì)社會(huì)、個(gè)人生活的滲透逐漸提高，今后個(gè)人信息泄露對(duì)用戶帶來(lái)的影響和損失將會(huì)進(jìn)一步加劇，因此司法介入應(yīng)當(dāng)更加積極主動(dòng)有效，而不是被動(dòng)等待用戶巨大損失造成之后再行受理。對(duì)于惡意軟件的制造者和傳播者，也要進(jìn)一步加大打擊力度。

最后，各界應(yīng)共同加強(qiáng)個(gè)人信息安全保護(hù)教育，形成主管部門“堵”、司法部門“抓”、用戶個(gè)人“防”的共同抵御體系。用戶應(yīng)選擇安全可靠的渠道獲取和安裝應(yīng)用，有條件的電信運(yùn)營(yíng)商、渠道商和應(yīng)用分發(fā)者可積極主動(dòng)幫助用戶提供免費(fèi)的應(yīng)用安全使用教育和終端安全檢查，對(duì)于信息泄露的案例要多予以傳播披露，進(jìn)一步壓縮惡意軟件生存的空間。