Google 剛剛從自己的 Play 市場上移除了至少 15 款 Android 應用程序,它們被證明含有惡意木馬——偷偷掃描用戶的聯系人,并把其中的姓名,電話,郵件地址等隱私信息上傳到遠程服務器。
事情的起因是 4 月 12 號日本網站上發布的截圖和惡意代碼片段,作者提醒用戶在安裝應用程序前要留個心眼,以防自己的信息被泄露。
消息傳開后,來自安全公司 McAfee 的開發者 Carlos Castillo 也發現了類似的惡意木馬。它們偽裝成媒體播放器或是游戲,然后常駐在 Android 系統的后臺,并在用戶毫無察覺的情況下獲取和上傳用戶的聯系人信息。
(圖片來自 arstechnica )
這已經不是 Google Play 商店第一次遭遇木馬危機了,官方發言人原本拒絕對此發表評論,但隨后 Google 選擇了讓可疑的程序下架。
說到這里,你或許還能聯想到兩個月前的“Path 事件”,當時新加坡的開發者 Arun Thampi 發現 iPhone 版 Path 會偷偷掃描并上傳用戶聯系人,包括姓名,郵件和電話號碼等隱私信息。而這一切也是在用戶不知情的情況下發生的。
Path 開發團隊不得不發布臨時版本來修正這個“錯誤”,這還牽出了蘋果跟美國國會之間的對話。最終蘋果承諾:“未經用戶明確許可就收集或傳輸用戶地址簿數據的應用違反了我們的方針。我們正努力讓情況對用戶來說變得更好。未來軟件更新后,所有希望訪問聯系人數據的應用都必須取得用戶的明確授權。”
問題是,應用商店的管理者是否應該為“木馬”程序負責?是否能提供官方的殺毒服務?
都說“信心比黃金更重要”,Google 和蘋果所面臨的困難都差不多——如何在保證商店自由環境的前提下,最大程度給消費者信心。
Google 既然能夠從 Play 商店中大批量地移除程序,說明他們至少具備了發現惡意木馬的能力(在審核的時候掃描 API 能大概知道一些)。同時,也應該把這種能力用來強化消費者信心。
就好比沃爾瑪要給消費者一個承諾:在我們這兒不會買到變質的牛肉。
當然,這個“殺毒服務”能不能變成商店管理者的基本義務,恐怕還是要看用戶的呼聲。畢竟要監控幾十萬款程序,所花費的人力不是小數目。隨著生態環境的日趨成熟,是該提出我們的要求了!