杜絕終端惡意軟件不能一蹴而就

作者 | 陳亮

近年來，網(wǎng)絡(luò)上多次爆出由惡意軟件引起的用戶資費被惡意扣取或信息泄密事件，并引起了業(yè)界的多次熱烈討論，但時至今日，惡意軟件依然猶如“牛皮癬”難以清除。為此，今年4月份工信部頒發(fā)了《關(guān)于加強移動智能終端進網(wǎng)管理的通知》（以下簡稱“通知”），從保護用戶個人信息和網(wǎng)絡(luò)信息安全的角度，要求所有申請進網(wǎng)許可的移動智能終端必須對終端操作系統(tǒng)和各類預(yù)裝軟件的詳細信息進行申報，以此杜絕操作系統(tǒng)和軟件安全隱患。如今半年的過渡期已經(jīng)結(jié)束，2013年11月起該通知將正式實施。通知的實施本應(yīng)是件好事，但實際上業(yè)界對此卻不抱過分樂觀態(tài)度，究竟為何？

一、軟件預(yù)裝手段多樣、監(jiān)控難度較大

按照通知的規(guī)定，智能終端制造企業(yè)在申請入網(wǎng)證之前和入網(wǎng)證申請通過但需要對操作系統(tǒng)和預(yù)裝軟件進行調(diào)整之時，都必須向工信部申報。這則要求看似從根本上杜絕了通過操作系統(tǒng)漏洞或后門、通過預(yù)裝惡意軟件來盜取用戶信息或謀取不當利益的行為，但通過整個預(yù)裝軟件的價值鏈來看，這種辦法只能起到片面的效果。原因何在？

從目前的軟件預(yù)裝的嵌入點來看，主要有以下的方式。

首先是出廠前預(yù)裝。這種方式通常是有兩種價值模式。一是電信運營商向智能終端廠商定制手機的時候，要求智能終端廠商在出廠之前預(yù)裝指定的應(yīng)用軟件，這類軟件大多是電信運營商自有的各類增值業(yè)務(wù)，此類增值業(yè)務(wù)通常也不具備竊取用戶信息或盜取用戶資費的主觀惡意，但實際上由于部分用戶并不需要此類軟件而被迫“拉郎配”、或是由于操作不當導(dǎo)致被扣費而引發(fā)的投訴時而有之；二是智能終端廠商為謀取更多的利益而與部分應(yīng)用軟件提供商合作預(yù)裝，預(yù)裝應(yīng)用軟件提供商再根據(jù)終端的銷售量或預(yù)裝軟件的激活使用量與智能終端廠商進行推廣費用結(jié)算，此類預(yù)裝軟件存在良莠不齊的現(xiàn)象，甚至有部分“打擦邊球”的智能終端廠商和惡意軟件提供商相互勾結(jié)，通過預(yù)裝軟件來謀取不當?shù)美?。?shù)年前在山寨機大行其道的時候，這種類似的預(yù)裝軟件“吸金”行為屢見不鮮，部分終端制造廠商也因此賺足了昧心錢。

其次是出廠后預(yù)裝。這種方式也有兩種常見的操作。一是智能終端廠商在終端出貨之前進行預(yù)裝，也即是呈送主管部門的終端和實際出廠的終端實際上并不一致；二是智能終端在流轉(zhuǎn)到渠道（包括一般終端零售渠道、電信運營商渠道等）之后，渠道商進行了應(yīng)用軟件的預(yù)裝。

除了預(yù)裝之外，部分惡意軟件還采用偽裝成正規(guī)軟件、植入惡意代碼等方式，通過互聯(lián)網(wǎng)或各類應(yīng)用商店通過“釣魚”的方式誘使用戶安裝下載，這一類方式更為分散，單純依靠官方力量的整治難度更大。

由此可見，目前通知的管理對象只是智能終端廠商，對于終端設(shè)備出廠之后相關(guān)環(huán)節(jié)的管理卻無明確要求。因此，通知看起來似乎是從根本上杜絕了惡意軟件預(yù)裝的源頭，實際上只是“按下葫蘆浮起瓢”，預(yù)裝軟件的提供者可以將合作的對象轉(zhuǎn)向智能終端的銷售代理商或零售渠道商，要么合作對象調(diào)整“轉(zhuǎn)戰(zhàn)后方”；要么化整為零“打游擊”，打擊惡意軟件的難度之大可見一斑。

二、整治惡意軟件是系統(tǒng)工程

惡意軟件的目的主要是謀取不當?shù)美瑥哪壳皭阂廛浖闹饕獌r值模式分析，通常有以下環(huán)節(jié)。

第一是惡意軟件提供者。其獲利主要有直接獲利和間接獲利兩種模式。直接獲利是通過惡意軟件內(nèi)置的扣費點，通過欺詐或瞞騙的方式，也即是誘騙用戶付費，甚至在未告知用戶的前提下直接扣取用戶資費的方式來獲利。目前由于各電信運營商對于代收費業(yè)務(wù)整治力度較大，惡意軟件主要是通過誘騙用戶付費的方式來獲利。間接獲利主要是通過出賣用戶信息、盜取用戶信息用于套利或強制用戶安裝其他軟件來獲利。

另外是惡意軟件推廣合作伙伴。其主要是通過惡意軟件的安裝量、激活量或扣費量獲取酬勞或分成。

通過上述分析，不難看出惡意軟件的整治是一個相當復(fù)雜的系統(tǒng)工程，除了智能終端廠商之外，還涉及到智能終端的代理商和渠道商、電信運營商、各類應(yīng)用分發(fā)者和用戶本身。前期三大電信運營商對惡意扣費、違規(guī)扣費等問題進行了集中清理，收效較為明顯。此次對于智能終端廠商的規(guī)范要求也能在一定程度上限制惡意軟件的蔓延。但對于其他對象的管控依然有所缺失。基于此，筆者認為，應(yīng)從以下幾個方面著手整治。

首先“通知”中針對智能終端行廠商提出了要求，但并未明確處罰和糾偏的條款，這種“有責無罰”的要求對于智能終端廠商的威懾力究竟有多大尚待考驗。因此，應(yīng)在要求的基礎(chǔ)上適當增加罰則，敲山震虎。

其次是從用戶角度看，“通知”中并無明確用戶的合法權(quán)益受到侵害時應(yīng)當如何處理，也缺少對問題處理聯(lián)動的規(guī)定。一旦出現(xiàn)侵權(quán)行為用戶是否可以向工信部或其他相關(guān)部門舉報?舉報流程如何?舉報的查證流程如何保證透明閉環(huán)等等，都還有待進一步細化。

第三是司法介入力度要進一步加強。目前法律已經(jīng)明確了竊取公民個人信息屬于違法行為，但從法律實例來看，真正受到制裁的案例尚屬少數(shù)，大部分違規(guī)、違法行為依舊大行其道，究其原因就在于個人信息受到侵害之后，用戶的舉證難度大、維權(quán)流程繁瑣，成本高。而隨著移動互聯(lián)網(wǎng)應(yīng)用與服務(wù)對社會、個人生活的滲透逐漸提高，今后個人信息泄露對用戶帶來的影響和損失將會進一步加劇，因此司法介入應(yīng)當更加積極主動有效，而不是被動等待用戶巨大損失造成之后再行受理。對于惡意軟件的制造者和傳播者，也要進一步加大打擊力度。

最后，各界應(yīng)共同加強個人信息安全保護教育，形成主管部門“堵”、司法部門“抓”、用戶個人“防”的共同抵御體系。用戶應(yīng)選擇安全可靠的渠道獲取和安裝應(yīng)用，有條件的電信運營商、渠道商和應(yīng)用分發(fā)者可積極主動幫助用戶提供免費的應(yīng)用安全使用教育和終端安全檢查，對于信息泄露的案例要多予以傳播披露，進一步壓縮惡意軟件生存的空間。