在Android手机用户因一款儿童视频应用联网重复下载文件导致手机偷跑流量23G后,工业信息化部(工信部)在前段时间出台了《移动智能终端应用软件(APP)预置和分发管理暂行规定(征求意见稿)》,禁止手机预装与基础功能相关的不可卸载应用,并对手机应用的安全性进行了规范。
那么工信部“征求意见稿”的出台对于手机企业、应用开发商、用户带来哪些影响?本文就简单的分析一下。
征求意见稿的两大重点内容
我仔细研读了征求意见稿,发现主要有两个重点内容:
其一,限制应用的越权行为。生产企业和互联网信息服务提供者所提供移动智能终端应用软件必须符合相关标准要求,不得调用与所提供服务无关的终端功能、强行捆绑推广无关应用软件,未经明示且经用户同意,不得实施擅自收集使用用户个人信息、强制开启应用软件、违规发送商业性电子信息等侵害用户合法权益和危害网络安全的行为。
其二,限制手机出厂预装不可卸载应用。生产企业和互联网信息服务提供者应确保除基本功能软件外的移动智能终端应用软件可卸载。基本功能软件是指保障移动智能终端硬件和操作系统正常运行的移动智能终端应用软件,主要包括操作系统基本组件、保证智能终端硬件正常运行的应用、基本通信应用、应用软件下载通道等。终端中预置的实现同一功能的基本功能软件,至多有一个可设置为不可卸载。
对手机企业、应用开发商的影响
“征求意见稿”限制了应用的推送消息、违规调用系统权限、捆绑推荐其他应用等行为,这意味着许多手机App都必须进行整改。比如,在刚过去的双11中,电商App疯狂推送优惠消息;新闻类App不停地推送热点新闻;还有些应用会推荐下载其他应用等。
Android系统对应用权限监管不力,导致了应用开发者无视用户权益,疯狂调用各类权限,用以推广、牟利,或者调用位置、短信等权限,侵犯用户隐私。如果应用开发商们真的按“征求意见稿”去执行,那么绝大多数的Android应用都需要回炉重造。而现在的状况是,Android系统被当做应用开发商们的“法外之地”,他们可以随意使用权限,怎能轻易放弃呢?
此外,由于“征求意见稿”并未禁止手机出厂时预装应用,只是要求要告知用户预装软件的名称,并允许用户自己卸载。而此前预装应用成为手机企业牟利的重要手段,一个预装1-2元的收费,对于出货上千万的企业来说,获利颇丰。而这些应用都被压制到ROM中,难以通过普通方法卸载,成为手机的“牛皮癣”。现在工信部要求必须允许用户卸载,这势必降低预装收费。
用行政手段让手机应用守规矩能否奏效?
虽然“征求意见稿”对应用的权限进行了一些强制性要求,但是应用开发者真的会照做么?在《运营商背上手机偷跑流量“黑锅”活该么?》一文中,我曾谈到“禁止应用违规调用权限、偷流量等问题,只依靠行政监管难以实施,从Android系统着手才是解决之道。”
然而当前无论是小米MIUI、华为EMUI、魅族Flyme等都是基于Android的ROM,并不是独立存在的操作系统,因此其差异化也仅仅是一些操作、视觉上的,对于应用权限的控制、流量的监控等,都难以做到系统级别的安全性。
我曾看过一份泰尔实验室对魅蓝Flyme版(Android系统)和魅蓝YunOS版的对比,其中在安全性这一项目中,虽然两个版本均自带了一些基础安全功能,但是Android版相比YunOS版的安全性欠缺很多。
测试安全项包括网络反钓鱼、流量监控、隐私联系人、敏感数据访问、防止App通过发短信恶意扣费等16个项目,结果Flyme在流量监控、敏感数据访问、防止App通过发短信恶意扣费等10个系统级安全性上存在欠缺。
这其实就体现出UI与OS之间的巨大差异。目前,小米、奇酷都在对Android系统进行深度的开发,修改大量底层代码,希望渗透到系统底层从而解决只做UI无法解决的系统级安全问题。但是这并非一蹴而就的事情,需要耗费大量的时间、人力。
而想要解决当前手机应用的权限调用乱象,让它们都像iOS应用那样守规矩,让私自联网、私自下载文件、推送消息、窃取隐私等行为被禁止,就必须从系统层面进行解决,因为系统才是规矩的制定者,否则工信部的行政手段只能流于形式。
