应用商店是否应该提供官方杀毒服务?

Google 刚刚从自己的 Play 市场上移除了至少 15 款 Android 应用程序,它们被证明含有恶意木马——偷偷扫描用户的联系人,并把其中的姓名,电话,邮件地址等隐私信息上传到远程服务器。

事情的起因是 4 月 12 号日本网站上发布的截图和恶意代码片段,作者提醒用户在安装应用程序前要留个心眼,以防自己的信息被泄露。

20120412222936

(代码片段请点击这里

消息传开后,来自安全公司 McAfee 的开发者 Carlos Castillo 也发现了类似的恶意木马。它们伪装成媒体播放器或是游戏,然后常驻在 Android 系统的后台,并在用户毫无察觉的情况下获取和上传用户的联系人信息。

android_data_leakage-4f88b10-intro-thumb-640xauto-32809

(图片来自 arstechnica

这已经不是 Google Play 商店第一次遭遇木马危机了,官方发言人原本拒绝对此发表评论,但随后 Google 选择了让可疑的程序下架。

说到这里,你或许还能联想到两个月前的“Path 事件”,当时新加坡的开发者 Arun Thampi 发现 iPhone 版 Path 会偷偷扫描并上传用户联系人,包括姓名,邮件和电话号码等隐私信息。而这一切也是在用户不知情的情况下发生的。

Path 开发团队不得不发布临时版本来修正这个“错误”,这还牵出了苹果跟美国国会之间的对话。最终苹果承诺:“未经用户明确许可就收集或传输用户地址簿数据的应 用违反了我们的方针。我们正努力让情况对用户来说变得更好。未来软件更新后,所有希望访问联系人数据的应用都必须取得用户的明确授权。”

问题是,应用商店的管理者是否应该为“木马”程序负责?是否能提供官方的杀毒服务?

都说“信心比黄金更重要”,Google 和苹果所面临的困难都差不多——如何在保证商店自由环境的前提下,最大程度给消费者信心。

Google 既然能够从 Play 商店中大批量地移除程序,说明他们至少具备了发现恶意木马的能力(在审核的时候扫描 API 能大概知道一些)。同时,也应该把这种能力用来强化消费者信心。

就好比沃尔玛要给消费者一个承诺:在我们这儿不会买到变质的牛肉。

当然,这个“杀毒服务”能不能变成商店管理者的基本义务,恐怕还是要看用户的呼声。毕竟要监控几十万款程序,所花费的人力不是小数目。随着生态环境的日趋成熟,是该提出我们的要求了!

题图来自 blogspot