交流評論、關注點贊

  • Facebook Icon臉書專頁
  • telegram Icon翻牆交流電報群
  • telegram Icon電報頻道
  • RSS訂閱禁聞RSS/FEED訂閱

【翻牆問答】Camscanner軟體被揭惡意代碼 Google Play應改革上架制度

2019年09月06日 21:47 PDF版 分享轉發

2017年5月17日,安卓及Google Play產品管理副總裁Sameer Samat在谷歌全球開發者大會上對產品進行介紹。其時,Google Play上的應用程序數量已達約三百萬。由於Google Play的軟體上架制度相對寬鬆,令一些黑客有機可乘。(路透社)2017年5月17日,安卓及 Play產品管理副總裁Sameer Samat在谷歌全球開發者大會上對產品進行介紹。其時,Google Play上的應用程序數量已達約三百萬。由於Google Play的軟體上架制度相對寬鬆,令一些黑客有機可乘。(路透社)

問︰以往的問答,都會鼓勵使用(安卓系統)的聽眾去官方的Google Play下載軟體,而下載的軟體最好是一些有一定名氣的程式及開發者。但相當有名氣的軟體Camscanner,最近被發現軟體的廣告程式庫中有一些惡意代碼,被公司發現后,谷歌主動下架。這次Camscanner事件,又有甚麼啟示給聽眾?

李建軍︰其實中國的聽眾聽到這事件,應該感到心寒,如果Google Play的保安審查機制不作改革的話,類似事件只會陸續有來。因為不少Google Play或iTunes App Store上受歡迎的免費軟體,都是一些小公司開發,他們依賴廣告收入維持,但有時候廣告收入不一定十分理想,並不足以彌補開發軟體所需的各類雜費開支。如果中國有些來歷不明的基金,向他們提供異常豐厚的廣告收入,或乾脆入股這些軟體公司,這些新推出受歡迎的軟體,就很容易變成病毒傳播平台,或中國當局搜集情報的工具。類似Camscanner公司的情況相信不只一間,只不過這次因為剛好被保安公司的研究人員發現,不少保安專家才意識到,這種做法不單可行,而且對廣大手機用戶構成新的威脅。

Ad:美好不容錯過,和家人朋友一起享受愉快時光,現在就訂票

問︰除了保安公司的研究人員,聽眾要得知在程式加入一些木馬程式,或開發商股東名單,容不容易?

李建軍︰首先,不少開發商都是海外成立的有限公司,只要相關公司仍未上市,除非有人作出主動偵查,否則不容易知道相關人士的背景。好像最近有一隻以納粹抹黑猶太人手法去抹黑香港示威者的遊戲,開發公司是一間新加坡公司,而要偵查新加坡成立公司的真實背景是需要時間。中國即使利用一些私募基金買了這些公司,也不會在傳媒,或可以公開查閱的登記資料上看到,所以這種手法成了很多軟體使用者的挑戰。

另一方面,由於谷歌的審查機制和技術限制相對寬鬆,有些人暗中加入奇怪軟體,谷歌不一定第一時間知情,以及將有關軟體拒諸門外,因此,每一次有人用一些新穎手法、利用程式去散播木馬,或作其他對網路安全有風險的事,總會在Google Play Store上先發生,而非一向審核機制嚴謹的蘋果App Store,所以這不單是技術問題,某程度上亦都是制度問題。兩者在審查軟體機制上的差異,解釋了為何iOS仍未受這類作案手法的波及。

問︰為何蘋果iTunes App Store,暫時少見這類問題?

李建軍︰首先,蘋果本身作業系統的設計,都有很多各式各類的保安限制,所以除非用家自行將手機「越獄」,否則惡意軟體要作惡並不容易,一如Mac上面病毒作惡的難度比起Windows來得高,都是因為作業系統本身設計所致。而蘋果對iTunes App Store所有上架軟體更新,都作出詳盡的代碼審查,亦不容許濫用即時更新代碼機制,避過審查制度。這也是iTunes App Store軟體,比較少出現各類醜聞的原因。

因此,如果谷歌不改革現行Google Play的軟體上架制度,再加上Android的保安一向相對寬鬆,類似事件只會接二連三發生。

來源:RFA, 文章內容並不代表本網立場和觀點。

搬瓦工翻牆 Just My Socks

推薦安卓翻牆APP:SpeedUp VPN

Android版,基於ShadowsocksRb,與SSR和Shadowsocks協議兼容,內置免費SSR伺服器。 如果您對內置SSR 伺服器不滿意,則可以自行添加或導入任何SSR和Shadowsocks伺服器使用。

喜歡、支持,請轉發分享↓Follow Us 責任編輯:金蘭