2021年03月31日
评论数(0)
出品/联商专栏
撰文/闫跃龙
煲剧、外卖、出行、游戏、看书……现在我们用一部手机,通过里面的各种APP就能基本满足生活所需,但是在这种便利的背后,也是日益严峻的安全隐私挑战。在今年315期间,就有众多问题被曝光:病毒木马中招,导致资金受损;下载的APP里暗藏消费贷陷阱;APP权限调用泛滥成灾,给用户隐私带来隐患……
3月30日,《华为应用市场2020年度安全隐私报告》发布,这份报告一方面揭示出移动应用生态存在的一些安全隐私风险,另一方面也向我们展现出华为应用市场在解决这些问题背后的努力,每天围绕安全隐私的攻防战都在上演。
三个数字背后
翻开这份报告,令我印象最深刻的是三个数字:
“33%”,这是2020年华为应用市场的应用上架申请审核未通过率。说实话,这一点还是很出乎意料,一般都认为,所谓的审核只不过是走个过场。但是,在华为应用市场,是动真格的,这个33%的背后,是在97万次应用上架申请中,有32.2万次未获得通过。这里面,彰显的是华为应用市场对安全隐私威胁的零容忍。
“4万”,这是2020年华为应用市场回测中下架的问题应用游戏数量。这个数字同样让我关注,是因为有不少应用市场将应用上架后就万事大吉,而华为应用市场会进行回测,发现问题第一时间下架。2020年,华为应用市场共回测了24万款应用和游戏,将4万款的僵尸应用、内容更新违规、变脸应用等问题应用坚决下架。
“10年”,10年来,华为应用市场对安全隐私持续关注、持续投入。做一件事容易,坚持做很难,坚持10年做更是难上加难,华为应用市场十年如一日地在安全隐私上努力,终于在严峻的安全隐私大环境下,“敌军围困万千重,我自岿然不动”。
具体来说,华为应用市场在安全隐私上的举措可以总结为:全方位和全周期。
华为应用市场在安全隐私上的招数,不是一个点,也不是一个面,而是一个全方位的安全隐私保障体系。从开发者实名认证,到恶意行为检测、安全漏洞检测、隐私泄露检查、人工实名复检的专有四重检测,到包括完整性校验、签名验证、威胁检测、AI安全防护等在内的下载安装保障,再到应用沙箱、内存保护、定期回测、全民监督的运行防护机制,真正做到了“全方位”。
而且,这种防护涵盖了应用的“全周期”。我们不妨站在问题应用的角度来看其的生命旅程:上架申请中,需要经历四重检测的苛刻考验,绝大多数的潜在风险应用都会倒在华为应用市场的门口;即使有乔装打扮蒙混过关之流,在上架后,也会被随时侦测到,华为应用市场的“应用安全检测”功能如果打开后,可以每天自动扫描设备所安装的应用的安全风险,进行告警;即使你潜伏起来,想通过更新、变脸等方式作案,也会被华为应用市场的回测及时发现、及时消灭。
例如,在去年9月,华为应用市场的安全运营团队就针对200余款陪玩类应用开展了专项回测,发现41款APP检测异常,问题应用中,17款应用功能异常、7款应用版本滞后、6款应用内容违规、6款应用功能内容相似,另有5款应用不再更新维护、6款应用存在其他问题。这样的专项回测还有很多:去年7-8月暑期的儿童教育类应用回测、10月漫画类应用回测等等。
所以,在我们安心使用华为手机上的各种应用时,背后是华为应用市场的多重努力。
传统的“马奇诺防线”已经落后
在第一次世界大战后,法国为了防止德军入侵,耗费巨资在东北边境地区建设超级坚固的马奇诺防线。然而事与愿违,德国最终绕过马奇诺防线,用闪电战占领了法国。
其实,在安全领域,同样的事情也在上演:即使你的马奇诺防线建得再坚固,如果不能与时俱进,也不能有效抵御安全的威胁。
华为应用市场的这份报告带来的一个重要启示就是这样:华为应用市场的安全观已经有了很大的进化,不只是抵御传统的病毒、木马等安全威胁,更是站在用户使用APP的具体场景角度,将安全扩展到对用户隐私的保护,以及用户使用不同类型应用的具体场景,将“防线”扩展到无处不在。
说到隐私保护,无疑是最近的热门关键词。在今年315晚会上,就将很大的篇幅聚焦在用户的隐私保护上,用户越来越注重自己的隐私安全。在华为应用市场,你在下载某一款应用前,可以在应用详情中查看应用开发者提供的隐私政策条款,以及该应用申请访问的相关权限;在下载安装后,当应用首次尝试访问你的位置或通讯录等个人信息时,你会收到是否同意开启权限的提示;而且,在使用过程中,你还可以随时收回相关权限。这一切,意味着应用的透明度大大增加,而且用户掌握了权限控制的开关。
如上所述,华为应用市场还会定期组织对应用的回测,这里面就包括用户隐私。在2020年6月至今,华为应用市场先后开展了2轮的用户隐私专项回测,覆盖20多种隐私相关细分问题类型。一组数字可以说明这次行动的力度:历时200多天、投入超过400人次,这次行动发现的主要问题包括:未经同意申请用户权限、权限使用方式范围不明确、首次运营未弹窗展示隐私政策等。
华为应用市场的安全防线更是涉及到用户的具体使用场景。例如,在检测中,华为应用市场的安全运营团队发现,某款应用在用户付款页面默认勾选消费贷选项,误导用户使用消费贷,对此,安全运营团队要求其立刻进行整改。类似的场景还包括违法传销、非法网贷、内容违规等方面。
可以这样说,华为应用市场的安全防线之广度和深度,用“大安全”铸就了“固若金汤”,也铸就了用户的安心体验。
固若金汤的底座
固若金汤是华为应用市场在安全隐私上努力的结果,笔者关心的是,到底背后有什么深刻的原因?或者说固若金汤的底座到底是什么?
总结起来,我认为是两点:
其一,是将安全隐私保护放到公司最核心的地位。态度决定一切,华为应用市场的这份年度报告的第一句话,就赫然写着:“网络安全和隐私保护是华为公司的最高纲领”。这是华为应用市场的态度,也是华为公司的基因。
2019年1月2日,华为心声论坛发布了任正非致全体员工的一封信,他在信中表示,华为已经明确把网络安全和隐私保护作为公司的最高纲领。注意,“最高纲领”这四个字是华为应用市场固若金汤的最大支撑。
其二,是将创新科技作为安全隐私保护的核心手段。据了解,最早从2000年开始,华为已经在开展网络安全业务,在网络安全领域持续进行技术投入。具体到华为应用市场,是将创新科技用于安全的应用下载服务。在华为应用市场,应用上架申请堪称海量,如2020年就有全球170多个国家和地区的97万次应用上架申请,靠人工审核显然是不可能的。针对这个问题,华为应用市场自研了SecDroid安全测试平台和DevEco真机智能检测系统。前者集成了病毒木马扫描、广告行为分析、隐私泄露分析等安全服务,后者则包括应用兼容性、稳定性、耗电性能、权限使用、Android绿色应用标准符合情况等项目。
华为应用市场对儿童的特别保护也可圈可点,其首创分级制度,可以让不同年龄段的儿童只能下载对应年龄层次的应用,而非适龄应用会自动屏蔽,让孩子们可以享受到移动互联网的纯净体验。
所以,华为应用市场为什么固若金汤,就是因为将用户真正放到中心,在态度上重视安全隐私的保护,而且不光有态度,更有实际的行动,将真金白银投入到安全隐私保护的技术研发中,让创新科技在其中扮演重要角色。据了解,华为应用市场已经获得了CSASTAR、ISO/IEC 27001、ISO/IEC 27018、ISO/IEC 27701、ePrivacyseal等国际认证。
“这不是结束,这甚至不是结束的开始,这只是开始的结束。” 丘吉尔的这句名言也适用于安全领域,围绕安全隐私的攻防战才刚刚开始,但是华为应用市场在2020年的一系列努力表明:只要态度上重视,行动上有效,安全隐私的挑战并不可怕,用户安心的使用体验一定能够实现。