诈骗软件冲上排行榜首揭开Android应用审核乱象

一款名为VirusShield(病毒护盾)的“手机安全应用”，让谷歌官方应用商店GooglePlay遭遇尴尬，也揭开了Android应用审核乱象的冰山一角。

这款应用3月28日登陆GooglePlay，宣称能够保护手机免受恶意软件侵害，且耗电量极低。最新科技资讯显示它的售价为3.99美元。一周内，这款应用的下载量突破3万次，冲上GooglePlay最新付费应用排行榜的首位。

然而，到了4月6日，国外科技博客AndroidPolice通过反编译发现，VirusShield从设计上并不具备任何反病毒功能，更不可能提供安全防护。它只有数百行代码，唯一的功能是在用户点击其图标时，把“X”号改为“√”号，欺骗用户“杀毒完毕”。

此文一出，舆论哗然。谷歌迅速将这款应用下架，而应用的开发者杰西•卡特(JesseCarter)坚称，并非有意欺骗，只是上传了错误的应用版本。他还表示，将向已经购买VirusShield的用户退还费用。

另一方面，谷歌对此表现得相当淡定，其发言人称：“我们会移除违反开发规范的应用，比如非法的、或是煽动仇恨言论的应用。我们不会对单个应用置评。”

令人惊讶的是，如果严格参照GooglePlay的应用开发规范，VirusShield已经触及红线，但谷歌不仅未将其拒之门外，反而听之任之，直到大量用户投诉才将其下架。

去年，GooglePlay的应用数量超过100万款，压倒苹果AppStore成为全球第一大应用商店。谷歌恪守的“自由开放”吸引了众多开发者，成就了GooglePlay，但“用户投票”机制屡屡失效，让VirusShield这样的欺诈应用觅得生存缝隙，也让谷歌遭受质疑。

机制失效

“VirusShield的行为绝对是诈骗。”在接受新浪科技采访时，张勇如是评判。

张勇是一位国内移动安全领域的创业者。在他看来，VirusShield并不具备所宣称的安全防护功能，本质上就是在骗钱。但他同时指出，VirusShield被下架，或许仅仅是由于谷歌承受了较大的舆论压力。

与苹果AppStore严苛的人工审核不同，GooglePlay秉持开放态度，对于新应用的审核一直较为宽松，这已经成为Android开发者的共识。

“GooglePlay的应用审核机制是，上传后机器自动扫描应用内是否含有病毒、色情等非法内容，确认没有问题后就可以上架销售了。”张勇说。

GooglePlay开发者计划政策规定，不能触碰的红线包括：露骨色情内容、暴力和欺凌、仇恨言论、假冒或欺骗行为、知识产权、个人和机密信息、非法活动、赌博、危险产品和系统干扰。

蹊跷的是，VirusShield显然属于“假冒或欺骗行为”，却并未在上传时遭到谷歌封杀。

这或许与谷歌笃信“用户投票”有关。在谷歌看来，用户能够有效甄别应用质量，并通过打分做出评判。最终，优质应用将脱颖而出，而劣质应用将被人遗忘。

但在VirusShield的案例中，“用户投票”显然失效了。1659名用户给这款毫无用处的软件打出了4.7分的高分(满分5分)，另有2607个用户在Google+上点了“+1”表示认可。

7天时间里，VirusShield蒙骗了数万用户，牟利数万美元。不过，亦有业内专家猜测，这款软件是靠刷榜才冲上了付费应用榜首，有伪造数据的可能。

野蛮生长

一款漏网的欺诈应用并不可怕；但谷歌在Android应用审核的问题上过度依赖技术手段，，面对特殊情况应对迟缓，客观促成了整个应用生态体系的野蛮生长，恶意软件屡屡成为漏网之鱼。

张勇透露，Android应用的审核一直处于“黑箱”状态，谷歌究竟采用了哪些扫描技术，外人无从得知。而谷歌下架一款应用，同样不需要给出理由。

谷歌这种对自己的技术自信到有些傲慢的姿态，让一款应用登陆GooglePlay变得相对简单，为Android平台上恶意应用的泛滥埋下了祸根。

安全软件厂商卡巴斯基今年2月公布的数据显示，98%的手机恶意软件针对的是Android平台。中国国家互联网应急中心(CNCERT)今年3月披露的数据更加夸张，99.5%的移动互联网恶意软件瞄准的是Android。

而在VirusShield事件发生后，谷歌4月10日宣布，将提供一个安全升级，未来Android系统将持续不断地扫描已安装的应用，防止出现安全威胁。此前，Android系统只会在安装应用时进行一次扫描。

但在张勇看来，谷歌并未能解决VirusShield带来的难题：如果一款应用仅仅是“不作为”，那么该如何识别并加以封杀？

“VirusShield是一个比较极端的例子，它什么功能都没有，纯粹是骗钱。但如果一款手机安全软件只能杀1种、10种、50种病毒，那么它算不算欺诈呢？”他说。

技术手段或许能够解决明目张胆的恶意代码，但在面对杀毒软件“消极怠工”这样的商业伦理问题时，谷歌的应用审核机制并不能很好地保护用户权益。

各自为战

与GooglePlay相比，国内的应用分发渠道不仅继承了审核不严格的特点，还存在规则各异、要求不一、各自为战的碎片化难题。

GooglePlay虽然贵为谷歌“亲儿子”，但由于各种原因，它在国内并不流行。国内用户通常通过安卓市场、豌豆荚、机锋、小米应用商店等第三方渠道安装Android应用，而这些市场的审核情况同样不容乐观。

国家互联网应急中心今年初披露的数据显示，2013年手机病毒增长了5倍，而62%的手机木马或恶意软件是通过第三方应用市场或论坛传播的。部分原因是，随着同质化竞争日益激烈，许多市场将收录数量作为竞争指标，忽视了应用品质。

此外，部分平台缺少足够的技术实力，无法对Android应用进行有效审核。业内人士指出，以谷歌对Android的理解程度，尚且无法做到万无一失，国内应用商店的审核能力更是可想而知。

另一方面，国内Android应用市场格局远未尘埃落定，仍处于群雄纷争的时代。每个平台都有一套自己的应用审核规则，平添了许多变数。

艾瑞咨询的数据显示，去年第四季度，360手机助手、豌豆荚、91手机助手、安卓市场、小米应用市场、淘应用、百度应用和安智市场等8家应用平台的份额超过5%，另有12家平台的份额在1%以上，整个应用分发市场的碎片化十分明显。

在色情、暴力、赌博等非法内容方面，应用商店们的策略比较统一，坚决封杀。但在广告、内置应用下载和积分系统方面，不同平台往往会有不同的要求。

例如，安卓市场不允许推送广告，而机锋允许推送，但广告必须是和机锋有合作的。安智、应用汇和小米应用商店则是完全不允许有广告。

不过，开发者已经逐渐摸清了国内主要Android应用商店的脾气秉性，并制定出了一套攻略。

Android开发者唐元鹏在知乎问答中详细介绍了主要应用商店的审核情况。根据他的描述，各家应用商店的审核力度略有不同，但基本上3天内就能保证应用上线。

据唐元鹏透露，虽然应用商店数量众多，但只要准备好开发者图标、安装包、文字介绍、关键词、截图等，基本每个市场都可以上传。

在他看来，维护好与平台的关系十分关键。“总体感觉，国内市场在某种程度上是‘可控’的。要是在市场里有熟人(下载量很高也有用处)，审核就可以快一点。”他写道。

您可能感兴趣：开荒者http://www.kaihuangzhe.com