[PConline杂谈]国内APP“耍流氓”似乎已经不是什么新闻,安装某个APP后,双手奉上电话号码、通讯录名单、地理位置、存储访问等权限似乎已经司空见惯。然而,大家可能都没想到事情发展到APP被国家计算机病毒中心点名这种严重地步——近日,国家计算机病毒中心发布了《移动App违法违规问题及治理举措》,其中提到今日头条、陌陌、墨迹天气等大家耳熟能详的APP都存在违规行为。换言之,国内的很多知名APP,其行径已经近乎病毒。
根据国家计算机病毒中心的声明,这些APP和使用的SDK存在六大类问题,包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。从这方面来看,一些APP的确已经具备成为病毒的潜力。
无论是Google官方,还是国内的监管部门,都已经尝试过多种措施,去规范APP的行为举动。然而时至今日,APP们仍能发展到被病毒中心点名的程度。为何国内APP耍流氓始终难以根绝?我们还得忍受种种流氓行径多少年?今天就一起来谈谈吧。
外部因素:缺乏分发渠道监管
我们知道国内APP申请诸多涉及隐私的权限、使用种种手段驻留后台等已经成为常态,但如果你留心观察,不难发现同样的APP,在国内申请的权限要更多,驻留后台的手段也更顽强。到Google Play上去逛一圈,你可以发现很多国内APP在其中也有上架,但它们往往会更加干净。
例如《和平精英》的国际版本《PUBG MOBILE》就和国内版本不同,国际版的《PUBG MOBILE》只申请了18个权限,而国内版的《和平精英》却申请了36个权限!这是否真的有必要呢?
国际版的《PUBG MOBILE》申请的权限要比国内版《和平精英》更少
这种现象并非是国产APP特有,一些国外APP,国际版本同样要比中国版所申请的权限要更少。例如亚马逊官方商城的App,在Google Play上架的版本申请了24个权限,而在中国发行的版本却足足申请了40个权限之多。
为何会出现这种“橘生于淮北则为枳”的现象?这和国内APP的分发缺乏Google的监管和支持密不可分。
一方面,相比国内的应用市场,Google Play存在更严格的隐私政策。虽然对比苹果App Store,Google Play的隐私政策并不算严苛,但它仍起着显著作用。而Google Play对于隐私的保护也已经在一定程度上形成了体系,一个APP想要在Google Play上分发,还需要通过Play服务的代码审查——不少国内APP甚至会被Play服务报警,这样的APP根本无法在Google Play中上架。
虽然宽松,但Google Play对APP的隐私条款还是有要求的
另一方面,国际版本的APP能够调用Google Play服务来推送消息,这意味着APP无需驻留后台,也可以实现消息的推送。然而由于众所周知的原因,国内并不能使用Google服务,APP需要通过自己的后台服务来实现消息推送,这就给了APP驻留后台一个强有力的理由。
其实安卓也有类似iOS的统一推送服务,但依赖于Google,国内不可用
另外,由于缺失Google Play服务,因此APP的一些广告、推广等功能需要使用其他方案实现,接入第三方广告平台、使用它们所提供的SDK,就成为了理所当然的事情。然而,这些广告平台为了实现多方聚合投放(例如同时将广告投放到百度、腾讯、今日头条等平台),往往会采取一些措施来监测用户数据、收集信息,并且频频拉起其他相关的APP的进程——而这些显然是“流氓行径”的特征。
换言之,由于Google的缺席,APP没有了分发渠道监管的压力,而某些正常功能还需要另辟蹊径才能实现,这些都是APP们申请额外权限、驻留后台的推动力——就算某些APP没有耍流氓的意愿,但广告平台却会逼良为娼。在Google Play无法正常使用、国内仍未有替代方案之际,这种情况恐怕还得持续好一段时间。
内在因素:商业利益驱使
缺乏Google的监管,的确可以成为APP流氓化的诱因,但这是否是全部理由?也并不尽然。尽管国内存在很多流氓化的APP,但也依然有着为数不少的良心产品,例如发起《Android绿色应用公约》的“绿色守护”、清除垃圾文件的利器“Dir”、以前安卓平台最好的看图神器“快图”等等,它们都不会申请多余的权限、收集额外的信息,也不会顽强地驻留后台。
经过观察,不难发现良心APP们多属于个人作品——若没有明显的利益驱使,某样产品并不会因为无下限的商业动机,成为流氓APP——毕竟干这些事也是需要耗费精力写代码的。我们可以从一些事例中佐证该观点:例如快图被某商业公司收购后,作风大变,无论是体积还是申请的权限都有明显增加,可见商业行为的确会一定程度上促使APP“流氓化”。
目前国内的互联网生态弥漫着一股大包大揽的风气,商业公司的产品往往不仅着眼于自己的本职工作,还会抢其他APP的饭碗。QQ微信只是聊天工具?新浪微博只是个SNS?不对,不只是QQ微信,连新浪微博都可以聊IM,更绝的是它们还都带有钱包功能!支付宝钱包总应该就是个钱包了吧?No,这家伙还能够给他人发信息!你安装两个聊天工具一个SNS应用一个钱包,就能够得到四种聊天功能和四种支付功能,就是如此神奇。
国内APP们喜欢大包大揽的作风,是和桌面平台一脉相承的。国产的桌面软件,功能捆绑抱团之风蔚然已久,君不见一个PC QQ就能捆绑上快递查询、相册、空间、微云等等一系列附件,安卓QQ只是继承了这一传统。其实桌面版的QQ还会在安装时捆绑电脑管家等一系列其他软件,安卓平台若不是受制于权限,恐怕也会沿袭这一做法。
国内的APP之所以喜欢附带如此多的功能,和“互联网思维”脱不开关系。不少商业公司都致力于在互联网上打造自家生态,例如一个天气APP,也会有雄心壮志去运营一个SNS社区。且不评价这种“互联网思维”的对错,或许这在商业竞争中是必须的,但这让产品带给用户额外的负担,也显而易见。
当一个APP功能足够臃肿时,它对权限的需求会随之膨胀。例如加入社交功能后,不可避免地就会申请读取用户身份信息;又例如加入了应用中心模块,就会产生读取存储空间和其他APP信息的需求。而在移动互联网时代,大数据和人工智能的兴起,促使APP有了更多收集用户数据的动机——某些基于用户偏好推送内容的平台已经大获成功,成为了业界学习的典范,这无疑也会让更多商业公司提起进一步了解用户方方面面的兴趣。
一个天气APP都带上了小视频、商城等功能,难怪收集隐私的行径会多到触发Google Play警告
此外,还有其他一些和APP无关的因素,迫使APP倾向于驻留后台。例如某些商业公司存在活跃度考核之类的KPI,而APP常驻后台显然有利于获取更好的活跃度数据。人们之所以对某些APP有“耍流氓”的印象,这些商业上的元素功不可没。
流氓APP已经无药可治?
无论是Google还是相应的管理部门,都已经意识到了流氓APP泛滥的情况。对此,大家也都采取了一些措施,来改善现状。然而,直到现在,仍会出现APP被病毒中心点名的情况,为何APP的流氓行径久治不愈?
安卓系统并非对恶化的APP生态见死不救,各种ROM和优化工具们对国内APP的流氓行径,也是心知肚明。为了规范APP的行为举止,Google官方和各大OEM厂商都作出过不少努力,但成效却不一定令人满意。
·后台管治形同虚设?
首先是在APP的后台限制方面。为了更好的用户体验,不少ROM采取了更严格的后台限制,App们甚至没什么机会在后台运行。为了争取后台资源,流氓App又再次进化,采取种种办法突破ROM的限制。如此一来,ROM和APP都变得越来越不正常,守规矩的App反而被挤压,这令安卓App的质量、效率愈发下降。
更新到新版系统,APP的后台行径往往会被揪出原型,但不久后APP又找到新方法隐蔽其行为
如此一来,流氓APP和杀后台ROM就形成了一个恶性循环。如果一个APP守规矩,那它可能根本无法在各种对后台有严格限制的ROM中正常驻留进程。为了实现正常的功能,守规矩的App也不得不变得流氓起来,最后导致安卓的生态一步步恶化下去。
·隐私保护下有对策?
而在隐私保护方面,安卓系统本身也曾努力改善伸手即可要到权限的景况,例如Google就在官方ROM中引入了权限管理系统,而国产ROM们则更早地确立起了类似的体系。然而,APP们上演了一出典型的“上有政策下有对策”。
你的确可以禁止某些国产App申请某项权限,但这样做后,该App可能就直接拒绝打开了。没错,就算有权限管理系统,你不接受该App的权限申请,就算你装上了这App也压根没法用。App往往会给出一个看似理直气壮的理由,例如某权限是功能实现必不可少的组成部分,没有了该权限App可以拒绝运行等等。
对比同类服务的国外APP,就算把权限全关了,也是可以开启使用的
毫无疑问,这类行为的理由是站不住脚的。调用某个权限,应该发生于激活涉及该权限的功能之时。但是,很多国内APP在开启应用的同时,就会检查权限是否健全。例如,开启了某个APP,还未点开二维码扫描,就已经弹出摄像头权限的申请框了。正是这种滥用权限的现象,令App得以绑架用户必须赋予某某权限,让权限管理系统形同虚设。
正确做法:当使用某项涉及权限的功能时,才弹出权限申请,而不是一开启APP就强行申请权限
我们还得忍受流氓APP多少年?
显然,当前的安卓系统难以应对肆虐的流氓APP,那么,我们还得忍受流氓APP多少年?Google并未停止改进系统的脚步,例如在安卓9当中,官方系统会根据APP的活跃度采取不同严格程度的限制措施,且禁止APP使用第三方SDK,这意味着不少APP的流氓行为都不得不收敛(但改版ROM不一定有此限制)。
而在安卓10当中,APP所受到的限制更多,APP默认无法获取设备标识,无法在后台获取当前的地理位置,也无法在后台调用摄像头、麦克风,所能访问的存储空间也被系统限制得死死的。在隐私保护方面,安卓10做到了前所未有的严密,安卓在这方面已经越来越接近iOS了。
安卓10(左)对比前代隐私保护更完善,例如可以限制APP仅在使用时才能获取位置信息
国内APP之所以乐意驻留后台,是由于推送服务需要自给自足。要彻底解决驻留后台的现象,需要从根本上解决问题——得为APP们提供可靠的推送服务。在Google推送服务无法使用的现状下,另起炉灶建立另一套推送服务,就显得很有必要了。
令人振奋的是,国内已经开始建立自己的安卓统一推送联盟了。安卓统一推送联盟由工信部发起,华为、OPPO、vivo、腾讯、阿里乃至Google等厂商,都加入了联盟当中。目前安卓统一推送联盟官网已经上线,但这套体系何时能投入实战?它会产生多大的影响力?会具备一定的强制性吗?这些都有待解答。
管理和技术同等重要,我们也可以看到很多技术之外的因素,在引导APP慢慢改邪归正。例如文章开头所提到的病毒中心点名违规APP,其实就是今年愈加频发的APP整治的一个缩影。
近年来,工信部、网信办等相关部门多次对APP窃取隐私等问题进行调查,约谈了违规APP服务商,要求违规APP进行及时整改。在行政力量的作用下,不少著名APP都进行了调整,例如鲁大师APP进行了权限整改,王者荣耀公布APP的权限索取理由等等。而《互联网安全法》的颁布,也为个人信息的保护提供了法律层面的保障,虽然严密程度不如欧盟的GDRP,但这也算是个好的开始。
另外,得益于统一推送联盟的牵头,国内一些影响力较大的手机厂商也开始拒绝不遵守《Android绿色公约》的APP上架,这些都可以让APP收敛起耍流氓的作风。
简而言之,尽管国内存在很多让APP流氓化的因素,但无论是从技术层面还是从管理层级,留给APP施展流氓手段的空间已经越来越小。虽然目前进展缓慢,但APP生态的确有好转的趋势,大家可以多给一点耐心,拭目以待吧。
总结
安卓APP的“流氓”问题由来已久,无论国内还是国外,安卓平台的APP用起来总不如iOS放心;而又由于国内缺乏分发渠道监管和统一的推送服务,APP们变得更加肆无忌惮,最终发展到被病毒中心点名的地步。不过,该现象已经得到重视,并且多方都已经采取了改良措施。希望在不远的将来,安卓用户无需再忍受流氓APP吧。