也谈315晚会:手机真的不安全?

突然发现博客的帖子列表里有好几个没有完工的帖子。按照俺们博士圈子的行话,这叫做工作论文,英文叫Working Paper。为什么这么叫呢?因为这个文章离完成依然有着很大的工作量,我们需要更多的工作。英文的解释或许更直接:Working paper is a kind of paper that needs more working until its accomplishment. 而我现在正在写的这个文章,则是真的拖了好久了。而我所重点要谈的,就是手机软件。

今年的315晚会,说实话是非常让我失望的。因为其涉及到的问题不仅不是日常百姓所关心的问题,却还带有CCTV所经常有的偏见和误导。而在我看来,其误导最明显的,恐怕就是智能手机的安全问题。一开始,我以为大多数使用智能手机软件的朋友应该轻而易举地看懂这个节目中所涉及的笑话。但是后来,我发现错了。因为我周围就有那么一位朋友,在看了这个节目以后对手机的安全提心吊胆,惶惶不可终日。

这个节目的具体内容我不打算回顾。如果不了解,可以参见相关的视频。其核心内容在于智能手机会通过软件窃取通讯录等机密内容。事实上,对于不接触现代科技的所谓手机盲流用户而言,这类消息无疑是重磅炸弹,因为他会使人立即联想到所谓的乱扣话费和银行卡盗窃等。不得不说,这类问题不可小觑,因为他非常有可能造成一些经济损失。比如最著名的手机话费诈骗等。尽管我没有见过任何真实案例,却听过不少。

远方的人儿正在关注你,你注意到了吗?
远方的人儿正在关注你,你注意到了吗?

这种盗窃是否可行?当然是可行的。因为智能手机的一大功能就是后台功能。但是要注意的是,这个后台功能可不是CCTV说的那样邪恶。手机上的天气预报,自动授时,电子邮件,Facebook和微博的推送几乎都要靠后台执行。事实上,正是这些功能将智能手机与传统手机大大地区别开来,给我们现代的生活提供了巨大的便利。而一些软件的后台,则也是通过类似的渠道将通讯录和其他内容传送到指定的服务器上。

对于普通用户而言,要去检测每一个信息流显然是不可能的。我们既没有那个时间和精力,也不可能有那个技术。但是诸位不要忘掉“柠檬市场”理论。如果手机应用缺乏监管,那么可以预见的是,终有一天会恶意软件横行,病毒泛滥。所以,事实上,对于手机软件的安全性,无论是苹果还是谷歌,都是有一套完整的审核系统的。正如iPhone的程序一般都来自于App Store,而安卓的正规市场来源于Google Play一样。尽管Google Play的相对混乱和审核标准不一致也广为抱怨,但他们却有着最基础的底线。

除了最基础的手机安全功能,手机应用市场还为移动设备的程序更新提供了极其便捷的解决方案。如App Store一般会在有新更新时会提示更新,而Google则可以在用户选择自动更新的前提下直接后台更新安装,完全免去用户的一切烦恼。由于我最早使用智能手机即为我来英国以后,所以我一直对使用Google Play为手机下载安装应用这个流程没有任何异议,也几乎没有想过有什么安全问题。

而这些问题在我2011年第一次回国时候发现了问题。由于我当时手机几乎使用的都是国外应用,也没有中文输入法,回国度假期间自然有了大量的问题。于是我先后开始安装了手机QQ,微信,微博等国内应用。但是,我这时就注意到了一个很奇怪的问题。那就是:程序居然会自动提示有新版本并要求更新。这在我之前可是从来没见过的。由于我的手机默认拒绝未知来源的程序,于是这类更新自然无法安装。从这天开始,我的心中便有了一个疑问:为什么程序不通过市场更新,而要自动提示并直接下载?

这个问题终于在一年后有了个初步答案。当时我老爹弄了个国产智能机,屏幕跟我的大坏蛋一样大,但是价格便宜得多。显然,老爷子手机的程序安装归我了。然后在我开工的时候,问题出现了:Google市场去哪里了?同时,手机中也预先安装了大量的很奇怪的软件,以至于我花了大量的时间才把他们删除干净。好在,这个手机在一开始的时候并没有卸载Google服务框架,所以我直接重新安装Play市场,一切就自然结束了。

对于这种自定义一开始我也没有太多关注。毕竟Google在国内被和谐,删掉类似的服务也正常。然而最近的一件事情却让我真正地郁闷了。另一个好友,从国内弄了个大屏手机,价格按照英国的物价来说简直是便宜的可怕。但是在打算安装网上银行时,终于出现了问题。由于这个手机的Google基础服务框架都被卸载,自然也不会有Play市场,以至于居然无法安装该软件。与国内不同的是,几乎所有的官方软件都只能通过市场来安装和更新,公司并不会去单独提供任何独立文件下载。而在我进一步Google以后才发现了问题的严重性:几乎大牌的行货都卸载了Google服务框架。

我不知道这种事情是否合法,但是至少,它违背了软件开发者的良心。尽管Android系统本身是免费的,据说还是开源了?但是作为一个商业公司的产品,它不可能一直去学雷锋,而Google Play市场正好是其的一个盈利点。通过结合程序、视频、音乐和书籍报刊的售卖,Google可以把android变成一个平台,不仅仅能够扩展其影响,还能通过其得到商业利益。而现在的这种卸载行为,在我看来,实在是一种断对方财路的行为。试想,如果你去一个切糕大叔面前大骂切糕坑爹,你看看大叔会怎么对你?

而一旦卸载掉了Google服务框架,就必须有第三方的软件来进入。这就为CCTV这次的焦点创造了机会。于是我们看到了一条软件行业的灰色产业链。事实上,如果诸位对于国内的电信行业有一点关注,就会知道移动曾经的SP风波(SP:Service Provider,服务提供商)以及一些制作小游戏,包括网吧类软件的公司。拓展下,我们还可以知道一些网站弹出广告。在IT圈子里,这早已是公开的秘密。由于绕开了Google的监管,国内各种市场如雨后春笋般冒出。这些市场本身是免费的,他们如何盈利?这些软件的后门也好,暗箱操作也罢,他们的根基其实就在于这个产业的盈利点。显然的,这不仅仅是一个技术问题,还是一个商业问题。

考虑到这些问题,我建议诸位购买使用手机时可以大概遵从如下几条。当然,这些都是我个人观点,并不一定完全正确:

  • 尽量不要购买国内的行货手机。行货手机为了迎合监管要求和一些客户的需要,往往会做一些“本地化”操作。当然,大牌手机在这方面应该相对较好,最多如三星卸载Google服务框架。但是一些国内二三线手机则可能会有问题。毕竟在低价的战略下,它们的边际利润非常低。这种所谓的捆绑安装其实也是他们收入来源的一部分。但是这种商业利益对用户的安全威胁不可小觑。
  • 尽量通过Google Play安装程序。我甚至于怀疑很多用户都不会有机会知道Google Play这个东西。但是在我看来,这个市场还是很正规的。尽管与苹果公司的市场相比,他们的审核机制没有那么严格,但是在我看来也很少会作出太犯众怒的行为。当然,据说市场中也有一些恶意软件,但那大多是小众软件。
  • 不要直接安装,尤其是破解版。这算是天朝特色了。天朝人民擅长山寨,同时绝对没有任何内容付费的习惯,凡事拿来主义。但是,高手们既然可以破解软件的收费验证机制,为什么就不能给你加点私活呢?我无意去揣测高手们人品,但是,这是一个商业问题。人的劳动,哪怕是非法的,也是应该且必须得到回报的。同时,你的少量支付在给你带来安全保障的同时,也支持了这个行业和别人的工作。
  • 不要乱刷第三方ROM。理由同上。手机是一个通讯工具,而不是玩具。当然,对于大量时间富足的天朝人民而言,花上几天时间去捣鼓一个所谓的手机系统,似乎不存在什么问题。

4 thoughts on “也谈315晚会:手机真的不安全?”

  1. 国内主要是没有严格的管理,人们也不重视这些安全,所以比国外要乱一些。不过,我总觉得,如果玩大了,这些企业是玩火自焚。

    1. 是啊,不过据说还有的是运营商定制时候要求加入的。那就不容易理解了。当然,我们解决这些问题还是需要时间的。毕竟我们从清朝到现在也不过百年时间,中间还经历了那么多的事情。

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.