日前,泰爾終端實驗室官方微博發布消息稱,泰爾終端實驗室研發上線了App簽名服務系統,360手機助手、華為應用市場和小米應用商店三家應用分發平臺也已相繼完成了系統接入,并已開展第一輪APP認證簽名標簽試點服務。
手機應用商店會對獲得簽名的開發者APP進行顯著標識,以后在上述三家應用分發平臺里的APP中,有藍色“已認證”標簽的就是正規安全的APP。
該認證簽名標簽具有防篡改和可鑒別的特點,有助于提升開發者自身品牌的認知和認可度,以及用戶安裝和使用APP的安全感。
此外,APP在進行認證簽名后,APP的身份及來源公開透明,這意味著APP認證簽名能夠落實各方主體責任,可有效降低智能終端廠家相關法律風險,同時可在APP安裝過程中可減少風險提醒,提升用戶體驗。
截至目前,APP簽名服務系統共注冊用戶583個,發放開發者和分發者認證簽名證書291張,累計為33392款APP提供了49345次簽名。
下一步,泰爾終端實驗室將不斷完善系統功能和業務流程,持續推動APP認證簽名體系建設。
目前,國內的Android/ target=_blank class=infotextkey>安卓應用簽名都是自己創建簽名文件,然后自己使用簽名文件簽名apk的。但是,國內用于軟件破解和盜版的技術不容小覷,就算簽名了,應用也分分鐘被破解。此前便有公司透露,即便進行了加固,旗下應用還是被破解了,被破解后,改了個包名,應用內植入一些廣告,然后放在吾愛破解等網站上。
由于安卓APP一般采用包名作為唯一標識,如果有仿冒軟件把包名設置得和這個APP一樣,那么就可以隨意覆蓋這個APP。而安卓 App 開發會要求開發者進行數字簽名后,就無法安裝包名相同但簽名不同的APP,從而保證了APP開發者的唯一性。
可能有讀者會疑惑,這個泰爾終端實驗室靠譜嗎?它是什么來頭?
泰爾終端實驗室,隸屬于中國信息通信研究院,是中國泰爾實驗室旗下的核心實驗室,作為國家權威檢測機構,是信息通信領域集技術發展研究,產品標準和測試方法制定,國內外產品的測試、驗證、技術評估為一體的高科技組織。
那泰爾終端實驗室又為什么會上線這項服務呢?因為以假亂真的“李鬼”式APP太多。“李逵”遇上“李鬼”,魑魅魍魎聚集一處,真真假假,就使得用戶難以辨清。
尤其是一些詐騙分子,通過仿冒京東金融、馬上金融、360借條等平臺,以高度相似的標志和產品介紹誤導用戶,還輔以“小額返利”等來誘導用戶訪問下載,進而實施詐騙。甚至還有一些詐騙平臺打著“國企背景”的名頭,以“國字頭”名義來發展下線。
僅今年以來,國家網信辦反詐中心已排查打擊的仿冒APP就多達4.2萬個。目前,國家涉詐黑樣本庫已涵蓋并處置涉詐網址380.4萬個、APP51.4萬個、跨境電話41.5萬個,互聯網預警勸阻平臺預警超20億人次。
舉個例子,“京東金融”APP,已被打擊的仿冒數達5677個,“有錢花”APP被仿冒數達1194個,“拍拍貸”APP已被打擊仿冒數也達1094個。可見這些“李鬼”式APP也是有點猖狂在身上的。
但“李鬼”式APP究竟憑借著什么如此大行其道?原因很多。第一,高仿APP的開發成本和難度不高,據媒體報道,5萬元左右就可以帶來后續源源不斷的廣告費。第二,手機商店等平臺審核機制不嚴,大多只進行病毒和兼容性測試,沒有甄別是否山寨模仿。第三,相關部門的監管手段不能及時跟進,導致“李鬼”式APP有空子可鉆等等。
對此,各部門也應該加強監管,提高APP門檻,尤其是應用商店,更應該嚴格把好APP入駐關,絕不能讓“李鬼”APP渾水摸魚進入官方應用市場。同時,“李逵”APP也應當建立專業的隊伍,對“李鬼”重拳出擊,予以震懾,建立起成熟的舉報機制,發揮好網友的力量。
最后,也要提醒大家,下載APP還是要選擇官方渠道,比如手機應用市場或正規商城,不要隨隨便便點了個來歷不明的鏈接、二維碼啥的就把軟件下載安裝了,要不然到時候吃虧的還是咱自己。
問題來了,大家有沒有被“李鬼”式APP欺騙過呢?關于此類事件,你有什么看法?
編輯:崔崔 實習生廖宿印
文章綜合:泰爾終端實驗室、工信部、和訊新聞、人民網
