为数亿人把好安全关,这是平台方应尽的责任和义务。如何才能做好?
任何事物都有两面性。
移动应用带来打车、外卖、团券等诸多生活便利的同时,也带来一些弊端:个人信息泄露、儿童沉迷游戏,老人被莫名扣费等问题。
据工信部数据,截至2023年三季度,国内APP在架数量达261万款。这些APP鱼龙混杂、参差不齐在所难免。俗话说,病从口入。治疗移动互联网的这些“病”,还得把好应用市场这个“口”。作为绝大多数人下载、安装应用的首选,应用市场的把关显得十分必要。
日前,《华为应用市场 2023年度安全隐私报告》发布(以下简称“报告”),展现了移动应用暴露的涉及安全隐私的主要问题,以及作为“守门人”,应用市场如何把关与避免用户安全隐私问题的“病从口入”。
’
全流程“把关”
近几年,工信部、网信办等多部门持续通报违规移动应用,点名了从违规收集个人信息到无法关闭广告,再到欺骗误导强迫用户等诸多问题。随着各类违规行为曝光,人们对移动应用的安全意识日益增强。
监管政策趋紧的同时,作为平台方,应用市场的责任也不容小觑。以华为应用市场为例,截至2023年年底,其已为全球170多个国家和地区的华为终端用户提供服务,覆盖手机、PC、平板、手表、智慧屏、车机、VR等多类型终端设备,月活跃用户已超过5.8亿。
为数亿人把好安全关,这是平台方应尽的责任和义务。如何才能做好?透过报告,可将华为应用市场的做法简单总结为上架前中后的全流程管理。
所谓上架前,即移动应用呈现在华为应用市场之前,都要经过安全、隐私、资质、内容、应用付费、知识产权、未成年人保护等多维度的自动化检测+人工审核,将可能危害用户的行为提前排除,保障用户下载时是干净、安全的应用。
比如,针对超百万款次应用上架审核发现排名第一的问题——用户隐私,华为应用市场加强对应用提前申请权限、向第三方传输用户个人信息、应用频繁自启动和关联启动等违规行为的提前管控,避免个人信息受到侵害。再比如针对用户关注的未成年人保护问题,开发者需根据应用功能及内容,在申请上架阶段,如实填写华为应用商市场供的年龄分级问卷,并经由人工复核,才能上架。
在确保华为应用市场这一自身渠道的安全后,针对用户从第三方渠道下载、安装应用的上架中行为,华为应用市场也提供双重保障。第一重保障是,会对安装到华为终端的所有第三方应用提供检测和提示。2023年,华为应用市场新增了恶意应用渠道提醒和违法违规类应用提醒:当用户通过有风险的渠道安装,或安装疑似违法违规等风险类应用时,华为应用市场将通过风险应用弹窗功能提醒用户该应用存在潜在风险,提醒用户“取消”安装,并为建议用户“查找类似应用”,通过华为应用市场安装经过安全检测的应用。
第二重保障是纯净模式增强防护功能,进一步铲除潜在风险。原HarmonyOS 2.0中的纯净模式功能,在HarmonyOS 3.0及HarmonyOS 4.0的手机中,已被设定为自动默认,不再需要用户手动开启。在此基础上,还提供进一步的增强防护功能,供用户手工开启,开启后,未通过华为应用市场安全检测的应用将无法安装,已安装但检测出存在风险的应用也将无法运行。2023年,已有超1800万用户开启增强防护功能。
上架后,是指用户安装应用程序后的使用环节。部分移动应用侵害用户的行为就发生在安装后,经过上架前及中间安装环节,已经淘汰到绝大多数风险APP,但一些狡猾的非法应用,会在用户安装后才露出狐狸尾巴——通过云端更改APP内容及功能,违规收集个人信息等。
针对这种可能侵害用户权益的行为,华为应用市场在2023年新上线了应用安全报告能力,用户可随时自查已安装应用的安装状况,由华为应用市场对终端上已安装应用复测,及时排查、发现涉嫌违规应用。
此外,华为应用市场还针对全量在架应用开展日常不定期复测,并响应监管部门相关政策及通知开展专项复测,2023年,共复测应用数十万款次,并下架相关违规应用。
通过上架前中后全过程的一次检查、二次复测等举措,华为应用市场从移动应用可能发生问题的各环节布下“铁桶阵”,从机制上限制了违规应用与相关问题的存在。
’
既要顾大局也要抓细节
覆盖前中后的全过程管控犹如给一座百米高楼大厦打好了地基。但建设高楼大厦还需要绑筋浇筑、砌墙、封顶、门窗安装等多个细致工作。做好移动应用的安全管理,完善的机制是第一步,后续这些细致工作也要做才有意义。
那么,华为应用市场是如何做好细致工作的?
一是,挖深技术护城河。移动生态越繁荣,应用产品越多,作为平台方的审核压力就越大。华为应用市场基于华为杀毒云SecDroid扫描系统,持续优化SecDroid安全测试,已实现自动检测病毒、漏洞、广告、恶意行为、恶意扣费和隐私问题,提高审核效率,同时还能通过端云结合的AI未知威胁防护技术,实时对未知恶意软件的防护。
与此同时,华为应用市场还将技术能力前置,开放给开发者使用,使其掌握各类常见安全、隐私等自查自纠能力。典型代表是华为应用市场的DevEco系统(应用检测系统),帮助开发者进行兼容性、稳定性、性能、功耗等测试。
如兼容性测试,涵盖安装故障、启动故障、无响应、闪退、UI异常等常见异常问题,实现了全自动化验证,保证应用无兼容性死角。这使得开发者在上架前即可高效自查。
目前,华为已获得CSA STAR、ISO/IEC 27001、ISO/IEC 27018等多项国际安全认证,表明其具备较强的云端安全管理和技术能力,并建立了一套科学有效的信息安全管理体系。
二是常态化细致管理。所谓细致化管理,也包括两个方面,分别是主题化检查和全民监督。
所谓主题化检查,是指围绕监管部门相关政策及用户关注的热点问题,开展多个主题巡检和“回头看”复测。
比如应用内广告无法立即关闭,应用内广告欺骗、误导或强迫用户点击跳转其他页面等问题,华为应用市场在2023年开展多轮广告违规专项复测,对应用在上架后通过云端控制应用内广告违规的行为进行复测,累计处置超过5600款次广告违规应用。
某计算器通用,应用上架时合规,在成功上架后,应用内广告宣传“成语玩的好,红包天天拿”,但下载广告所指应用后,并无领红包、提现等功能。这与其对用户所作宣传及承诺不符,被华为应用市场做下架处理。
2023年,华为应用市场开展儿童隐私、新应用隐私、重点应用隐私、TOP隐私等涉及用户隐私安全的多个专项审核,隐私类问题累计复测6万款次应用;针对恶意弹窗、应用病毒、安装冲突等恶意行为,华为应用市场拦截处置2100+款次。
此外,华为应用市场还充分发挥群众力量,开通多种用户反馈渠道。2023年,华为应用市场经用户反馈渠道累计复测应用1.5万余款次。如某涉嫌违法集资应用,以提供旅游住宿服务为名上架,上架后通过云端控制变更应用内容,以高额返利吸引用户投资“酒店住宿项目”,经用户举办后,被华为应用市场永久下架并冻结开发者账号。
’
《壹观察》评论:
公平有序的环境促进良性循环
提到应用安全,很容易理解为要给用户提供更安全、更好的移动应用。但看完《华为应用市场 2023年度安全隐私报告》,有个明显感受:要给开发者创造公平有序的竞争环境,才能真正服务好用户。
移动应用和用户体验之间犹如“鸡生蛋、蛋生鸡”的关系,没有安全、良好的用户体验,就没有开发应用的必要;但没有开发者的持续创新和研发,也不会有用户安全、良好的体验。
正因为此,华为应用市场也极其注重为开发者营造公平有序的环境。比如持续治理应用侵权违规行为,对存在3次及以上侵权行为的开发者进行封号处理,2023年侵权投诉数量同比2022年降低42.6%。
另外,通过开放DevEco系统(应用检测系统),赋能开发者安全检测能力。而且,华为应用市场并没有因为审核内容更细导致上架时间变长,影响开发者体验,而是通过技术提升和人工审核的方式,缩短应用上架时长。
作为平台方,华为应用市场要同时为用户和开发者负责,而且两者并不冲突。作为管理者,华为应用市场积极为开发者营造公平有序的竞争环境,为移动应用生态负责,唯有此,才能推动行业实现良性循环——更好地使用体验吸引更多开发者,更高效率的开发吸引更多用户。
