日前,泰尔终端实验室官方微博发布消息称,泰尔终端实验室研发上线了App签名服务系统,360手机助手、华为应用市场和小米应用商店三家应用分发平台也已相继完成了系统接入,并已开展第一轮APP认证签名标签试点服务。
手机应用商店会对获得签名的开发者APP进行显著标识,以后在上述三家应用分发平台里的APP中,有蓝色“已认证”标签的就是正规安全的APP。
该认证签名标签具有防篡改和可鉴别的特点,有助于提升开发者自身品牌的认知和认可度,以及用户安装和使用APP的安全感。
此外,APP在进行认证签名后,APP的身份及来源公开透明,这意味着APP认证签名能够落实各方主体责任,可有效降低智能终端厂家相关法律风险,同时可在APP安装过程中可减少风险提醒,提升用户体验。
截至目前,APP签名服务系统共注册用户583个,发放开发者和分发者认证签名证书291张,累计为33392款APP提供了49345次签名。
下一步,泰尔终端实验室将不断完善系统功能和业务流程,持续推动APP认证签名体系建设。
目前,国内的Android/ target=_blank class=infotextkey>安卓应用签名都是自己创建签名文件,然后自己使用签名文件签名apk的。但是,国内用于软件破解和盗版的技术不容小觑,就算签名了,应用也分分钟被破解。此前便有公司透露,即便进行了加固,旗下应用还是被破解了,被破解后,改了个包名,应用内植入一些广告,然后放在吾爱破解等网站上。
由于安卓APP一般采用包名作为唯一标识,如果有仿冒软件把包名设置得和这个APP一样,那么就可以随意覆盖这个APP。而安卓 App 开发会要求开发者进行数字签名后,就无法安装包名相同但签名不同的APP,从而保证了APP开发者的唯一性。
可能有读者会疑惑,这个泰尔终端实验室靠谱吗?它是什么来头?
泰尔终端实验室,隶属于中国信息通信研究院,是中国泰尔实验室旗下的核心实验室,作为国家权威检测机构,是信息通信领域集技术发展研究,产品标准和测试方法制定,国内外产品的测试、验证、技术评估为一体的高科技组织。
那泰尔终端实验室又为什么会上线这项服务呢?因为以假乱真的“李鬼”式APP太多。“李逵”遇上“李鬼”,魑魅魍魉聚集一处,真真假假,就使得用户难以辨清。
尤其是一些诈骗分子,通过仿冒京东金融、马上金融、360借条等平台,以高度相似的标志和产品介绍误导用户,还辅以“小额返利”等来诱导用户访问下载,进而实施诈骗。甚至还有一些诈骗平台打着“国企背景”的名头,以“国字头”名义来发展下线。
仅今年以来,国家网信办反诈中心已排查打击的仿冒APP就多达4.2万个。目前,国家涉诈黑样本库已涵盖并处置涉诈网址380.4万个、APP51.4万个、跨境电话41.5万个,互联网预警劝阻平台预警超20亿人次。
举个例子,“京东金融”APP,已被打击的仿冒数达5677个,“有钱花”APP被仿冒数达1194个,“拍拍贷”APP已被打击仿冒数也达1094个。可见这些“李鬼”式APP也是有点猖狂在身上的。
但“李鬼”式APP究竟凭借着什么如此大行其道?原因很多。第一,高仿APP的开发成本和难度不高,据媒体报道,5万元左右就可以带来后续源源不断的广告费。第二,手机商店等平台审核机制不严,大多只进行病毒和兼容性测试,没有甄别是否山寨模仿。第三,相关部门的监管手段不能及时跟进,导致“李鬼”式APP有空子可钻等等。
对此,各部门也应该加强监管,提高APP门槛,尤其是应用商店,更应该严格把好APP入驻关,绝不能让“李鬼”APP浑水摸鱼进入官方应用市场。同时,“李逵”APP也应当建立专业的队伍,对“李鬼”重拳出击,予以震慑,建立起成熟的举报机制,发挥好网友的力量。
最后,也要提醒大家,下载APP还是要选择官方渠道,比如手机应用市场或正规商城,不要随随便便点了个来历不明的链接、二维码啥的就把软件下载安装了,要不然到时候吃亏的还是咱自己。
问题来了,大家有没有被“李鬼”式APP欺骗过呢?关于此类事件,你有什么看法?
编辑:崔崔 实习生廖宿印
文章综合:泰尔终端实验室、工信部、和讯新闻、人民网