杜绝终端恶意软件不能一蹴而就

作者 | 陈亮

近年来，网络上多次爆出由恶意软件引起的用户资费被恶意扣取或信息泄密事件，并引起了业界的多次热烈讨论，但时至今日，恶意软件依然犹如“牛皮癣”难以清除。为此，今年4月份工信部颁发了《关于加强移动智能终端进网管理的通知》（以下简称“通知”），从保护用户个人信息和网络信息安全的角度，要求所有申请进网许可的移动智能终端必须对终端操作系统和各类预装软件的详细信息进行申报，以此杜绝操作系统和软件安全隐患。如今半年的过渡期已经结束，2013年11月起该通知将正式实施。通知的实施本应是件好事，但实际上业界对此却不抱过分乐观态度，究竟为何？

一、软件预装手段多样、监控难度较大

按照通知的规定，智能终端制造企业在申请入网证之前和入网证申请通过但需要对操作系统和预装软件进行调整之时，都必须向工信部申报。这则要求看似从根本上杜绝了通过操作系统漏洞或后门、通过预装恶意软件来盗取用户信息或谋取不当利益的行为，但通过整个预装软件的价值链来看，这种办法只能起到片面的效果。原因何在？

从目前的软件预装的嵌入点来看，主要有以下的方式。

首先是出厂前预装。这种方式通常是有两种价值模式。一是电信运营商向智能终端厂商定制手机的时候，要求智能终端厂商在出厂之前预装指定的应用软件，这类软件大多是电信运营商自有的各类增值业务，此类增值业务通常也不具备窃取用户信息或盗取用户资费的主观恶意，但实际上由于部分用户并不需要此类软件而被迫“拉郎配”、或是由于操作不当导致被扣费而引发的投诉时而有之；二是智能终端厂商为谋取更多的利益而与部分应用软件提供商合作预装，预装应用软件提供商再根据终端的销售量或预装软件的激活使用量与智能终端厂商进行推广费用结算，此类预装软件存在良莠不齐的现象，甚至有部分“打擦边球”的智能终端厂商和恶意软件提供商相互勾结，通过预装软件来谋取不当得利。数年前在山寨机大行其道的时候，这种类似的预装软件“吸金”行为屡见不鲜，部分终端制造厂商也因此赚足了昧心钱。

其次是出厂后预装。这种方式也有两种常见的操作。一是智能终端厂商在终端出货之前进行预装，也即是呈送主管部门的终端和实际出厂的终端实际上并不一致；二是智能终端在流转到渠道（包括一般终端零售渠道、电信运营商渠道等）之后，渠道商进行了应用软件的预装。

除了预装之外，部分恶意软件还采用伪装成正规软件、植入恶意代码等方式，通过互联网或各类应用商店通过“钓鱼”的方式诱使用户安装下载，这一类方式更为分散，单纯依靠官方力量的整治难度更大。

由此可见，目前通知的管理对象只是智能终端厂商，对于终端设备出厂之后相关环节的管理却无明确要求。因此，通知看起来似乎是从根本上杜绝了恶意软件预装的源头，实际上只是“按下葫芦浮起瓢”，预装软件的提供者可以将合作的对象转向智能终端的销售代理商或零售渠道商，要么合作对象调整“转战后方”；要么化整为零“打游击”，打击恶意软件的难度之大可见一斑。

二、整治恶意软件是系统工程

恶意软件的目的主要是谋取不当得利，从目前恶意软件的主要价值模式分析，通常有以下环节。

第一是恶意软件提供者。其获利主要有直接获利和间接获利两种模式。直接获利是通过恶意软件内置的扣费点，通过欺诈或瞒骗的方式，也即是诱骗用户付费，甚至在未告知用户的前提下直接扣取用户资费的方式来获利。目前由于各电信运营商对于代收费业务整治力度较大，恶意软件主要是通过诱骗用户付费的方式来获利。间接获利主要是通过出卖用户信息、盗取用户信息用于套利或强制用户安装其他软件来获利。

另外是恶意软件推广合作伙伴。其主要是通过恶意软件的安装量、激活量或扣费量获取酬劳或分成。

通过上述分析，不难看出恶意软件的整治是一个相当复杂的系统工程，除了智能终端厂商之外，还涉及到智能终端的代理商和渠道商、电信运营商、各类应用分发者和用户本身。前期三大电信运营商对恶意扣费、违规扣费等问题进行了集中清理，收效较为明显。此次对于智能终端厂商的规范要求也能在一定程度上限制恶意软件的蔓延。但对于其他对象的管控依然有所缺失。基于此，笔者认为，应从以下几个方面着手整治。

首先“通知”中针对智能终端行厂商提出了要求，但并未明确处罚和纠偏的条款，这种“有责无罚”的要求对于智能终端厂商的威慑力究竟有多大尚待考验。因此，应在要求的基础上适当增加罚则，敲山震虎。

其次是从用户角度看，“通知”中并无明确用户的合法权益受到侵害时应当如何处理，也缺少对问题处理联动的规定。一旦出现侵权行为用户是否可以向工信部或其他相关部门举报?举报流程如何?举报的查证流程如何保证透明闭环等等，都还有待进一步细化。

第三是司法介入力度要进一步加强。目前法律已经明确了窃取公民个人信息属于违法行为，但从法律实例来看，真正受到制裁的案例尚属少数，大部分违规、违法行为依旧大行其道，究其原因就在于个人信息受到侵害之后，用户的举证难度大、维权流程繁琐，成本高。而随着移动互联网应用与服务对社会、个人生活的渗透逐渐提高，今后个人信息泄露对用户带来的影响和损失将会进一步加剧，因此司法介入应当更加积极主动有效，而不是被动等待用户巨大损失造成之后再行受理。对于恶意软件的制造者和传播者，也要进一步加大打击力度。

最后，各界应共同加强个人信息安全保护教育，形成主管部门“堵”、司法部门“抓”、用户个人“防”的共同抵御体系。用户应选择安全可靠的渠道获取和安装应用，有条件的电信运营商、渠道商和应用分发者可积极主动帮助用户提供免费的应用安全使用教育和终端安全检查，对于信息泄露的案例要多予以传播披露，进一步压缩恶意软件生存的空间。