軟體商店排名制度的漏洞:Google Play 下載超過一萬人次的防毒 App,根本沒有防毒功能

軟體商店排名制度的漏洞:Google Play 下載超過一萬人次的防毒 App,根本沒有防毒功能

在 Google Play 上有一隻 App 名為「Virus Shield」,顧名思義功能就是防毒。這隻App最近在付費的排行榜上迅速地竄升,成為新崛起App的第一名,價格為3.99美元。在Google Play上1659人的評論中,獲得4.5顆星的評價,Google+上還有2607人好評,看起來是個很正常的程式,但是最近才被人踢爆:這根本是一個完全無法掃毒的假程式!

過去在Google Play商店中,的確常有一些惡意程式混入,不過在Google官方大力整頓下,現在的Google Play商店整體的App品質算是有比較提高了。再加上使用者也多半都有所警覺,會依靠經驗去避開一些危險的程式,例如,面對一個陌生的App,多半就是先稍微看一下網友的文字評論以及星星等級,然後再來看下載的次數,用這種方式來評斷一個陌生App好壞多半也八九不離十。

但是上述的這些作法,在「Virus Shield」這個案例來看,似乎就不再適用。首先,「Virus Shield」並不是一個惡意程式,它不會殖入惡意病毒或是盜取你的個人隱私資訊,因此它也通過了官方的審核機制;其次,它的下載次數超過了一萬人次,而且它還是一個付費的App!有一萬多人願意付費下載的App,你覺得會差勁到哪裡去?

軟體商店排名制度的漏洞:Google Play 下載超過一萬人次的防毒 App,根本沒有防毒功能

事實上,「Virus Shield」身為一個防毒App的表現,的確不差。安裝之後幾乎完全不佔手機系統的資源,甚至掃描病毒的過程也不到一秒鐘,堪稱是史上最快、效能最佳的手機防毒App。根據它的描述,它的耗電也非常低,而且更還完全不含廣告。

也是因為它真的太快了,快到一種不可思議的地步,引起了一些Android專業網站的關注。他們分析了這個程式之後,得到一個不可思議的結論:「Virus Shield」根本不是什麼防毒軟體,他不能掃病毒也不能保護使用者的個人隱私。

事實上,這款App唯一的功能就是「換圖」:將原本表示手機系統有危險的「X」圖案,在按下掃描之後,更換成打勾的圖案,表示手機系統安全。

 

軟體商店的排名與審核機制

從Apple的App Store開始,到Google Play、微軟的應用程式市集,還有其他各種廠商推出的下載應用,現在網路上有非常多軟體市集存在著,而只要是軟體市集,都會沿用這種排名的制度。這種排名制主要有兩種好處:

1.可以下載的軟體這麼多,你無法知道哪一個軟體好、哪一個軟體壞。但是你可以透過網友的評比,參考大多數網友的意見,大略知道在提供有同一種功能的App中,哪一種表現比較好,哪一種表現比較差。

2.透過參考網友的文字評論,知道這個App的廣告多不多、使用起來安不安全,是不是一裝完之後就被防毒軟體警告,軟體的功能有沒有宣傳上寫得那樣好,或是根本就是仿冒的程式。

當然,除了以上兩者之外,還有一個很重要的就是市集平台的審核機制。軟體開發商要上架前,必須要先經過市集平台的基本審核。市集平台願意花多少力氣去審核這些App,市集平台對於上架程式的政策是什麼,決定了我們會在軟體市集上看到哪些東西。

軟體商店排名制度的漏洞:Google Play 下載超過一萬人次的防毒 App,根本沒有防毒功能

基本上一個市集平台審核機制最基本該做到的要求,就是不該讓消費者在平台上看到具有危險性的App,比方說帶有木馬、病毒、對於行動裝置有破壞性威脅的程式為首先該排除的,或是使用起來可能會導致機器當機、故障可能的App也必須要排除;其次則是帶有惡意詐騙、侵犯使用者隱私等等可能性的App,這一類型也包括前面所說的像是偽裝成知名軟體的APP,或是仿冒的App。

其實一個App是否帶有木馬、病毒、侵犯使用者隱私等等威脅,負責審核的市集平台可以用軟體機制去檢查出來。最難的就是不帶任何病毒,仿冒的、偽裝成知名軟體名稱的App,因為這些必須要靠人腦來判斷。不過,透過網友的下載排名機制,多少可以解決這個問題,因為只要一個人下載安裝之後發現被騙了,然後在評論中發表感想,大概這個App騙人的過程也就到了盡頭。因此,一般來說大概頂多騙個三、五百人次,也就失去作用了。

毫無疑問的,「Virus Shield」這個假的App能夠達到萬人次的下載,是很反常的一件事。甚至該說,在App的騙子界,「Virus Shield」達到了一個新的標竿。

或許我們更該問的問題是:它怎麼做到的?

答案只有一句話:沒有人發現自己被騙了。

 

你是買防毒軟體,還是只是想服用安慰藥?

其實這當然也不是Google Play上面第一次出現這種假程式。除了那些惡意程式之外,在Google Play上的假程式有兩大類型:第一種是偽裝成知名App,然後用名稱或是圖案來混淆你讓你下載,藉此賺取下載量,目的是透過廣告來賺錢。第二種則是這種程式內容本身雖然是無害的,但是他的描述功能與內容不符。目的則可能一樣是透過廣告來賺錢,或是透過付費下載來賺錢。

舉例來說,在Android上各家知名防毒廠商推出的App,大概多半都有假冒的「分身」出現過。但在過去通常都會被精明的使用者識破,通常都在還不到一千的下載次數以內,就能夠被檢舉下架。

由於早期Google Play上偽裝程式的氾濫,Google後來也修正了Google Play開發人員計畫政策,希望能減少這些不安全的或是偽造的程式的數量。事實上也的確是有達到一些效果。

但是這次「Virus Shield」則是顯示了現在的這個制度一定還有相當的漏洞。

安全軟體無疑是軟體界中一個最神秘的存在。大多數人都知道自己需要它,但是其實又不希望它真的檢查出病毒,最好就是乖乖的待在機器裡就好。

而機器效能較差,或是使用較為「資深」機種的使用者來說,對於安全軟體甚至還帶有一點負面的看法在裡面,因為他們都有為了執行安全掃描而導致手機當機這一類被安全軟體「羞辱」的經驗。

在這個前提下,「Virus Shield」就像是醫生開給病人的安慰劑一樣,剛好滿足了這兩種心理條件。顯示了大多數人裝了防毒軟體後,想要看到的,其實就只是一個「顯示安全的勾勾符號」而已。至於這個符號是怎麼來的,使用者其實不關心。

軟體商店排名制度的漏洞:Google Play 下載超過一萬人次的防毒 App,根本沒有防毒功能

當然了,或許有些人會懷疑「Virus Shield」怎麼可能這麼厲害,效能這麼好?但是一想到自己付了3.99美元,心裡馬上就轉念為:「這麼厲害的效能,難怪敢開價3.99美元...」這個第二層的懷疑又被擊沈了。

其實根據網站的追查,這個開發「Virus Shield」的作者已經不是第一次犯案,而它所登記的Email另外還有在網路上靠著詐騙銷售一些遊戲道具來騙錢,其實並不是什麼特別高明的詐騙者。不過,靠著這隻App,他可能自己也沒料到竟能騙到4萬美元入袋吧?

其實,換個角度想,花個4塊錢美元買個安慰劑求安心,也不能說「Virus Shield」毫無功用吧!

 

 

新聞來源:Android Police

 

《A

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
姚小新
1.  姚小新 (發表於 2014年4月09日 13:13)
╮(╯_╰)╭

其他真的能掃毒的軟體,能掃出 app 可能有隱私的問題,但因為要用該 app,似乎掃描結果也只能當參考...
發表回應
謹慎發言,尊重彼此。按此展開留言規則