面對(duì)安全威脅，華為應(yīng)用市場(chǎng)緣何固若金湯？

煲劇、外賣、出行、游戲、看書……現(xiàn)在我們用一部手機(jī)，通過(guò)里面的各種APP就能基本滿足生活所需，但是在這種便利的背后，也是日益嚴(yán)峻的安全隱私挑戰(zhàn)。在今年315期間，就有眾多問(wèn)題被曝光：病毒木馬中招，導(dǎo)致資金受損；下載的APP里暗藏消費(fèi)貸陷阱；APP權(quán)限調(diào)用泛濫成災(zāi)，給用戶隱私帶來(lái)隱患……

 3月30日，《華為應(yīng)用市場(chǎng)2020年度安全隱私報(bào)告》發(fā)布，這份報(bào)告一方面揭示出移動(dòng)應(yīng)用生態(tài)存在的一些安全隱私風(fēng)險(xiǎn)，另一方面也向我們展現(xiàn)出華為應(yīng)用市場(chǎng)在解決這些問(wèn)題背后的努力，每天圍繞安全隱私的攻防戰(zhàn)都在上演。

 01

三個(gè)數(shù)字背后

翻開這份報(bào)告，令我印象最深刻的是三個(gè)數(shù)字：

 “33%”，這是2020年華為應(yīng)用市場(chǎng)的應(yīng)用上架申請(qǐng)審核未通過(guò)率。說(shuō)實(shí)話，這一點(diǎn)還是很出乎意料，一般都認(rèn)為，所謂的審核只不過(guò)是走個(gè)過(guò)場(chǎng)。但是，在華為應(yīng)用市場(chǎng)，是動(dòng)真格的，這個(gè)33%的背后，是在97萬(wàn)次應(yīng)用上架申請(qǐng)中，有32.2萬(wàn)次未獲得通過(guò)。這里面，彰顯的是華為應(yīng)用市場(chǎng)對(duì)安全隱私威脅的零容忍。

“4萬(wàn)”，這是2020年華為應(yīng)用市場(chǎng)回測(cè)中下架的問(wèn)題應(yīng)用游戲數(shù)量。這個(gè)數(shù)字同樣讓我關(guān)注，是因?yàn)橛胁簧賾?yīng)用市場(chǎng)將應(yīng)用上架后就萬(wàn)事大吉，而華為應(yīng)用市場(chǎng)會(huì)進(jìn)行回測(cè)，發(fā)現(xiàn)問(wèn)題第一時(shí)間下架。2020年，華為應(yīng)用市場(chǎng)共回測(cè)了24萬(wàn)款應(yīng)用和游戲，將4萬(wàn)款的僵尸應(yīng)用、內(nèi)容更新違規(guī)、變臉應(yīng)用等問(wèn)題應(yīng)用堅(jiān)決下架。

“10年”，10年來(lái)，華為應(yīng)用市場(chǎng)對(duì)安全隱私持續(xù)關(guān)注、持續(xù)投入。做一件事容易，堅(jiān)持做很難，堅(jiān)持10年做更是難上加難，華為應(yīng)用市場(chǎng)十年如一日地在安全隱私上努力，終于在嚴(yán)峻的安全隱私大環(huán)境下，“敵軍圍困萬(wàn)千重，我自巋然不動(dòng)”。

具體來(lái)說(shuō)，華為應(yīng)用市場(chǎng)在安全隱私上的舉措可以總結(jié)為：全方位和全周期。

華為應(yīng)用市場(chǎng)在安全隱私上的招數(shù)，不是一個(gè)點(diǎn)，也不是一個(gè)面，而是一個(gè)全方位的安全隱私保障體系。從開發(fā)者實(shí)名認(rèn)證，到惡意行為檢測(cè)、安全漏洞檢測(cè)、隱私泄露檢查、人工實(shí)名復(fù)檢的專有四重檢測(cè)，到包括完整性校驗(yàn)、簽名驗(yàn)證、威脅檢測(cè)、AI安全防護(hù)等在內(nèi)的下載安裝保障，再到應(yīng)用沙箱、內(nèi)存保護(hù)、定期回測(cè)、全民監(jiān)督的運(yùn)行防護(hù)機(jī)制，真正做到了“全方位”。

而且，這種防護(hù)涵蓋了應(yīng)用的“全周期”。我們不妨站在問(wèn)題應(yīng)用的角度來(lái)看其的生命旅程：上架申請(qǐng)中，需要經(jīng)歷四重檢測(cè)的苛刻考驗(yàn)，絕大多數(shù)的潛在風(fēng)險(xiǎn)應(yīng)用都會(huì)倒在華為應(yīng)用市場(chǎng)的門口；即使有喬裝打扮蒙混過(guò)關(guān)之流，在上架后，也會(huì)被隨時(shí)偵測(cè)到，華為應(yīng)用市場(chǎng)的“應(yīng)用安全檢測(cè)”功能如果打開后，可以每天自動(dòng)掃描設(shè)備所安裝的應(yīng)用的安全風(fēng)險(xiǎn)，進(jìn)行告警；即使你潛伏起來(lái)，想通過(guò)更新、變臉等方式作案，也會(huì)被華為應(yīng)用市場(chǎng)的回測(cè)及時(shí)發(fā)現(xiàn)、及時(shí)消滅。

例如，在去年9月，華為應(yīng)用市場(chǎng)的安全運(yùn)營(yíng)團(tuán)隊(duì)就針對(duì)200余款陪玩類應(yīng)用開展了專項(xiàng)回測(cè)，發(fā)現(xiàn)41款A(yù)PP檢測(cè)異常，問(wèn)題應(yīng)用中，17款應(yīng)用功能異常、7款應(yīng)用版本滯后、6款應(yīng)用內(nèi)容違規(guī)、6款應(yīng)用功能內(nèi)容相似，另有5款應(yīng)用不再更新維護(hù)、6款應(yīng)用存在其他問(wèn)題。這樣的專項(xiàng)回測(cè)還有很多：去年7-8月暑期的兒童教育類應(yīng)用回測(cè)、10月漫畫類應(yīng)用回測(cè)等等。

所以，在我們安心使用華為手機(jī)上的各種應(yīng)用時(shí)，背后是華為應(yīng)用市場(chǎng)的多重努力。

02

傳統(tǒng)的“馬奇諾防線”已經(jīng)落后

在第一次世界大戰(zhàn)后，法國(guó)為了防止德軍入侵，耗費(fèi)巨資在東北邊境地區(qū)建設(shè)超級(jí)堅(jiān)固的馬奇諾防線。然而事與愿違，德國(guó)最終繞過(guò)馬奇諾防線，用閃電戰(zhàn)占領(lǐng)了法國(guó)。

其實(shí)，在安全領(lǐng)域，同樣的事情也在上演：即使你的馬奇諾防線建得再堅(jiān)固，如果不能與時(shí)俱進(jìn)，也不能有效抵御安全的威脅。

華為應(yīng)用市場(chǎng)的這份報(bào)告帶來(lái)的一個(gè)重要啟示就是這樣：華為應(yīng)用市場(chǎng)的安全觀已經(jīng)有了很大的進(jìn)化，不只是抵御傳統(tǒng)的病毒、木馬等安全威脅，更是站在用戶使用APP的具體場(chǎng)景角度，將安全擴(kuò)展到對(duì)用戶隱私的保護(hù)，以及用戶使用不同類型應(yīng)用的具體場(chǎng)景，將“防線”擴(kuò)展到無(wú)處不在。

說(shuō)到隱私保護(hù)，無(wú)疑是最近的熱門關(guān)鍵詞。在今年315晚會(huì)上，就將很大的篇幅聚焦在用戶的隱私保護(hù)上，用戶越來(lái)越注重自己的隱私安全。在華為應(yīng)用市場(chǎng)，你在下載某一款應(yīng)用前，可以在應(yīng)用詳情中查看應(yīng)用開發(fā)者提供的隱私政策條款，以及該應(yīng)用申請(qǐng)?jiān)L問(wèn)的相關(guān)權(quán)限；在下載安裝后，當(dāng)應(yīng)用首次嘗試訪問(wèn)你的位置或通訊錄等個(gè)人信息時(shí)，你會(huì)收到是否同意開啟權(quán)限的提示；而且，在使用過(guò)程中，你還可以隨時(shí)收回相關(guān)權(quán)限。這一切，意味著應(yīng)用的透明度大大增加，而且用戶掌握了權(quán)限控制的開關(guān)。

如上所述，華為應(yīng)用市場(chǎng)還會(huì)定期組織對(duì)應(yīng)用的回測(cè)，這里面就包括用戶隱私。在2020年6月至今，華為應(yīng)用市場(chǎng)先后開展了2輪的用戶隱私專項(xiàng)回測(cè)，覆蓋20多種隱私相關(guān)細(xì)分問(wèn)題類型。一組數(shù)字可以說(shuō)明這次行動(dòng)的力度：歷時(shí)200多天、投入超過(guò)400人次，這次行動(dòng)發(fā)現(xiàn)的主要問(wèn)題包括：未經(jīng)同意申請(qǐng)用戶權(quán)限、權(quán)限使用方式范圍不明確、首次運(yùn)營(yíng)未彈窗展示隱私政策等。

華為應(yīng)用市場(chǎng)的安全防線更是涉及到用戶的具體使用場(chǎng)景。例如，在檢測(cè)中，華為應(yīng)用市場(chǎng)的安全運(yùn)營(yíng)團(tuán)隊(duì)發(fā)現(xiàn)，某款應(yīng)用在用戶付款頁(yè)面默認(rèn)勾選消費(fèi)貸選項(xiàng)，誤導(dǎo)用戶使用消費(fèi)貸，對(duì)此，安全運(yùn)營(yíng)團(tuán)隊(duì)要求其立刻進(jìn)行整改。類似的場(chǎng)景還包括違法傳銷、非法網(wǎng)貸、內(nèi)容違規(guī)等方面。

可以這樣說(shuō)，華為應(yīng)用市場(chǎng)的安全防線之廣度和深度，用“大安全”鑄就了“固若金湯”，也鑄就了用戶的安心體驗(yàn)。

03

固若金湯的底座

固若金湯是華為應(yīng)用市場(chǎng)在安全隱私上努力的結(jié)果，筆者關(guān)心的是，到底背后有什么深刻的原因？或者說(shuō)固若金湯的底座到底是什么？

總結(jié)起來(lái)，我認(rèn)為是兩點(diǎn)：

其一，是將安全隱私保護(hù)放到公司最核心的地位。態(tài)度決定一切，華為應(yīng)用市場(chǎng)的這份年度報(bào)告的第一句話，就赫然寫著：“網(wǎng)絡(luò)安全和隱私保護(hù)是華為公司的最高綱領(lǐng)”。這是華為應(yīng)用市場(chǎng)的態(tài)度，也是華為公司的基因。

2019年1月2日，華為心聲論壇發(fā)布了任正非致全體員工的一封信，他在信中表示，華為已經(jīng)明確把網(wǎng)絡(luò)安全和隱私保護(hù)作為公司的最高綱領(lǐng)。注意，“最高綱領(lǐng)”這四個(gè)字是華為應(yīng)用市場(chǎng)固若金湯的最大支撐。

其二，是將創(chuàng)新科技作為安全隱私保護(hù)的核心手段。據(jù)了解，最早從2000年開始，華為已經(jīng)在開展網(wǎng)絡(luò)安全業(yè)務(wù)，在網(wǎng)絡(luò)安全領(lǐng)域持續(xù)進(jìn)行技術(shù)投入。具體到華為應(yīng)用市場(chǎng)，是將創(chuàng)新科技用于安全的應(yīng)用下載服務(wù)。在華為應(yīng)用市場(chǎng)，應(yīng)用上架申請(qǐng)堪稱海量，如2020年就有全球170多個(gè)國(guó)家和地區(qū)的97萬(wàn)次應(yīng)用上架申請(qǐng)，靠人工審核顯然是不可能的。針對(duì)這個(gè)問(wèn)題，華為應(yīng)用市場(chǎng)自研了SecDroid安全測(cè)試平臺(tái)和DevEco真機(jī)智能檢測(cè)系統(tǒng)。前者集成了病毒木馬掃描、廣告行為分析、隱私泄露分析等安全服務(wù)，后者則包括應(yīng)用兼容性、穩(wěn)定性、耗電性能、權(quán)限使用、Android綠色應(yīng)用標(biāo)準(zhǔn)符合情況等項(xiàng)目。

華為應(yīng)用市場(chǎng)對(duì)兒童的特別保護(hù)也可圈可點(diǎn)，其首創(chuàng)分級(jí)制度，可以讓不同年齡段的兒童只能下載對(duì)應(yīng)年齡層次的應(yīng)用，而非適齡應(yīng)用會(huì)自動(dòng)屏蔽，讓孩子們可以享受到移動(dòng)互聯(lián)網(wǎng)的純凈體驗(yàn)。

所以，華為應(yīng)用市場(chǎng)為什么固若金湯，就是因?yàn)閷⒂脩粽嬲诺街行模趹B(tài)度上重視安全隱私的保護(hù)，而且不光有態(tài)度，更有實(shí)際的行動(dòng)，將真金白銀投入到安全隱私保護(hù)的技術(shù)研發(fā)中，讓創(chuàng)新科技在其中扮演重要角色。據(jù)了解，華為應(yīng)用市場(chǎng)已經(jīng)獲得了CSASTAR、ISO/IEC 27001、ISO/IEC 27018、ISO/IEC 27701、ePrivacyseal等國(guó)際認(rèn)證。

“這不是結(jié)束，這甚至不是結(jié)束的開始，這只是開始的結(jié)束?！?丘吉爾的這句名言也適用于安全領(lǐng)域，圍繞安全隱私的攻防戰(zhàn)才剛剛開始，但是華為應(yīng)用市場(chǎng)在2020年的一系列努力表明：只要態(tài)度上重視，行動(dòng)上有效，安全隱私的挑戰(zhàn)并不可怕，用戶安心的使用體驗(yàn)一定能夠?qū)崿F(xiàn)。