面對安全威脅，華為應用市場緣何固若金湯？

煲劇、外賣、出行、游戲、看書……現在我們用一部手機，通過里面的各種APP就能基本滿足生活所需，但是在這種便利的背后，也是日益嚴峻的安全隱私挑戰(zhàn)。在今年315期間，就有眾多問題被曝光：病毒木馬中招，導致資金受損；下載的APP里暗藏消費貸陷阱；APP權限調用泛濫成災，給用戶隱私帶來隱患……

 3月30日，《華為應用市場2020年度安全隱私報告》發(fā)布，這份報告一方面揭示出移動應用生態(tài)存在的一些安全隱私風險，另一方面也向我們展現出華為應用市場在解決這些問題背后的努力，每天圍繞安全隱私的攻防戰(zhàn)都在上演。

 01

三個數字背后

翻開這份報告，令我印象最深刻的是三個數字：

 “33%”，這是2020年華為應用市場的應用上架申請審核未通過率。說實話，這一點還是很出乎意料，一般都認為，所謂的審核只不過是走個過場。但是，在華為應用市場，是動真格的，這個33%的背后，是在97萬次應用上架申請中，有32.2萬次未獲得通過。這里面，彰顯的是華為應用市場對安全隱私威脅的零容忍。

“4萬”，這是2020年華為應用市場回測中下架的問題應用游戲數量。這個數字同樣讓我關注，是因為有不少應用市場將應用上架后就萬事大吉，而華為應用市場會進行回測，發(fā)現問題第一時間下架。2020年，華為應用市場共回測了24萬款應用和游戲，將4萬款的僵尸應用、內容更新違規(guī)、變臉應用等問題應用堅決下架。

“10年”，10年來，華為應用市場對安全隱私持續(xù)關注、持續(xù)投入。做一件事容易，堅持做很難，堅持10年做更是難上加難，華為應用市場十年如一日地在安全隱私上努力，終于在嚴峻的安全隱私大環(huán)境下，“敵軍圍困萬千重，我自巋然不動”。

具體來說，華為應用市場在安全隱私上的舉措可以總結為：全方位和全周期。

華為應用市場在安全隱私上的招數，不是一個點，也不是一個面，而是一個全方位的安全隱私保障體系。從開發(fā)者實名認證，到惡意行為檢測、安全漏洞檢測、隱私泄露檢查、人工實名復檢的專有四重檢測，到包括完整性校驗、簽名驗證、威脅檢測、AI安全防護等在內的下載安裝保障，再到應用沙箱、內存保護、定期回測、全民監(jiān)督的運行防護機制，真正做到了“全方位”。

而且，這種防護涵蓋了應用的“全周期”。我們不妨站在問題應用的角度來看其的生命旅程：上架申請中，需要經歷四重檢測的苛刻考驗，絕大多數的潛在風險應用都會倒在華為應用市場的門口；即使有喬裝打扮蒙混過關之流，在上架后，也會被隨時偵測到，華為應用市場的“應用安全檢測”功能如果打開后，可以每天自動掃描設備所安裝的應用的安全風險，進行告警；即使你潛伏起來，想通過更新、變臉等方式作案，也會被華為應用市場的回測及時發(fā)現、及時消滅。

例如，在去年9月，華為應用市場的安全運營團隊就針對200余款陪玩類應用開展了專項回測，發(fā)現41款APP檢測異常，問題應用中，17款應用功能異常、7款應用版本滯后、6款應用內容違規(guī)、6款應用功能內容相似，另有5款應用不再更新維護、6款應用存在其他問題。這樣的專項回測還有很多：去年7-8月暑期的兒童教育類應用回測、10月漫畫類應用回測等等。

所以，在我們安心使用華為手機上的各種應用時，背后是華為應用市場的多重努力。

02

傳統的“馬奇諾防線”已經落后

在第一次世界大戰(zhàn)后，法國為了防止德軍入侵，耗費巨資在東北邊境地區(qū)建設超級堅固的馬奇諾防線。然而事與愿違，德國最終繞過馬奇諾防線，用閃電戰(zhàn)占領了法國。

其實，在安全領域，同樣的事情也在上演：即使你的馬奇諾防線建得再堅固，如果不能與時俱進，也不能有效抵御安全的威脅。

華為應用市場的這份報告帶來的一個重要啟示就是這樣：華為應用市場的安全觀已經有了很大的進化，不只是抵御傳統的病毒、木馬等安全威脅，更是站在用戶使用APP的具體場景角度，將安全擴展到對用戶隱私的保護，以及用戶使用不同類型應用的具體場景，將“防線”擴展到無處不在。

說到隱私保護，無疑是最近的熱門關鍵詞。在今年315晚會上，就將很大的篇幅聚焦在用戶的隱私保護上，用戶越來越注重自己的隱私安全。在華為應用市場，你在下載某一款應用前，可以在應用詳情中查看應用開發(fā)者提供的隱私政策條款，以及該應用申請訪問的相關權限；在下載安裝后，當應用首次嘗試訪問你的位置或通訊錄等個人信息時，你會收到是否同意開啟權限的提示；而且，在使用過程中，你還可以隨時收回相關權限。這一切，意味著應用的透明度大大增加，而且用戶掌握了權限控制的開關。

如上所述，華為應用市場還會定期組織對應用的回測，這里面就包括用戶隱私。在2020年6月至今，華為應用市場先后開展了2輪的用戶隱私專項回測，覆蓋20多種隱私相關細分問題類型。一組數字可以說明這次行動的力度：歷時200多天、投入超過400人次，這次行動發(fā)現的主要問題包括：未經同意申請用戶權限、權限使用方式范圍不明確、首次運營未彈窗展示隱私政策等。

華為應用市場的安全防線更是涉及到用戶的具體使用場景。例如，在檢測中，華為應用市場的安全運營團隊發(fā)現，某款應用在用戶付款頁面默認勾選消費貸選項，誤導用戶使用消費貸，對此，安全運營團隊要求其立刻進行整改。類似的場景還包括違法傳銷、非法網貸、內容違規(guī)等方面。

可以這樣說，華為應用市場的安全防線之廣度和深度，用“大安全”鑄就了“固若金湯”，也鑄就了用戶的安心體驗。

03

固若金湯的底座

固若金湯是華為應用市場在安全隱私上努力的結果，筆者關心的是，到底背后有什么深刻的原因？或者說固若金湯的底座到底是什么？

總結起來，我認為是兩點：

其一，是將安全隱私保護放到公司最核心的地位。態(tài)度決定一切，華為應用市場的這份年度報告的第一句話，就赫然寫著：“網絡安全和隱私保護是華為公司的最高綱領”。這是華為應用市場的態(tài)度，也是華為公司的基因。

2019年1月2日，華為心聲論壇發(fā)布了任正非致全體員工的一封信，他在信中表示，華為已經明確把網絡安全和隱私保護作為公司的最高綱領。注意，“最高綱領”這四個字是華為應用市場固若金湯的最大支撐。

其二，是將創(chuàng)新科技作為安全隱私保護的核心手段。據了解，最早從2000年開始，華為已經在開展網絡安全業(yè)務，在網絡安全領域持續(xù)進行技術投入。具體到華為應用市場，是將創(chuàng)新科技用于安全的應用下載服務。在華為應用市場，應用上架申請堪稱海量，如2020年就有全球170多個國家和地區(qū)的97萬次應用上架申請，靠人工審核顯然是不可能的。針對這個問題，華為應用市場自研了SecDroid安全測試平臺和DevEco真機智能檢測系統。前者集成了病毒木馬掃描、廣告行為分析、隱私泄露分析等安全服務，后者則包括應用兼容性、穩(wěn)定性、耗電性能、權限使用、Android綠色應用標準符合情況等項目。

華為應用市場對兒童的特別保護也可圈可點，其首創(chuàng)分級制度，可以讓不同年齡段的兒童只能下載對應年齡層次的應用，而非適齡應用會自動屏蔽，讓孩子們可以享受到移動互聯網的純凈體驗。

所以，華為應用市場為什么固若金湯，就是因為將用戶真正放到中心，在態(tài)度上重視安全隱私的保護，而且不光有態(tài)度，更有實際的行動，將真金白銀投入到安全隱私保護的技術研發(fā)中，讓創(chuàng)新科技在其中扮演重要角色。據了解，華為應用市場已經獲得了CSASTAR、ISO/IEC 27001、ISO/IEC 27018、ISO/IEC 27701、ePrivacyseal等國際認證。

“這不是結束，這甚至不是結束的開始，這只是開始的結束?！?丘吉爾的這句名言也適用于安全領域，圍繞安全隱私的攻防戰(zhàn)才剛剛開始，但是華為應用市場在2020年的一系列努力表明：只要態(tài)度上重視，行動上有效，安全隱私的挑戰(zhàn)并不可怕，用戶安心的使用體驗一定能夠實現。