文/李欢
来源/盒饭财经(ID:daxiongfan)
本来想注册“嘀嗒出行”的北京车主王晓琳,最近被一款名叫“滴答顺风车”的换皮App给骗了。
今年8月初,她第一次使用“滴答顺风车”,被强制收取了9块9的车主认证费,最后不仅没有注册成功,连对方客服电话都没能打通。
当她将个人遭遇发到黑猫投诉平台上后,才发现受骗的不止自己一人,更有用户称自己被诱导购买了两年588元的VIP会员。
购买了588元VIP会员的陈鹏表示,“苹果和各大安卓商城都上架了‘滴答顺风车’,从标识和文字以及应用介绍,都碰瓷嘀嗒出行。”
如滴答一类的所谓山寨App,正是通过盗用正版App的图标和名称,来侵害用户权益,从而谋求非法获利的应用软件。
山寨App的危害,并不亚于木马病毒。
北京高勤律师事务所合伙人王源告诉盒饭财经,这些出现在诱导链接中的山寨App,与正版App具有高度相似性,一旦下载,容易很隐蔽地违法收集用户个人信息,尤其是通讯录和行踪轨迹等。此外,山寨App也经常频繁弹窗提示兑奖、扣费等,进而实施金融诈骗。
作为山寨软件过滤器的应用商店,尽管近些年来不断在提高审核能力,但仍然难以避免其成为山寨软件的重灾区。
仅去年一整年,苹果App Store就封杀了6.35万个盗版App。凭借封闭生态,安全系数更为强大的App Store尚且如此,更开放的安卓系统,在海量的山寨软件面前,面对的无疑是一个更复杂的治理环境。
01
互联网领域,一直是山寨App泛滥的重灾区。
2018年社交电商风起云涌之际,拼多多成为卷入“山寨漩涡”的明星公司,身后尾随了一大批山寨App。它们与拼多多仅一字之差,如“平多多”“品多多”“聚多多”等。在早期运营中,这些真假难辨的名称,足以迷惑住偏远地区用户群,老龄人口更是受骗的高危人群。
除了名字,山寨App连经营模式也模仿。比如,一款名叫拼趣多的高仿软件,试图模仿社交电商,但设计出的拼团购,单人也能下单,“拼团购”功能形同虚设。
但在用户活跃度上,拼趣多还是扑棱了两下。据拼趣多官方资料,自2017年7月9日正式运营以来,平台已累积接近两百万用户量,月均流水接近500万。
生命力顽强的高仿App们之所以层出不穷,也与背后技术门槛不高有关。
盒饭财经发现,一些科技公司在知乎上会做广告宣传,称自己有类似于抖音的短视频App源码;B站上,更是能直接搜到“仿抖音快手”的各类开发教程。
制作山寨软件,在黑产市场,早已暗中形成了一条隐秘而稳定的产业链。
对于成熟的山寨软件开发者来说,几天时间内就可以做出一套前端框架。服务器、源代码、域名、服务商这些内容的创建,通过网上租赁的方式就可以解决。
像一款苹果应用商城里上线的借贷类App,有的黑产从业者报价5500元,能达到1:1级别的复制,但这并不包括后续每月的运营费和其他费用。假如仿冒一些上市公司的软件,报价甚至高达近三万元,20天就能完工。
如果想要让这些仿冒App成功上线苹果或者安卓的应用商店,只需要在完工后支付相应的费用即可。
在捞钱的套路上,山寨App也想了很多办法。
比如,一款成本极低的山寨软件,只是顶着与正版极其相似的名称和图标,仅仅通过替换正版软件的广告商、收集用户隐私这两种方式,就能赚取巨额的广告费、窃取用户数据完成诈骗。
苹果App Store上甚至专门出现了一类奉行“免费订阅+订阅扣费”的诈骗软件。
比如一款不起眼的“PDF阅读器”,一度是美区Mac App Store里下载量最大的App。这类小体量的App诱导性极强,用户安装完成后在使用过程中,页面会弹出一系列欺骗性十足的按钮,三两步就能误导用户订阅,当免费试用期过了之后,“订阅”就开始悄悄地扣费了。
为了让更多用户看见然后订阅,很多山寨软件往往还会通过刷下载量和评论的方式来提高曝光率。
今年2月底,软件开发者凯文 · 阿彻(Kevin Archer)发现,自己开发的“Authenticator-2 Factor App”软件被一款俄罗斯软件山寨了,“Authenticator-App”,它的名字与正版十分相似。
这款山寨软件要求用户在初次使用时,就得在应用商店进行评价为其增加软件热度。
而且,Authenticator-App同样采取“订阅制”,一旦用户忘记取消订阅,每周就要支付3.99美元的订阅费。
02
无数山寨App,暗藏在很多来源不明的链接和应用商店里。每年监管重压之下,都会对这些危险软件,进行一波集中清理下架。
但由于很多App的开发技术是开源的,山寨App在网络空间中,很容易打一枪换一个地方。
这也直接造成安卓应用商店成为山寨软件滋生的“沃土”。
王源告诉盒饭财经,因为安卓系统具有开放性,“山寨”App容易出现在安卓系统的手机中,而监管对违法违规收集个人信息的App进行“点名”“下架”行动中,也主要是针对安卓系统的App。
国家网信办反诈中心于2022年发布的数据显示,4.2万个仿冒App受到排查打击,并纳入国家涉诈黑样本库。
更重要的是,山寨App数量,还会随着正版软件的热度水涨船高。
360公司首席反诈骗专家裴智勇曾介绍,当一款正版App数量超过5000万时,市场上至少会尾随700种各式各样的山寨货,而低于10万的App身后也会有二三十个“盗版”跟随。
在应付猖獗的山寨风险软件这一点上,苹果App Store同样无法做到万无一失。
2014年8月,上海陆家嘴国际金融资产交易市场股份有限公司(下称“陆金所”)在日常安全监控中,发现在苹果应用商店上,暗藏着一款山寨版陆金所官方应用。
这个盗版软件存在安全隐患,可能会误导用户,陆金所要求苹果下架侵权隐患App,但没有得到苹果的正面回应,3个月后,陆金所直接向美国北加州旧金山地区法院递交了起诉状。
事实上,苹果商店中出现虚假山寨软件并不是新鲜事,比如,曾经出现的《Temple Jump 》《Plant vs. Zombie》,就分别模仿了《Temple Run》《植物大战僵尸》。
03
想要彻底治理山寨App,目前仍是一道难题。
2022年8月1日起施行的《移动互联网应用程序信息服务管理规定》中,加强了应用商店的个人信息保护、内容审核、数据安全责任。
为了解决安卓系统开放性带来的App审核标准不统一难题,隶属工信部的中国信通院泰尔终端实验室特意研发了一套“App签名服务系统”,用于构建统一的App认证签名体系,从App各个环节中提升可溯源性,并推动解决App的仿冒问题。
截至目前,包括快手、快手极速版、360手机助手、华为、小米等已纷纷接入了“App签名服务系统”。
只要软件的App签名能经受住考验,就证明这款App是可靠的。换句话说,App签名服务系统解决了App的签名问题,让正版App获得一份难以被伪造的数字证书。
想要获得这张证书并不容易,因此山寨App入门门槛自然被拔高了。
在App Store中,决定一款软件能否被下载,则是由苹果一个叫做App Review的团队决定。
最初,这个审核团队只有三名审核员,负责审查全部的应用。但要知道的是,App Store在2008年刚推出时,仅仅只有500款应用。
2019年左右,据知情人士透露,苹果应用审查团队增加到了300多人。而这时,苹果应用数量已经增长到200多万。
对于坚持人工审核的App Store来说,这是一项耗时的工程,几百人的审核团队处理着成千上万的可疑软件,审核资源仍会显得十分紧张。
据CNBC报道,苹果每个审查人员每天需要完成50到100款应用软件审核,每款应用软件的审查时间一般只有几分钟。
在苹果App Store上架或更新应用,有40%被拒绝的概率。但如果遇上像素级模仿正版的盗版软件,再加上审核人员审核每款软件的时间有限,还是让很多山寨软件成了漏网之鱼。
王源告诉盒饭财经,中国网民基数大,App数量范畴庞杂,加之网民防范意识不强,这些都是山寨软件在治理中会遇到的困难。更重要的是,App开发成本低、变化快,很多底层技术是开源的。即使被下架,很快就可以“另起炉灶”。
想要真正扮演好山寨软件“守门人”的角色,应用商店还需要解决更多的挑战。