※ 只從軟體市集下載App就安全了嗎?
除了不合理的權限要求之外,惡意軟體還可能違反使用條款,濫用蒐集來的使用者隱私資料(譬如地理位置資訊),這類App雖通常對於使用者無即時性的威脅,卻可能因個資外洩而遭廣告公司濫發廣告訊息等困擾。由於能上架的 App 通常經過人工審核或是自動偵測惡意程式等機制,而惡質軟體也往往會遭下架處分,因此一般建議使用者只從官方軟體市集下載信譽可靠的App,這樣也的確比較安全。
案例之一是曾在 Windows Phone Store 上架的 AVG 防毒軟體,但因平台特性並無法偵測其他軟體,而進一步被踢爆其實僅偵測了手機內相片「檔名」是否與惡意軟體名稱相符,卻又在背景回傳了手機辨識資訊,儘管官方澄清僅在使用者勾選使用位置服務時,才會回傳位置資訊作為尋找遺失裝置之用,但這款不具備聲稱功能的軟體最後還是遭到下架(參考資料)。
反之,若是 Android 使用者打開了應用程式設定中的「未知的來源」來安裝網路上的軟體(APK檔),或是 iOS 使用者並非透過 App Store 而是透過網頁所安裝的軟體(企業版開發者帳號具有此種發佈軟體的功能,但公開散佈並不符合使用條款),這些軟體便略過了市集的監督機制。
例子之一是英國金融時報的中國版網站《FT中文网》,在官網上提供的新版Android手机应用便比 Google Play上的舊版索取更多權限,使用者便需自己小心提防,不可不慎。
※ 防毒軟體僅存於 Android
由於 iOS 與 Windows Phone 對於系統資源的存取限制嚴格,一般 App 無法掃描手機上安裝了哪些軟體、亦無法介入系統隱私權限管理,因此在 iOS 與 Windows Phone 上便只能靠官方軟體市集的人工審核把關,防毒軟體不可能發揮作用,通常也被視為不需要防毒軟體的存在。
至於 Android 所開放的各種權限與自由度遠比另兩平台多,惡意軟體的威脅性也顯然更高,也因此防毒軟體作為 Android 第二線防護還是具有可用性,且防毒軟體也僅在 Android 這一平台上具有實質意義。不過 Google Play 與 Android 4.2 之後已具備一定程度的自動防護功能,因此諸家防毒軟體多半會附加一些補強系統性管理功能,譬如備份還原資料、遠端鎖定或抹除資料、應用程式上鎖或加密等等,當然防毒軟體也會常駐而佔用系統資源,值得與否端看使用者決定囉。
但其實最具威脅性的惡意軟體,往往是利用系統漏洞,在使用者全然不知不覺中奪取隱私權限甚至是手機控制權!因此一般會建議使用者要將作業系統與內建軟體更新到最新版本,不過除了 Android 手機往往受限於手機商而更新修補進度緩慢之外,近年甚至在 Android 平台上發現惡意軟體可能在使用者升級作業系統版本之後,反而得以奪取額外權限!關於這些系統性的漏洞、偵測與修補,請讀者期待下篇分曉。
