“山寨机”无疑是国内手机行业历史上极为浓墨重彩的一页,同时也是小米等互联网手机品牌当年得以崛起的原因。“山寨”在21世纪的第一个10年已然成为了某种流行文化,因此当移动互联网时代到来、APP成为了新的造富源泉后,山寨APP也就随之而来。由于这类“李鬼”式APP着实坑惨了诸多开发者和用户,因此呼吁应用商店打击山寨APP的声音也从未间断。
日前,据中国信通院泰尔终端实验室发布的消息显示,华为、小米、360三家目前已在应用商店接入了其所开发的APP签名服务系统,并已进行第一轮试点。
据悉,这一由泰尔终端实验室研发的APP签名服务系统,可全面提升APP各环节的可溯源性,并推动解决APP的仿冒问题。截至目前,APP签名服务系统共注册用户583个,发放开发者和分发者认证签名证书291张,累计为33392款APP提供了49345次签名。
事实上,山寨APP之所以会成为一个危害用户体验的现象,关键原因其实在于,无论App Store还是各安卓应用商店的审核团队在面对海量开发者时,都显得有些杯水车薪。而说起苹果App Store的审核团队,则几乎可以用“神秘”二字来形容,一直以来外界并不知道这个团队的领导者是谁,更难以获知这一团队的成员构成。唯一一次苹果方面公布相关消息还是在2009年,是在回应美国FCC时透露App Store的审核团队包括40人,他们每周将处理8500款APP,并且每款APP都会获得两位审核人员的仔细检视。
如果有一款APP叫做“微信”、另一款APP的名字是“徴信”,但两者的简介、宣传图,乃至LOGO都一模一样,想必“中招”的用户势必不少。由于App Store的门槛相对更高,所以也使得安卓端的情况其实更为恶劣,应用商店需要审批的APP数量也更多。这也就意味着审核人员留给每一款APP的时间都不会太长,并且往往也很难精挑细选每一款APP。所以如果山寨APP全方位模仿正版,由于审核人员的精力有限,确实也无法避免有漏网之鱼成功上架。
事实上,审核也并非万能,机器与人工也只能过滤掉大部分问题APP,审核人员同样也不是上知天文下知地理,他们也很难分辨类似的APP到底哪个才是正版?所以也就只能看看APP有没有明显违规罢了。
说一千道一万,应用商店的审核资源有限其实就是导致山寨APP泛滥的直接原因。想要彻底解决山寨APP,就必然需要将应用商店的审核资源进行大幅扩充。
要实现更为严格的审核,最简单粗暴的方式自然是组建庞大的审核团队,但这显然是不经济的,商业公司也很难采用这样的方式。而泰尔终端实验室的APP签名服务系统,则是尝试从技术角度出发来解决这一问题,用机器的力量更好的辅助人工。根据泰尔终端实验室的说法,认证签名标签具有防篡改和可鉴别的特点,将有助于提升开发者自身品牌的认知和认可度。
那么问题就来了,“认证签名标签服务”对解决山寨APP能起到怎样的作用呢?其实就像IMEI码是手机的“身份证”一样,APP同样也有属于自己的唯一标识符。安装包名(Package name)在Android系统中就是判断一个APP的唯一标识,虽然不同的APP可以有同样的名字,但是包名是不能相同的。
比如说,我们三易生活可以自己编译生成一款APP也叫“微信”,但在打包APP时,包名就不能同样叫做“com.tencent.mm”,因为后者是腾讯给微信设计的安装包名。如果我们想让自己编译的“微信”APP也拥有“com.tencent.mm”这个包名,这时候摆在Android系统面前的就是两个看起来一模一样的APP。所以为了避免这样的情况发生,Android还设计了一个叫签名的东西。
正版的微信之所以是正版,原因就在于腾讯在开发时为这款APP写入了属于腾讯的数字证书。而数字证书则是一种权威性的电子文档,是在网络信息传播中证明身份的工具,想要伪造的难度不比再造一个腾讯低。
然而需要注意的是,虽然数字证书本身难以被伪造,但由于数字证书体系本质上是一条信任链,是会出现验证数字证书的一方被欺骗的情况。例如,验证方直接调用证书验证函数来获取验证结果,但却没有对证书信任链进行有效地回溯,这就可能导致错误的信任关系产生。
此次,泰尔终端实验室推出的APP签名服务系统就是为了解决APP的签名问题。只要APP的签名是经得起考验的,APP本身自然也就是可靠的。而想要获得泰尔终端实验室的签名,自然就需要自身的素质过硬,山寨APP想要获得签名的难度可想而知。
当然,这一系统也会有属于自己的烦恼,那就是需要APP开发者自己来申请。对于人力资源更为宝贵的中小团队而言,花费额外的精力申请签名显然是不划算的。毕竟无名之辈做出的APP又有多大概念被山寨呢?可万一APP突然火了、山寨版蜂拥而至,再去申请签名认证就来不及了。
但不管怎么说,保护用户最常用的部分APP不被山寨,其实这就已经足够了。