如何看待苹果 CEO 库克表示「想要侧载 App 的用户应该去买安卓手机」？ 第1页

Craig 和 Tim 最近在 Sideload 问题疯狂输出显然是因为 Epic 尝试通过欧洲反垄断相关的法规去绕开 App Store 的限制. 然而这个口子就不单只是分成问题, 而是在 iOS 的基础体验上扯开了一个大洞.

传统 PC 的体验就是下载 exe 的 installer, 这种方案到如今已经变成了捆绑安装软件的最爱. 稍有不慎电脑就会变成垃圾软件的全家桶.

得益于最近几年各个商店渠道的发展, 这样一套模式已经构建起不错的体验. 然而重新 sideload 就意味着那些灰色地带的 App 开发商会找到机会.

事实证明 iOS 禁止一般性的 sideload app 不会对用户的体验造成损害, 相反用户可以容易的通过 App Store 找到自己所需的 App, 安装仅限于点一下 Get 或者 Purchase. 如果你有什么 side project 也可以通过 Mac 的 Xcode 从源码进行部署, 虽然会有数量和时间的限制, 但显然风险是可控的.

举一个反例, 就我在 Windows 的游戏体验看, steam/origin/EA/Win Store/Epic/UPlay 带来了混乱的体验, 需要多套账号, 而且很多情况下需要套娃式的启动.(就比如 Steam 的双人成行用的是 Origin 的登录和账号联机系统).

如果在 PS 或 Xbox 上就简单很多, 直接用自带账号就可以 Sign In 了. 顺带 Xbox 版的游戏还能和 PC 共享成就, 最近的 FH5 正好能代表这种体验. Apple 也在尝试通过 Arcade 引入这种跨平台体验.

---

  er-ci-yuan-shao-nian 网友的相关建议: 
      

虽然库克面向的是全球消费者，但我感觉最理解这个痛点的应该是中国大陆的用户。

大家可以看看，中国大陆地区的App Store都是什么牛马App。尤其在游戏区，由于版号问题，所以大量国外的优质游戏只能放弃对中国大陆用户提供服务，于是充斥大众视野的都是一众国产骗钱垃圾游戏。

甚至这催生出了一项产业，就是在网购平台出售外区的Apple ID……只能说一直在忍受阉割版的App Store的大陆用户，真的可以放弃苹果，选择安卓了。或者自己去申请外区的Apple ID。

---

  zhu-wang-xiao-miao-o 网友的相关建议: 
      

首先，侧载APP确实是「网络犯罪分子的好朋友」

其次，国内安卓手机不仅仅只是侧载APP的问题，手机预装APP也有大量的安全问题，甚至直接就是恶意软件

接着，即使是安卓应用市场里的“合规”app，他们又是否遵守Google Play隐私指南的隐私政策呢？以及是否仅在用户接受该政策下才访问隐私敏感信息呢？答案是否定的

因为安卓市场目前并没有一个强制的第三方机构或者政府机关来迫使手机厂商将权限公开透明化，而靠厂商自觉的话，必然会与整个手机供应链中某些企业的利益有所冲突，这就决定了这类违规问题必然还将继续下去。

安卓系统的权限管理，一直以来都算得上是件非常混乱的事情，这一点不仅仅是大量相关研究者看的很清楚，许多该系统的使用者也切实地感受到了安卓手机的一些弊病。

每当拿到一部安卓手机，并且做完初始化操作之后，我做的第一件事情必定是在系统允许下卸载掉大部分的预装应用，这些对我来讲都算得上是劣质应用了，我和它们的关系可以说是基本属于正交。

APP预装，应该算得上是应用软件开发者用来推广的一个重要方式了。通过掏一大笔钱的方式，来让手机厂商在硬件写入或者在系统中植入自己的APP，进而得到大量新注册用户，是APP厂商的一贯做法。然而，这么多的预装应用被打包进固件的过程，对于用户来说基本上算是个黑盒了，即透明度为零。

安卓系统本身极强的开放性，导致其现在拥有了各式各样不同的利益相关者，以及由该系统构成的复杂供应链生态系统。其中，无论是制造商，还是附属于手机厂家的开发者和经销商，都可以任意向系统中添加专有的应用程序以及更高级别的功能，乃至于可以完成一个定制系统的设计与商业化。

那么，在众多各为其主的厂商控制之下的庞大预装软件，是否都是安全且无危害的呢？答案是：否

去年发表在Oakland S&P上发表的一篇文章[1]曾对此做出过相关调研，国内常见的小米、华为、vivo、oppo和魅族等手机厂商均在其研究范围之内。

根据文章的统计数据显示（此分析发生在 2018 年 11 月 19 日），只有9%的预装应用可以在Play Store中被检索到，而74%的非公开应用基本上没有进行过更新，41%的应用在5年乃至更长的一段时间内都没有任何补丁更新，这意味着很多过时的漏洞都可以轻易入侵这些预装软件。

除了被入侵之外，这些软件本身就有可能是恶意软件，来主动入侵用户系统以谋取利益。

例如，手机供应商、分析服务及在线服务声明的许多自定义权限都存在一定的安全隐患，以及易受攻击的模块。

此外，不同安卓厂商手机的权限请求数量差异极大，可以从google的9个核心模块权限数量申请，到三星设备中的100多个权限的所区。此外，作者还举了个例子，com.android.contacts平均权限数量为35个，而在三星、华为、Advan和LG的设备中均申请超过了100这个数字。

除此之外，许多安卓预装应用还存在请求访问签名或某些危险权限的TPL，这使得系统的重要敏感资源更容易被暴露。

最后，作者还通过手工逆向分析来对158个APP做了分析，结果显示如下

首先，在市场上大量的低端安卓设备和部分高端设备中，发现了包括 Triada、Rootnik、SnowFox、Xinyin、Ztorg、Iop 和由 GMobi 开发的可疑软件，它们的恶意行为包括包括银行欺诈、向付费号码发送短信或订阅服务、静默安装其他应用程序、访问链接和展示广告等。

其次，几乎所有允许访问PII的应用都存在手机潜在的个人软硬件用户信息搜集，以及上传功能。

最后，在612 个预安装的应用程序中，作者发现了许多潜在的危险应用程序，根据它们的包和应用程序名称，其可能会实现工程模式或工厂模式功能。此类功能包括相对无害的任务，例如硬件测试，但也包括潜在危险的功能，例如 root 安卓手机设备的能力。

谈到最后，作者也给出了其构想的解决方案，例如，引入并使用全球信任的证书机构签署的证书，建立证书透明库等，以及在预装应用中附带相应的说明文档，方便用户知情。

作者的建议，在我来看主要有两个问题

• 第一、目前并没有一个强制的第三方机构或者政府机关来迫使手机厂商将权限公开透明化，而靠厂商自觉的话，必然会与整个手机供应链中的某些企业的利益有所冲突，ta们是否会在非强迫状态下做出让步呢？我看不太现实，除非消费者用某种手段伤害到了ta们的切身利益。
• 第二、即使手机厂商能够公开透明的向用户展示各个APP的权限运用情况，用户又能否有能力判断其危害程度呢？

首先来看第一个问题，2020的一篇IJCNN^[2]便对安卓apps是否遵守Google Play隐私指南的隐私政策，以及是否仅在用户接受该政策下才访问隐私敏感信息的问题做了调研。

文章的整体方法设计如下：

主要的实验结果如下：

结果显示，在5057个APP当中，仅有5.5%（4.6%+0.9%）的APP是遵循Google Play隐私准则的，其中还有4.6%是不访问任何PSI的app，因此其本身不需要隐私政策。可以看到，道德的呼吁和谴责基本上是无效的。

这些APP是如何窃取用户数据的呢，主要会通过ad library和analytics library。

首先，ad library几乎普遍存在于所有智能手机app中，而且已经开始收集并累积敏感的个人数据。研究表明其主要涉及到位置信息、app使用、设备信息、通信数据如日志、存储访问权限（以及麦克风控制权限等库。

其次，analytics library会主要收集用户的应用内操作，相对于广告库而言，其更有可能泄露用户的隐私信息。2020年的一篇MobileCom^[3]对这类隐私泄露行为做了相关研究与分析。

总体的分析框架如下：

接下里，看看文章的实验结果

首先，分析库会将用户的个人信息泄露给应用开发者吗？答案是：yes

由于开发人员无法获得收集到的信息的原始数据，他们很难对个人用户进行分析。然而，开发人员可以利用这些分析库来直接收集用户的私人数据。例如，Wo Mailbox Version 6.3.0是一个邮箱应用程序，可以帮助用户管理电子邮件。其由中国联通开发，2016年2月活跃用户超过260万。通过分析库，这个应用程序会自动记录用户的电子邮件地址，收件人的电子邮件地址，邮件抄送用户的电子邮件地址等。

其次，分析库会将用户的个人信息泄露给分析公司吗？答案是：yes

由于分析公司拥有收集到的信息的原始数据，与泄露给开发人员的信息相比，泄露给分析公司的信息要严重得多，其导致的安全问题如下：

接着，如果分析公司将从不同应用程序收集的信息链接起来，他们会对用户了解多少？

如果分析公司将从不同应用程序收集的数据链接在一起来分析用户，那么分析库引起的隐私风险就会加剧。分析公司可以轻松完成这项工作，因为他们将设备标识符与用户的应用内操作一起收集。他们知道哪些应用程序安装在同一设备上并由同一用户使用。分析库越流行，它可以获得的信息就越多，那么其对用户的掌握程度将是全方位的。

最后，用户是否知道第三方分析公司收集了他们的应用内部操作？答案是：大部分不知道

通过对分析库的隐私政策进行研究后后，文章发现一些分析公司列出了他们将收集的信息，并要求开发人员在其app隐私政策中显示分析库的使用情况以及分析库收集的信息。然而，在阅读了这些apps的隐私政策后，发现只有少数apps遵循这一规则。因此，大多数用户是不知道他们的应用内操作会被第三方分析库所搜集并分析的。

接下来看看之前谈到的第二个问题，即使手机厂商能够公开透明的向用户展示各个APP的权限运用情况，用户又能否有能力判断其危害程度呢？

答案是：比较困难，很多用户会难以分辨

2021年的一篇USENIX文章^[4]对此做了详细的分析工作，目前，系统在请求权限时提供的信息非常有限，这使得用户很难理解权限的功能，并可能引发相应的风险。

文章表明，只有极少数 (6.1%) 的用户可以从系统提供的信息中准确推断出权限组的范围。 这意味着当前系统提供的权限信息还远远不够。

例如上图中的Android 和 iOS 上的权限请求对话框，在图 1(a) 中，对话框仅显示 Snapchat 请求拨打和管理电话的权限； 但是，其不会通知用户它也将允许应用访问手机状态和 ID（即 IMEI）。 在图 1(b) 中，Twitter 应用程序提供的使用描述仅对位置数据的使用方式进行了模糊的描述，而不是更详尽完整的叙述，像是在糊弄用户。

应用程序开发人员可能有动机不诚实和全面地披露他们对用户数据的全部访问和使用，受害者则是用户，因为，从这些简短的描述中，用户很难全面了解授予这些权限的风险，进而可能会做出极其危险的操作。

当前的移动系统在保护用户的私人信息方面扮演着中立的角色——它们只是提供简单的描述，并允许应用程序解释他们的许可请求意图。由于用户对权限的理解不充分，这很容易导致意外的隐私泄露，许多用户对某些权限组有很多常见的误解，或者说是“不解”，其次，许多 Android用户并不知道权限模型的变化，这更加剧了用户相关决策的危险程度。

参考

1. ^An Analysis of Pre-installed Android Software https://ieeexplore.ieee.org/abstract/document/9152633
2. ^Proc.of the IEEE International Joint Conference on Neural Networks (IJCNN 2020)  https://arxiv.org/pdf/2004.08559.pdf
3. ^Privacy Risk Analysis and Mitigation of Analytics Libraries in the Android Ecosystem https://ieeexplore.ieee.org/document/8660581
4. ^Can Systems Explain Permissions Better? Understanding Users’ Misperceptions under Smartphone Runtime Permission Model https://www.usenix.org/conference/usenixsecurity21/presentation/shen-bingyu