其实很早以前就考虑过这个问题了,我们能否构建一个没有任何监管/审核的自由 Store / Market?(「政治审核」类无论何时我都认为有多远就该滚多远)
其实听起来真的很棒,开发者做出来了好的应用,马上就可以 deliver 到用户那里去,没有任何的限制,也不需要等待。但是我们无法回避的一个问题则是,现实里并没有那么美好 —— 哪怕现在就把中国从地图上抹掉,做二次打包植入恶意代码盈利的也大有人在。
写的软件质量糟糕其实都是小问题,大问题是用户数据的安全。毕竟恶意代码的目的包括但不限于 blackmail、未经授权的转账、窃取用户隐私数据,无论是 iOS 还是 Android,都不可能是没有任何漏洞的。难道我们要把一切都简化为一句
“安装此软件造成的一切后果均由用户自行承担”
我相信我认识的和不认识的绝大多数做技术的人,只要想的话,写一个完全没有任何审核的自由 Store / Market 绝不是难事。无监管或审核的自由 Store / Market,对于开发者来说必然是非常快捷、便利的,但因此带来的对安全的考量就转移到了最终用户身上 ——
我们假设,开发者 A 做了一个很有特色的 X 软件,或者本身就是做了一个 X 软件的美化版 / 增强版之类的,并发布在了某自由 Store / Market 上;随后开发者 B 下载、植入恶意代码、二次打包后也发布了上来(可能还改个名之类的)。这个时候普通人应该如何分辨?
- 靠评论或者下载量?可是评论、下载量必然也是有黑产可以代刷❌
- 靠开发者可信度认证?但那不就是有一定程度的监管了吗❌
- 靠开发者 GPG 公钥签名?拜托,普通人连使用协议都很少有去看的,更别说对于他们而言过于专业的 GPG 签名验证❌
- 靠实名制?有了这个根本就不可能叫自由 Store / Market 了吧❌
- 靠口碑 / 懂这些的朋友?听起来真的很原始,但也许还算可行?
- 靠自己?以后普通人都自己去应用的官网下载,可那样的话,自由 Store / Market 又有什么存在的意义呢?
如果说自由 Store / Market 只是给一小部分人的话,那么现在 iOS 上可以在 Jailbreak 后自行安装,部分 Android 手机 root 后随意安装,部分 Android 本来也就没限制。
对于我们做技术相关的人来说,自己区分是否包含恶意代码还是可行的。然而,程序员以及技术爱好者不过是所有用户中的一部分,剩下很多人完全不懂的,哪天中招下载了包含恶意代码的软件,由此带来的物质 and / or 精神上的损失又该怎么办呢?
