硕鼠的博客站

范路的博客主站,时而会发些东西。

Posts Tagged ‘安全’

大家好啊!这里是老范讲故事的YouTube频道。今天我要跟大家讲一讲大会到底说了些什么事情。今天上午,我们还举行了一个很长的记者招待会,讲了很多东西。不管是公告还是今天上午的内容,每个字都认识,但是合在一起具体说了什么呢,又不太好理解,实在是没有那么直白的。所以现在只能出来解读,各种官样文章。真正这个大会的影响应该是后续各个部门会陆续进行详细解读和具体政策落地。可能会在未来的两周之内逐渐有更详细的信息出来。现在我们只能根据这5000字告诉大家都讲了点什么事情。好在不长吧,大家注意啊。现在刚开的二十届三中全会,它是党代会,不是人大会。区别在哪呢?就是党代会后边挂的是党会,人大会后边是国会。党代会一般会讲各种大账方针,我们的整个治理结构是这样:首先党定大账方针定完了以后,需要去立法,人大会去做。然后是政府机构进行这种行政管理,当然是在法治下了。这个咱们也就只能如此说了,这是党代会,所以一定要注意。其实你看美国这个政党,他也是党代会的时候会讲各种大政方针,最后的立法也是要到议院再去立法。那么这5000字字不多嘛,大家要拿着放大镜来看啊,新的时代了。

Read More…

NTalks群音荟是一个汇聚互联网/移动互联网早期创业者的开放式社区,以系列创业者微视频访问,结合定期的线下沙龙和论坛,关注创新与创意,助力早期创业项目的成长;我们寻找和放大真知灼见,以话题荟聚早期创业领域有趣、理性、热情的声音、思考和行动。

第二十七期的活动,主题定位在了移动互联网广告与反广告这个现在非常热的主题上。

未来属于移动互联网。巨大的市场,广阔的前景,与之鲜明对比的是现实不易,赚钱艰难。在付费下载、内置广告和应用内付费三种现有的盈利模式之中,内置广告更易操作门槛更低,成为了广大开发者赖以生存的方式。在移动互联网现有的产业链条上,各种推广渠道向应用开发者收取推广费,应用开发者通过内置广告与各种广告联盟和推广联盟分账,有推广需求的企业或品牌则付费做广告。移动广告成为贯穿这条产业链的核心催化剂和能够让这个产业链看似平稳的运行下去的唯一润滑剂。

就像硬币有正、反两面一样,对移动广告价值的放大,无形中也增加了这种盈利方式的不确定性,带来了诸如用户体验,应用安全等一系列新问题。手机安全厂商在这个时候介入移动广告的运作,恰如一石激起千层浪,让原本就还比较脆弱的产业链产生了更多的变数和不确定。站在维护开发者的利益和行业良好生态的立场上,孰是孰非也许不能轻易论断,然而去了解和思考广告与反广告背后的产品逻辑和价值诉求,无疑会是一件有益于产业生态链健康成长、有益于开发者长远利益的重要话题。

这是一个非常热门的话题,在话题公布之后,就不断的有公司要求作为嘉宾参加这场讨论。最终的结果就是,这场讨论一共有8位嘉宾参与讨论,再加上主持人,前面一共摆放了9把高脚吧台凳。

这些嘉宾分别是:

金山网络技术副总裁——陈勇,360手机安全产品总监——黄礼强,Adsage广告平台技术副总裁——付增学,EOE Android开发者社区CTO——姚尚朗,有米广告副总经理——柯尧,哇棒广告副总经理——冯金辉,安沃传媒副总裁——秦锋,木瓜移动 木瓜联盟/AppFlood 产品总监——陈霄,主持人——机锋网高级副总裁——李鹏。

这其中,金山和360是安全厂商,都推出了各自不同的恶意广告清理服务和产品。Adsage、有米、哇棒、安沃是广告厂商的代表,木瓜是以积分墙为核心业务的,应该算是广告新模式的一个代表。EOE和主持人所来自的机峰网算是开发者社区和Market的代表。这一期活动的嘉宾,囊括了国内移动互联网广告行业相关的方方面面的代表了。

DSC 0007

在会议开始之前,嘉宾们坐在第一排,最左面的是主持人李鹏,正在沉思之中,估计是在考虑待会这帮广告厂商和安全厂商如果打起来了,到底是应该劝架呢,还是应该先溜。 

DSC 0008

 活动正式开始,由于嘉宾人数太多,所以就没办法让每个嘉宾都有机会上来讲ppt了,大家一溜排开,从左到右,分别是主持人李鹏,来自木瓜的陈霄,哇棒的冯金辉,EOE的姚尚朗,有米的柯尧,AdSage的付增学,安沃的秦锋,金山的陈勇,以及来自360的黄礼强。

DSC 0014

首先进行的是,让每一位嘉宾都进行一个简短的自我介绍。从左到右,哇棒在介绍的时候就说了,他们是国内第一家做移动广告的厂商。下图照片中正举着话筒的是EOE的姚尚朗,他在活动中主要是代表开发者在讲话,其中进行了大量的吐槽。比如,他说,为什么广告环境越来越恶劣了呢?因为广告厂商将广告计费不断下调,逼迫聪明的程序员们,不得不做出一些应对的手段。广告单价越来越低,程序员就只能去选择那些愿意给更多钱的广告商,而那些愿意给更多钱的广告商,其广告的品质也就无从保证了,不是一些歪门邪道的东西,也确实是给不出那么高的广告费的。

DSC 0015

轮到有米的何尧时,他表示虽然前面的嘉宾说哇棒是第一家国内从事移动互联网广告的厂商,不过那是不准确的,有米才是真正的第一家在国内做移动互联网广告的厂商。哇棒的嘉宾听了这话,也就是笑了笑,后面没有再单就此事做出更进一步的阐述。

DSC 0017

 金山和360坐在最后,听完了一群广告商和开发者代表的介绍之后,压力山大啊。还好前面所有的广告厂商都表示,安全厂商的反恶意广告的行为,对于他们的业务基本没有什么影响,毕竟没有人愿意站出来叫嚣自己就是做恶意广告的,被安全厂商抓了个正着。

DSC 0023

下图为360的黄礼强。 

DSC 0026

整个会议过程中,一开始是由主持人提出问题,嘉宾们轮流回答。然后再由在场的听众提出问题,嘉宾们抢话筒回答。 

DSC 0028

 会议结束之后,听众们踊跃的上来和嘉宾交流广告和安全相关的问题。

DSC 0032

 嘉宾之间也有不少东西要聊。大家在进入会场之前,还有各种各样的担心,但是经过了一下午的讨论,即使是原来的反金山联盟中的成员,也可以和金山的副总一起探讨问题,大家求同存异,找到共同的利益。

DSC 0033

关于广告和手机安全的问题,嘉宾们进行了充分的讨论。达成了一些共识,也存在着一些意见上的差异。

其中达成共识的地方包括:

  • 通知栏广告极大影响用户体验:

    360和金山都将通知栏广告的恶意指数标注得很高。各大广告厂商也都表示,他们已经或正在逐步的放弃这种广告形式。各大广告厂商已经将广告模式逐步修改成了点击计费方式,而不是按照展示来计费的方式。为了防止开发者作弊,甚至有些广告商还实行了每天不论展示、点击多少次,只计费一次的严酷手段。大型广告商并不期望广告被弹到通知栏里面,然后去骗取用户的一两次误点击操作。

  • 匿名推送,作为比通知栏广告更加霸道的一种广告形式,也一致被安全和广告厂商所摒弃:

    所谓匿名推送,指的就是那种在通知栏上弹出的广告,但是广告上并不标注该广告是由哪一个应用弹出的。

  • 自动安装和下载的形式,这种对于用户体验伤害极大的形式,也受到了所有人的一致鄙视。
  • 无法关闭的对话框广告,被一致抵制:

    这里指的是那种弹出对话框里面的广告,如果不安装一个什么软件或服务,就无法进行关闭。有些通知栏广告,也是无法清除的。此类广告是各大广告厂商从来都不屑于去使用的方式,也是被两家安全厂商所严格禁止的。

  • 一些创新的广告模式,备受追捧:

    新广告模式正在逐步的涌现,这些新模式,比如积分墙广告,比如一些结合应用场景的嵌入式广告,受到广大广告商们的喜爱。积分墙,指的是让用户通过点击广告,然后换取游戏或应用内的一些积分奖励,这种形式的广告多是以行业内应用推荐的形式出现,比如某个游戏推荐了一些其他应用或游戏,如果用户点击安装了其中某个或某些应用游戏,则可以得到该游戏中的一定积分或道具奖励。内嵌式广告,则是指,当用户使用游戏或应用达到某个节点或环节的时候,弹出一个大幅面的、可关闭的动态或静态广告,而不是将广告始终放在边栏上。这两种广告形式,也都得到了安全厂商的认可。

  • 打包党,是整个行业的害群之马:

    打包党是一个非常神奇的团体,他们破解、反编译别人的应用,然后重新打包。在打包的过程中加入大量的垃圾、恶意广告,然后再将这些被打包的应用或游戏,分发到各个不同的渠道中去,从而得到一定的广告收入。这部分人是广告商、安全厂商、开发者,所有人的敌人,是整个产业链的破坏者。这些人在打包的时候,不会考虑广告的展示效果,也不会去考虑用户的体验,所以这些人会直接向应用中打包几十个不同的广告插件,而且会倾向于选择那些付费相对较高的不正规、恶意广告。

除了这些达成了一致的意见之外,还有一些地方,广告厂商、开发者和安全厂商之间是存在分歧的:

  • 边栏广告的处理方式:

    现在广告的主流形式就是边栏广告,在屏幕的一端,放一个广告。这是目前各大广告厂商的主流广告手段。在这一种广告形式上,360是完全放任不管的。广告厂商则提供两种边栏广告,一种是上面有一个叉的,也就是用户可以关闭的,另外一种是上面没有叉的,也就是用户不可以关闭的。金山的做法则是,如果发现了上面没有叉的边栏广告,会自动加一个叉上去,给了用户更多的选择,让用户可以将那些原来无法关闭的广告关闭掉。对于这一点,广告厂商感到非常不满,他们认为,开发者应该有选择的权利,选择是否允许用户关闭边栏广告。虽然他们号称,有叉的广告和没有叉的广告,售价和计费都是一样的,没有差别,但是选择的权利应该在开发者手中,而不是用户手中。然后,广告商还举了一个例子:有些开发者会提供两个版本的应用,一个版本是免费的,上面有一个没有叉的广告栏,另外一个则是没有广告栏的收费版本。不过考虑到国内android市场的支付难度,其实所有应用都是免费的。也就是说,上面那个例子其实是不成立的,用户还是应该有权利关闭一个广告,金山会允许广告弹出,在这个地方并没有什么拦截,只是给了用户另外一个选择,也就是将其关闭。如果用户并不喜欢广告的内容,即使点击了,也是误点击,是达不到广告效果的,让那些不喜欢当前广告的用户将其关闭,减少误点击的概率,对于行业来说应该还是有利的。

  • 是否应该告知用户,哪个应用是有广告的:

    广告厂商认为,并不应该明确告知用户,哪些应用中存在广告。如果告知用户,哪些应用中拥有广告插件,广告厂商认为这种行为涉嫌绑架用户民意。而安全厂商则认为,用户是有知情权的,有权知道哪些应用中带有广告插件。告知用户,肯定会提高那些带有广告插件的应用的卸载率,不过用户作为应用和广告的最终共同消费者,应该还是有知情权的吧。

  • 广告行业的恶性循环:

    这是一个发生在开发者和广告商之间的矛盾,开发者辛辛苦苦的开发了应用,在国内的Android市场由于支付不畅,所以只能使用广告模式来盈利,移动广告由于展示面积、展示形式、展示次数等方面的限制,其转换率相对于互联网广告来说,要低很多。所以广告主在购买移动广告服务的时候,总是显得比较扣扣索索。移动应用的开发者很多并不是公司,而是个人和小团队,有些开发者只顾眼前利益,自己去刷广告点击,使得广告的转换率进一步的降低。广告商每天都在和开发者玩儿猫捉老鼠的游戏,于是广告商在不断调整计费策略,采用各种各样的反作弊手段的同时,也在不断的降低广告的单位计费。广告的单位计费降低了,广告商的防作弊手段提升了,开发者为了得到更多的收益,就只能玩儿道高一尺魔高一丈的游戏,不断的找出新的漏洞,不断的刷下去。于是恶性循环,作弊越厉害,单位广告计费就越低,单位广告计费越低,也就越需要更加高超的作弊手段。

  • 隐私问题是否存在:

    广告商认为,移动互联网的隐私问题是根本不存在的。那些数据早就被人看光了,没有必要再去搞什么隐私保护。这一点上,金山认为,用户在手机中存放了越来越多的隐私信息,不能因为这些信息曾经被窃取过,或其他什么原因,就可以放任那些窃取隐私的行为继续下去。有一家主做海外市场的广告厂商说,国外的android应用市场,会根据应用所请求的权限多少来进行排名,请求的权限越多,排名越靠后。所以他们的插件除了网络传输之外,不需要任何其他权限,也不使用用户的任何数据。国内这一块可能还比较落楼吧。

  • 安全问题是否需要安全厂商介入,还是应该依靠行业自治和政府立法管理:

    有些广告厂商认为,移动互联网的安全问题,不应该是一两家安全厂商就可以制定标准的。应该依靠行业自治,当行业自治无法达到满意结果的时候,最终有权利进行裁判和制定标准的,唯有政府。不过,谁也不希望移动广告市场成为下一个SP市场,而SP市场的消亡就是过度依赖政府管控的结果。

 

经过了一下午的讨论,大家达成了一些共识,保留了一些分歧,但都一致认同,大家能够在一起沟通交流一下,对这个行业中的所有企业,都是非常有帮助的事情。

eoe移动开发者大会(下)——移动安全

eoe移动开发者大会下午,我参与了Android分论坛的活动。

第一位演讲的是金山网络的CTO——徐鸣。他演讲的主题是“什么是移动安全”。

NewImage

作为新加盟金山网络的员工,这是我第一次比较完整的听到金山网络在移动安全方面的声音。

首先,徐鸣先提出了一个问题,那就是移动设备是不是安全的?那些骚扰电话和短信,是手机首先要解决的安全问题吗?传统PC上的那种感染型病毒,是移动设备上的主要安全问题吗?移动设备上到底存不存在安全问题呢?

答案是所有人心里都清楚的,移动安全问题已经非常严重了,已经危害到了移动互联网大环境的健康成长。移动设备上的安全问题,主要来自于智能手机的操作系统和应用,不再是感染型的病毒。

最早接触到病毒这个词,应该是在91年刚上大学的时候,那个时候对于病毒的定义是:没有文件名的程序。每一个程序,都要有一个名字,以方便其他人或应用能够找到它,运行它。病毒则没有文件名,没有名字。病毒将自己贴在其他有名字的程序里面,在其他程序运行的时候,顺带运行,然后再去感染其他程序,以达到传播的目的。

现在,移动设备,特别是手机已经和我们每一个人的生活息息相关了。手机里面存储的大量的隐私信息,我们用手机打电话、发短信、办理银行业务、购物、娱乐。

手机的安全问题要比PC更加严重。PC时代的安全问题,主要是一些程序高手为了显示个人的技术成就而做的一些恶作剧。手机时代的安全问题,背后是有经济利益推动的。现在常见的移动安全问题包括:偷跑用户的流量、影响用户的使用、盗窃用户的隐私,甚至是直接恶意扣费。

现在的手机App,特别是Android下的App,数量庞大、版本繁多、分发渠道混乱。用户很难作出选择,并对应用进行管理。这其中有些应用的质量实在是让人无法恭维,同一个应用,在市面上也流传着各种各样渠道修改过的版本,让人晕头转向。前几天在地铁里面看到几个中学生在玩儿神庙逃生,感觉不错于是就去几个大型的市场里面搜索,结果版本繁多,根本搞不清应该下载哪一个。

当前,手机安全案例曾出不穷。现阶段,手机等移动设备上的主要安全问题,集中在广告和隐私问题上。

徐鸣为大家列举了很多案例。

 

NewImage
以上面这个应用为例,一个星座的应用,却需要获取手机号,并上传到网上。需要获取手机中安装的软件清单,并上传。这个软件使用了客户的1.84M流量。弹出了通知栏广告,却不告知用户这个广告是那个应用弹出的。

这些应用盗窃用户的隐私信息,下图是金山监控到的某软件的广告SDK调用的云端链接就是这个样子的:

NewImage
有些广告会遮蔽应用的操作区,以增加用户误点击的概率,从而提高广告的点击率。

NewImage

NewImage

这款叫做水果对对碰的应用上居然挂接了35个不同厂商的广告插件。这应该就是那种被修改版本了,应用开发者很少有人会丧心病狂的往一个应用中加入这么多的广告插件。一些应用中所嵌套的广告,是应用开发商和广告平台正式签约,然后放进去的。为了得到更高的收益有些应用会选择同时签多个广告平台,最多也就是三四个的样子。但是这种一次性放进去几十个广告插件的应用,通常都是未经开发商允许的修改版本。这种被修改的版本上,会将应用开发厂商所添加的广告去掉,换上其他的一些广告。然后这些版本会在各个博客、贴吧、论坛中流传,有个别不正规的Market也会放这种版本的应用。这种行为在影响了用户体验的同时,也极大的伤害了开发商和广告平台的利益。

 

更有一些恶略的应用,会在应用里面向外发短信,然后再读取用户的短信列表,这些应用能够自动胁迫用户订阅一些收费服务。自动发出服务订阅的短信,自动的接收回复回来的短信,然后再发送确认短信。

很多支付平台现在使用手机作为移动支付的最后确认手段。淘宝和很多网银都会在网上交易的时候,向用户发带有随机数字的验证短信。一些应用可以自动获取这些验证码,然后再去实现一些不可告人的目的。

手机号码、手机的IMEI号、地理位置信息、手机上安装的软件列表、通讯录、通讯记录、短信记录这些都是隐私。现在到底有哪些应用在我们的手机中提取这些信息呢?这些信息被提取,并传输到云端之后,又被拿来做什么用途了呢?这个问题,光是想一想,就让人觉得不寒而栗。

徐鸣还介绍了几个手机安全漏洞方面的案例。

手机安全漏洞,属于那种由于开发者不慎,而存在于操作系统或应用中的安全隐患。这些漏洞如果被发现,并被某些心怀叵测的人所利用,就会造成非常严重的后果。

近些年来比较著名的Android漏洞包括:Root提权漏洞,也就是说一个应用程序能够通过某个漏洞使自己拥有管理员的权限;远程擦除漏洞,用户只要点击一个互联网链接,就可以将手机上的所有信息通通擦除。建行网银应用,则出现过钓鱼漏洞。这些漏洞都会在被发现之后,第一时间由相关的公司或部门修补掉。

金山在移动安全这一块提出的解决方法分为两个步骤:

1、发布手机毒霸产品,帮助用户远离那些恶意软件和带有恶意广告的软件。告知用户,哪些软件调用了用户的哪些隐私信息。手机毒霸能够做的,仅仅是告知,如果用户不喜欢那些恶意软件,可以自己去卸载。

2、提供云安全接口,允许所有的Market、网站、开发者自助使用,在他们相关的环节中,尽量降低用户的安全隐患。

最后,徐鸣提出了倡议:

行业的不规范行为,最终损害的是整个行业的利益。当年的SP行业,非常的红火,就是因为行业没有自律,最终被国家叫停。现在的移动互联网行业也是处在这样的一个阶段,要么进行行业自律,将安全问题始终控制在政府能够容忍的范围之内;要么,就这么愈演愈烈的混乱下去,直到有一天混乱程度超过了政府的忍耐限度,由政府出面来进行整顿。

安全,是为整个行业健康稳定的发展保驾护航的一个重要的领域。这个领域里面,如果是一个公司、一个部门或一个人来进行判定,那么很容易变成美国反恐战争那样的闹剧,他说谁不安全,谁就不安全,这是要不得的。安全的标准必须是公开透明的,所有行业的参与者和相关公司,都应该有权利对安全的标准提出意见和建议。大家也都应该有权利能够使用开放的安全工具,来保障自己的安全。

徐鸣的演讲结束之后,我又听了一两个人的演讲,没有等到会议结束,就提前退场了,去享受我所剩不多的周末欢乐时光。遗憾的是,遇到了帝都的周末大堵车,到家已经很晚了。据说现在帝都正在讨论,要在某些地区,某些时段再次启用单双号,这就是政府管制的结果,希望移动互联网不要因为安全问题而沦落到相同的地步。

 

 

Close Bitnami banner
Bitnami