第三方认证签名是保障应用软件正规化、安全可靠的重要手段。推动移动应用程序第三方认证签名体系的建立也是建设网络可信身份认证制度的一个重要举措

不知不觉间，流量溜走，话费剧增，个人信息被窃取……现实中，不少手机用户都遭遇过恶意应用程序的侵扰，然而一个棘手的现实却是：即使受害，却无从知晓“主谋”是谁。

这个问题不仅困惑着普通消费者，也让监管机构颇为头疼。为此，工信部电信研究院已牵头建立第三方认证签名体系，试图净化移动应用程序市场，并通过为应用程序的开发者颁发经过权威第三方机构认证的签名，来实现开发者的可追溯，以求从源头震慑恶意应用程序的开发者。

工信部电信研究院相关负责人告诉法治周末记者，目前这一体系正在推广中。不过不少业内人士表示，该体系是一个倡导开发者“做好人”的体系，想要让整个移动应用市场形成“大家都要做好人”的氛围，还需要整个生态环境予以支持。

手机软件安全风险频发

国家互联网应急中心的统计结果显示，从2005年到2013年9年间，恶意移动应用样本数量增加了1.4万倍，手机正在成为病毒、恶意移动应用肆虐的新领域。

百度手机卫士产品总监阮龙告诉记者，对于Android平台来说，恶意扣费类软件是其最大的安全威胁，其中共包括游戏、系统工具类、影音图像类三大软件类型。此外还有很多恶意软件伪装成淘宝、微信等热门应用程序流入市场，这类山寨应用的开发门槛极低，也极具欺骗性，也极易对用户的隐私造成威胁。

缘何恶意应用程序层出不穷呢？阮龙表示，这与目前应用商店的安全审核水平密切相关。

“全国有线的应用商店约有200家，其中约有180家没有校验应用程序安全的能力，而这已经成为了恶意应用程序重要的传播路径。”阮龙对记者说。

腾讯手机管家安全专家陆兆华认为，恶意应用程序泛滥还同国内手机APP软件的追溯管理不太规范有关。

“特别在开源的Android系统的应用体系下，程序打包发布的技术门槛已经变得非常低，一些恶意软件病毒在完成打包之后，可以轻松借助论坛、网盘等第三方渠道直接发布传播，这给溯源造成一定的难度。”陆兆华对法治周末记者说。

工信部电信研究院泰尔终端信息安全部主任潘娟也对法治周末记者介绍，在Android平台，应用开发者大多利用其提供的签名工具生成自签名，即是否如实签名取决于开发者，在这种机制下，开发者的签名是不可信的，也难以进行定位和追溯。

由于开发者难以被追溯，恶意应用程序变得更为泛滥。艾瑞咨询集团发布的《2013年中国移动安全数据报告》显示，2013年中国移动安全数据报告平台监测应用软件39.2亿次，其中检测到恶意软件1122万次，其中新增恶意软件69万个，新增恶意软件是2012年的五倍多。

认证签名试图填补监管空白

此前，一些恶意应用程序多通过手机预装被广大用户接触到，这让终端用户不堪其扰。

为了确保手机预装软件的安全性，从2013年11月开始，工信部开始正式实施《关于加强移动智能终端进网管理的通知》(以下简称《通知》)，明确规定手机厂商预装软件必须通过工信部的审核，并不得单方面安装未经用户同意的，会擅自收集、修改用户信息，以及给用户造成流量消耗、费用损失、信息泄露等不良后果的软件。

中兴通讯副总裁谢伟告诉法治周末记者，公司建立有严格的软件应用把控和筛选机制。无论是在出厂前的检测还是自己的软件应用商店，中兴通讯都会对各种软件应用进行严格的检测和筛选。

可以说，只要购买的是正规手机厂商生产的手机，其预装软件都会经过厂商的筛选，再经过工信部的审核，一般可以确保预装环节避免恶意程序的侵扰。不过，从手机出厂到消费者之间的诸多环节仍然存在监管真空。

“手机一旦进入流通环节，很多手机厂商就缺乏了管控能力，有很多恶意应用程序会在经销商处被安装到用户的手机上；即使到达用户手中，用户也可以自行从各种应用商店、论坛下载安装各种应用程序，这些应用的可信性和安全性缺乏保障，出现问题也很难实现开发者的可追溯。”一位手机制造商相关负责人对记者说。

为了整治恶意程序，净化移动应用市场，今年4月工信部联合公安部、国家工商总局联合开展了打击恶意程序专项行动。在专项行动的方案中，就提出要开展应用程序开发者第三方签名认证试点，探索应用程序开发源头管理机制，实现应用程序的防篡改和可溯源。

潘娟对法治周末记者介绍，正是基于上述考虑，从2012年起工信部电信研究院开始着手第三方认证签名体系的研究工作，试图通过该体系的建设推进产业链上的各方以真实身份开展业务，确保应用开发者、发布渠道和检测机构的可溯源。

“第三方认证签名，是保障应用软件正规化、安全可靠的重要手段。”谢伟对法治周末记者说。

一位业内人士对记者指出，推动移动应用程序第三方认证签名体系的建立，也是建设网络可信身份认证制度的一个重要举措。

认证签名应成生态系统

为了提高手机用户的安全性，目前包括腾讯(114.6, 0.20, 0.17%,实时行情)、百度(199.68, -3.67, -1.80%)等应用商店也会给官方正版应用程序加注标识，对一些大的应用程序的开发者也会进行身份审核，试图通过企业自身的力量推动应用程序市场的健康发展。

潘娟对记者介绍，如果第三方认证签名体系能够建立起来，对于应用商店而言，就以通过验签软件来识别认证签名的状态，“这就相当于通过技术手段打通了整个产业链条”。

潘娟介绍说，在打击恶意应用程序专项行动的推动下，现在一些应用商店也都具备了验签功能。

中关村信息安全产业联盟企业移动计算工作组组长王克对建立第三方认证签名体系初衷表示赞同。他对记者表示，要打造这一体系，还需要整个生态环境的有效支持，比如移动终端、应用商店都要布局应用软件验签程序，消费者方能凭借其进行识别某款应用程序是否有可信第三方签名。

“由于牵涉主体非常多，第三方认证签名体系的推广特别需要终端厂商、软件商店以及软件开发者利益绑定，才能达到预期效果。”王克对法治周末记者说。

作为应用程序的开发者，江海沐晖公司创始人王磊也认为，这一体系只有获得终端消费者的认可，养成下载一款应用先去查看其是否具有第三方认证签名的习惯，这样才会有更多的应用开发者有动力去申请认证签名。

此外，王磊还非常关注该认证签名技术同应用程序的适配性，“如果加载了认证签名影响应用程序的打开及响应速度变慢，降低了用户的体验，那么手机开发者将缺乏参与第三方认证签名的积极性。”王磊对法治周末记者说。