歡迎關注“新浪科技”的微信訂閱號：techsina 

文/李歡

來源/盒飯財經（ID：daxiongfan）

本來想註冊“嘀嗒出行”的北京車主王曉琳，最近被一款名叫“滴答順風車”的換皮App給騙了。

今年8月初，她第一次使用“滴答順風車”，被強制收取了9塊9的車主認證費，最後不僅沒有註冊成功，連對方客服電話都沒能打通。

當她將個人遭遇發到黑貓投訴平臺上後，才發現受騙的不止自己一人，更有用戶稱自己被誘導購買了兩年588元的VIP會員。

購買了588元VIP會員的陳鵬表示，“蘋果和各大安卓商城都上架了‘滴答順風車’，從標識和文字以及應用介紹，都碰瓷嘀嗒出行。”

如滴答一類的所謂山寨App，正是通過盜用正版App的圖標和名稱，來侵害用戶權益，從而謀求非法獲利的應用軟件。

山寨App的危害，並不亞於木馬病毒。

北京高勤律師事務所合夥人王源告訴盒飯財經，這些出現在誘導鏈接中的山寨App，與正版App具有高度相似性，一旦下載，容易很隱蔽地違法收集用戶個人信息，尤其是通訊錄和行蹤軌跡等。此外，山寨App也經常頻繁彈窗提示兌獎、扣費等，進而實施金融詐騙。

作爲山寨軟件過濾器的應用商店，儘管近些年來不斷在提高審覈能力，但仍然難以避免其成爲山寨軟件的重災區。

僅去年一整年，蘋果App Store就封殺了6.35萬個盜版App。憑藉封閉生態，安全係數更爲強大的App Store尚且如此，更開放的安卓系統，在海量的山寨軟件面前，面對的無疑是一個更復雜的治理環境。

01

互聯網領域，一直是山寨App氾濫的重災區。

2018年社交電商風起雲湧之際，拼多多成爲捲入“山寨漩渦”的明星公司，身後尾隨了一大批山寨App。它們與拼多多僅一字之差，如“平多多”“品多多”“聚多多”等。在早期運營中，這些真假難辨的名稱，足以迷惑住偏遠地區用戶羣，老齡人口更是受騙的高危人羣。

除了名字，山寨App連經營模式也模仿。比如，一款名叫拼趣多的高仿軟件，試圖模仿社交電商，但設計出的拼團購，單人也能下單，“拼團購”功能形同虛設。

但在用戶活躍度上，拼趣多還是撲棱了兩下。據拼趣多官方資料，自2017年7月9日正式運營以來，平臺已累積接近兩百萬用戶量，月均流水接近500萬。

生命力頑強的高仿App們之所以層出不窮，也與背後技術門檻不高有關。

盒飯財經發現，一些科技公司在知乎上會做廣告宣傳，稱自己有類似於抖音的短視頻App源碼；B站上，更是能直接搜到“仿抖音快手”的各類開發教程。

製作山寨軟件，在黑產市場，早已暗中形成了一條隱祕而穩定的產業鏈。

對於成熟的山寨軟件開發者來說，幾天時間內就可以做出一套前端框架。服務器、源代碼、域名、服務商這些內容的創建，通過網上租賃的方式就可以解決。

像一款蘋果應用商城裏上線的借貸類App，有的黑產從業者報價5500元，能達到1:1級別的複製，但這並不包括後續每月的運營費和其他費用。假如仿冒一些上市公司的軟件，報價甚至高達近三萬元，20天就能完工。

如果想要讓這些仿冒App成功上線蘋果或者安卓的應用商店，只需要在完工後支付相應的費用即可。

在撈錢的套路上，山寨App也想了很多辦法。

比如，一款成本極低的山寨軟件，只是頂着與正版極其相似的名稱和圖標，僅僅通過替換正版軟件的廣告商、收集用戶隱私這兩種方式，就能賺取鉅額的廣告費、竊取用戶數據完成詐騙。

蘋果App Store上甚至專門出現了一類奉行“免費訂閱+訂閱扣費”的詐騙軟件。

比如一款不起眼的“PDF閱讀器”，一度是美區Mac App Store裏下載量最大的App。這類小體量的App誘導性極強，用戶安裝完成後在使用過程中，頁面會彈出一系列欺騙性十足的按鈕，三兩步就能誤導用戶訂閱，當免費試用期過了之後，“訂閱”就開始悄悄地扣費了。

爲了讓更多用戶看見然後訂閱，很多山寨軟件往往還會通過刷下載量和評論的方式來提高曝光率。

今年2月底，軟件開發者凱文 · 阿徹(Kevin Archer)發現，自己開發的“Authenticator-2 Factor App”軟件被一款俄羅斯軟件山寨了，“Authenticator-App”，它的名字與正版十分相似。

這款山寨軟件要求用戶在初次使用時，就得在應用商店進行評價爲其增加軟件熱度。

而且，Authenticator-App同樣採取“訂閱制”，一旦用戶忘記取消訂閱，每週就要支付3.99美元的訂閱費。

02

無數山寨App，暗藏在很多來源不明的鏈接和應用商店裏。每年監管重壓之下，都會對這些危險軟件，進行一波集中清理下架。

但由於很多App的開發技術是開源的，山寨App在網絡空間中，很容易打一槍換一個地方。

這也直接造成安卓應用商店成爲山寨軟件滋生的“沃土”。

王源告訴盒飯財經，因爲安卓系統具有開放性，“山寨”App容易出現在安卓系統的手機中，而監管對違法違規收集個人信息的App進行“點名”“下架”行動中，也主要是針對安卓系統的App。

國家網信辦反詐中心於2022年發佈的數據顯示，4.2萬個仿冒App受到排查打擊，並納入國家涉詐黑樣本庫。

更重要的是，山寨App數量，還會隨着正版軟件的熱度水漲船高。

360公司首席反詐騙專家裴智勇曾介紹，當一款正版App數量超過5000萬時，市場上至少會尾隨700種各式各樣的山寨貨，而低於10萬的App身後也會有二三十個“盜版”跟隨。

在應付猖獗的山寨風險軟件這一點上，蘋果App Store同樣無法做到萬無一失。

2014年8月，上海陸家嘴國際金融資產交易市場股份有限公司（下稱“陸金所”）在日常安全監控中，發現在蘋果應用商店上，暗藏着一款山寨版陸金所官方應用。

這個盜版軟件存在安全隱患，可能會誤導用戶，陸金所要求蘋果下架侵權隱患App，但沒有得到蘋果的正面回應，3個月後，陸金所直接向美國北加州舊金山地區法院遞交了起訴狀。

事實上，蘋果商店中出現虛假山寨軟件並不是新鮮事，比如，曾經出現的《Temple Jump 》《Plant vs. Zombie》，就分別模仿了《Temple Run》《植物大戰殭屍》。

03

想要徹底治理山寨App，目前仍是一道難題。

2022年8月1日起施行的《移動互聯網應用程序信息服務管理規定》中，加強了應用商店的個人信息保護、內容審覈、數據安全責任。

爲了解決安卓系統開放性帶來的App審覈標準不統一難題，隸屬工信部的中國信通院泰爾終端實驗室特意研發了一套“App簽名服務系統”，用於構建統一的App認證簽名體系，從App各個環節中提升可溯源性，並推動解決App的仿冒問題。

截至目前，包括快手、快手極速版、360手機助手、華爲、小米等已紛紛接入了“App簽名服務系統”。

只要軟件的App簽名能經受住考驗，就證明這款App是可靠的。換句話說，App簽名服務系統解決了App的簽名問題，讓正版App獲得一份難以被僞造的數字證書。

想要獲得這張證書並不容易，因此山寨App入門門檻自然被拔高了。

在App Store中，決定一款軟件能否被下載，則是由蘋果一個叫做App Review的團隊決定。

最初，這個審覈團隊只有三名審覈員，負責審查全部的應用。但要知道的是，App Store在2008年剛推出時，僅僅只有500款應用。

2019年左右，據知情人士透露，蘋果應用審查團隊增加到了300多人。而這時，蘋果應用數量已經增長到200多萬。

對於堅持人工審覈的App Store來說，這是一項耗時的工程，幾百人的審覈團隊處理着成千上萬的可疑軟件，審覈資源仍會顯得十分緊張。

據CNBC報道，蘋果每個審查人員每天需要完成50到100款應用軟件審覈，每款應用軟件的審查時間一般只有幾分鐘。

在蘋果App Store上架或更新應用，有40%被拒絕的概率。但如果遇上像素級模仿正版的盜版軟件，再加上審覈人員審覈每款軟件的時間有限，還是讓很多山寨軟件成了漏網之魚。

王源告訴盒飯財經，中國網民基數大，App數量範疇龐雜，加之網民防範意識不強，這些都是山寨軟件在治理中會遇到的困難。更重要的是，App開發成本低、變化快，很多底層技術是開源的。即使被下架，很快就可以“另起爐竈”。

想要真正扮演好山寨軟件“守門人”的角色，應用商店還需要解決更多的挑戰。