360 和 QQ 让我开了眼了。以前,我心目中的软件公司都是像微软和宝蓝那样的,即便背地里可能搞些小阴谋啥的,表面上总是温文尔雅、道貌岸然的。哪像现在的 360 和 QQ,活脱脱又一个东升和洪兴,谩骂、造谣已是家常便饭,在用户电脑上动刀动枪已经初露端倪,将来杀人放火估计也是指日可待。怎么形成这种局面的?
客户端好,客户端妙,客户端呱呱叫
当年 Google 推出浏览器工具条以及后来推出输入法的时候,被称为具有战略意义的举措,当时有点不太理解,那么个小玩意,怎么就战略了?现在想来,客户端妙,妙在它几乎具有至高无上的权限。特别是那些人人都需要,长时间运行在用户机器上的小软件,更是妙用无穷——
1)弹窗。装个金山词霸,弹新闻。装个 QQ,弹新闻。我 TM 只想查个单词、聊个天,你给我弹个神马新闻?!但是米有办法,谁让我不愿意花钱呢?也得让人家有条活路不是?于是乎,弹广告,直接获利;弹推广链接,那可比一般的媒体广告不知有效多少倍;弹公告,等于是掌握了话语权——360 和 QQ 的弹窗大战想必大家都见识过了。Office 敢弹窗么?它不敢。正所谓吃人嘴短,免费模式在这一点上可谓占尽便宜。
2)更改客户端设置。默认浏览器、默认搜索引擎之争我们已经习惯了。前一阵总是被 ARP 攻击,于是我装了个 Anti Arp Sniffer,又不舍得花钱,只好容忍它把浏览器主页改成该死的百度。
3)修改其它软件。到了这一步已是病毒行径了,不过只要偷偷摸摸地干或者找个貌似合理的理由就行了。
4)收集用户资料。正所谓硬件有价数据无价。Windows 留后门曾经让人大呼帝国主义亡我之心不死,哪想过一个客户端就是一个后门!客户端总要想些理由开个网络端口,例如需要在线升级啦、需要从网络服务器上获取信息(PR值、词库、用户登录等等)啦,然后背地里上传些自己需要知道的东西。例如这次的 360 扣扣保镖 3 天装机 1 千万的数据,360 自己说过,第三方也有说,不过我不惮以最坏的恶意来揣测,腾讯最相信的还是 QQ 报告的数据。
不能让客户端的权限小些么?
问题是很多软件的强大功能就是建立在系统的灵活性上面的。注入另外一个进程,把 Windows API DrawText() 函数的地址改成自己的某个函数,词典软件需要用这项技术来取词,但是木马同样可以用这项技术来取得密码。Vista 曾经想要限制软件的权限,结果造成好多软件运行不了,用户嫌烦,微软被骂,Vista 没人买。我们宁愿病毒、木马横行,也不愿降低这份灵活性。
自律?
收费软件一般比较自律。因为如果恶行露了馅,人家用户就转向竞争对手的产品了。但是免费软件呢?既然不能直接从用户兜里掏钱,自然就得从其它方面损害一点用户的利益。而且越是成功的、不可替代的软件就越发猖狂一些。这年头,连微软都开始疯狂发送垃圾邮件了,想想像 Google 那样自律的免费模式还真是越发稀有了。
当安全软件开始免费
另外一个重要的制衡就是安全软件。但是,不知怎地,我们就是不愿花钱买软件(没错,我这辈子唯一买过的正版软件是随笔记本硬塞给我的 Win7 家庭版,被我扔垃圾桶里了)。于是,免费安全软件出现了。其中最成功的当属 360。作为安全软件,360 不愿意弹广告,于是它收保护费。就说我装的那个 Anti Arp Sniffer 吧,每次它把浏览器主页改成百度,360 都提示有软件在修改我的主页,但是却没有阻止按钮,只显示个绿色的“允许”字样。这是怎么回事?你懂的。借安全的名义,360 可以阻止客户端的所有“恶行”,用户还会夹道欢迎。如果警察开始自负盈亏,可以想象会是个什么情况——它一定变得跟黑社会无异。黑社会弱小时,向小的商户收保护费;当它壮大时,就开始向更大的商户收保护费。这保护费不一定是真金白银,但是一定让人心疼、胆寒。即便 QQ 以伤敌一千、自损八百的方式灭掉了 360,或者暂时灭掉了 360 的威风,那又怎样呢?单靠一家公司消灭不掉滋生黑社会的土壤。出来混,迟早要还的。