歐盟數位市場法案可能帶來的安全影響

在歐洲《數位市場法案》(DMA) 頒布之前，蘋果的「圍牆花園模式」App Store與其他應用程式商店一樣，並非完美無缺，但其禁止「側載」的做法，相比Google應用商店等更為寬鬆的應用市場，確實顯著提高了安全性。然而，根據歐盟近期頒布的《數位市場法案》，蘋果等所謂的「守門人」公司不太可能繼續執行此類禁令，我們認為這將降低整個行動應用生態系統的安全性。

《數位市場法案》（DMA）於2022年11月1日正式生效，其大部分條款於2023年5月開始實施。然而，2023年9月6日，歐盟委員會指定了六家「守門人」公司，其中包括蘋果和谷歌母公司Alphabet。歐盟委員會明確規定，每家「守門人」公司都必須在被認定後的六個月內達到一系列合規里程碑。因此，自2024年3月6日起，蘋果公司將不再能夠阻止App Store用戶直接或透過第三方服務向最終用戶提供行動應用程式或其他產品或服務。 DMA是數十年來數位「安全」與自由之間矛盾的最新體現。對於以嚴格應用商店管控著稱的蘋果公司而言，DMA對其提供某種安全保障構成了打擊。而對消費者來說，DMA則是喜憂參半：它帶來了更大的選擇自由，但也帶來了更大的潛在風險。本文從為終端消費者建立應用程式的企業的角度，深入探討了 DMA 對應用程式商店競爭和消費者選擇的影響，並為希望在全新的 DMA 強制應用商店生態系統中保護應用程式的企業提供建議。

DMA之前的景觀

在DMA出現之前，行動應用市場的安全格局一直存在分歧，iOS設備的App Store在安全措施方面優於Android應用程式商店。根據我們的2023年威脅報告，Android應用程式更容易遭受未經授權的攻擊。safe 例如，已root的手機或在模擬器上運行的手機等環境。具體來說，76%的Android應用程式是在未root的手機或模擬器上運行的。safe 與 51% 的 iPhone 應用程式相比，Android 應用程式在各種環境下運作的可能性更高。此外，Android 應用程式使用修改後的程式碼運行的可能性是 iPhone 應用程式的四倍以上。

這種差異可能源於多種因素，包括 Android 向第三方授權商開放、第三方製造商數量激增、免費且功能齊全的模擬器的可用性以及側載應用程式的便捷性——這些都與蘋果公司受控的硬體生態系統，以及最重要的，封閉的數位應用市場形成了鮮明對比。

變革的催化劑

歐盟推行直接市場進入（DMA）的動機並非直接出於安全考慮，而是旨在打破科技公司設定的壁壘，促進應用市場競爭。蘋果與Epic Games和Spotify等公司之間圍繞著應用商店政策和費用的糾紛，凸顯了監管幹預的必要性。儘管蘋果無疑提供了一個更安全的生態系統，但實際上也迫使應用程式所有者為所收取的收入（包括應用程式內購買收入）支付佣金，佣金有時甚至高達商品價格的30%。因此，DMA不僅為消費者提供了更多選擇和更激烈的市場競爭，也限制了蘋果等公司利用這項利潤豐厚的收入來源。

另一方面：安全隱患

然而，DMA強制開放數位市場並非沒有安全隱患，可能會無意中為木馬程式（即包含惡意軟體並攻擊其他應用程式的應用程式）以及偽裝成「正版」的克隆應用程式市場鋪平道路。例如，銀行木馬「anatsa」已多次出現在各種安卓應用程式市場，並與全球600多個行動銀行應用程式遭受的攻擊有關。此前，這種現象僅限於安卓設備。未來，它可能會在監管較少的iPhone應用生態系統中找到滋生的土壤。

蘋果的回應與新的安全機制

蘋果對DMA的反駁凸顯了對用戶安全的擔憂，並主張對應用市場民主化採取謹慎態度。蘋果推出了一系列新的安全功能，包括iOS應用程式的公證、對應用程式市場開發者的強制授權以及對替代支付方式的透明揭露。然而，這些措施充其量只能部分緩解第三方應用商店帶來的風險，同時也能確保蘋果公司在應用生態系統控制力減弱的情況下，能夠挽回部分必然遭受的經濟損失。

對為客戶開發應用程式的企業的影響

DMA 有可能為開發應用程式的企業帶來新的風險，尤其是木馬和應用程式克隆風險的增加。為了應對這種情況，企業應該採取更強大的基於應用程式的安全策略，包括整合安全措施——特別是針對特定應用程式的安全措施。 應用加固–進入軟體開發生命週期。

應用加固包括提供一種檢測應用程式是否/何時在未加固的環境下運行的方法。safe 環境以及預防 威脅者 防止修改和重新發布已更改的應用程式。它還包括簽名驗證和程式碼完整性檢查等保護措施，這些措施可以阻止修改後的應用程式被用於攻擊在第三方應用程式商店中無意中發現它們的最終用戶。此外，企業還可以將監控功能整合到其應用程式中，以便在部署後監控應用程式面臨的威脅。最後， 運行時應用程序自我保護（RASP） 機制可以賦予應用程式在非安全環境下自主消除威脅的能力。safe 在日益複雜的市場環境中，應用程式可以在各種環境下運行，或透過修改程式碼來保持其完整性。

結語

DMA 試圖打破「圍牆花園」式的生態系統，以惠及最終消費者。然而，這些努力也伴隨著風險，而這些風險恰恰體現了數位時代自由與安全之間的微妙平衡。隨著該法案重塑應用商店和更廣泛的數位市場的未來，為 iPhone 開發應用程式的企業需要承擔更大的應用程式安全責任。儘管蘋果採取的響應式安全措施為維護用戶安全提供了一個框架，但這些風險仍需要進一步權衡。 safe因此，企業也必須採取全面的保護策略才能成功駕馭這個新時代。這種轉變從根本上要求組織採用更多左移安全策略。如果沒有全面的應用程式加固（包括針對以下情況的保護），企業將無法在新環境下發布 iOS 應用程式： 逆向工程現在，它將比以往任何時候都更加危險。