共计 1491 个字符,预计需要花费 4 分钟才能阅读完成。
今年以来,一家名为 PCSL 的评测机构连续发布四份报告,内容包括 Win10 安全软件兼容性测试、手机安全软件病毒检测率测试、“暗云”木马专项测试和“黑狐”木马专项测试。不过根据知乎爆料,PCSL 其实是专为腾讯服务的“御用枪手”。
作为一家商业公司,PCSL 测试报告均由厂商付费定制。与国外评测中经常灰头土脸不同的是,腾讯产品在 PCSL 四份报告中都获得了有利的结果,腾讯官网也在利用 PCSL 测试报告进行产品宣传。向 PCSL 付费定制报告的幕后金主已是昭然若揭了。
腾讯在其官网宣传中称,PCSL 是“国内专业从事计算机反病毒软硬件测试的独立第三方咨询机构”,特别强调了“独立”和“第三方”。究竟 PCSL 是何方神圣,PCSL 的测试结论又是否真的靠谱呢?
PCSL 是一家怎样的机构?
引用《真假权威! 说说安全软件评测和认证那点儿事》(http://www.ithome.com/html/it/137942.htm)的报道,PCSL 于 2008 年 3 月成立于北京。2011 年 6 月搬至浙江省嘉兴市,PCSL 品牌正式转由嘉兴市辰翔信息科技有限公司持有并成为该公司主要 IT 产品测试咨询品牌之一。
PCSL 目前约有五、六个员工,全部是本土招聘,没有专业安全企业背景。与 AV- C 和 AV-TEST 定期发布固定项目的测评报告不同,PCSL 也没有固定时间发布报告,测试项目更没有统一规划,也算是企业给钱就出报告的这种。用业内的话说,PCSL 基本就是安全评测机构里的“乡镇企业”。
以腾讯定制的报告为例,按行情估算每份报告大约要给 PCSL 付费 2 万美元左右,然后就可以作为“独立”“第三方”测试报告,也算是花小钱办大事。
PCSL 的测试靠谱吗?
引用 PCSL 的木马专项测试报告内容,其测试方法是首先关闭安全软件的防护功能,在系统中运行木马后再打开安全软件扫描。PCSL 独创了一套杀毒软件的测试方法,专门为腾讯定制报告服务。这样的测试方法并不合理,还给参测厂商玩猫腻留足了操作空间。
第一,安全软件最重要的作用是预防木马病毒,如果等中毒之后再查杀,损失往往已经造成。PCSL 测试刻意关闭了卡巴斯基、NOD32 和 360 杀毒的防护功能,而这三款软件的主动防御、启发式引擎实时监控和沙箱等防护能力远远优于腾讯电脑管家。PCSL 的测试方法就相当于让布冯、诺伊尔、德赫亚这些优秀的门将和区楚良一起比踢远,其实是舍本逐末的做法。
第二,如果关闭安全防护让木马运行起来,木马可以加载驱动来针对性地破坏安全软件。木马有了系统高权限,它想废掉哪个特定版本的安全软件都不是太难的事儿。这种情况需要安全软件以防为主,事后查杀只能靠更新升级和木马做攻防。那么,PCSL 使用的木马样本究竟有没有专门针对腾讯以外的其他软件做些手脚? 只有 PCSL 和定制报告的腾讯知道真相了。
不过 PCSL 也颇有些自知之明,在为腾讯定制的这四份测试报告中,PCSL 的免责声明比测试报告内容还要多。在免责声明中 PCSL 写到:“辰翔科技 (PCSL 的商业主体) 不担保内容的绝对准确性和完整性,读者不应单独依靠本报告而取代个人独立判断”。
作为评测机构,为厂商测试改进产品是合理的商业模式。AV- C 和 AV-Test 等国外评测都会收费,但其测试项目是统一明确的、测试样本由评测机构独立采集、测试结论不受参测厂商左右,而且完全透明公开。也正因如此,全世界主流杀毒软件厂商都会主动参加 AV- C 和 AV-Test 的评测。
而对 PCSL 来说,收一家厂商钱来定制报告,其他家则是“被参加”测试,想打谁就打谁,完全沦为腾讯御用枪手,这样的模式纵使能养家糊口一时,却失去了最宝贵的独立性和专业性,这样的歪路又能走多远呢?