Google Play 三不五时出现恶意 App 已不是新闻了,为此 Google 官方做出说明,为开发者与使用者点出恶意 App 是否真的容易出现在 Google Play 这样的开放式平台,以及只透过 Google Play 是否就能维护整个生态系安全的 2 大迷思。
Google Play 如何维护平台安全性?开放式平台真的比较危险?
Google Play 的开放性提供了开发者能够便捷发行、更新的应用程序商店,确实开发者与使用者皆因 Google Play 的便利性而受惠不少。不过 Google 官方强调,开发者与使用者仍需要谨慎面对恶意 App 的潜在风险。
Google 官方进一步说明,手机制造商生产与 Android 系统相容的硬件装置,假如制造商手机本身内建的系统没有通过资安标准检测,或者制造商自行修改 Android 系统程式码,皆有可能导致漏洞产生。而 Android 开放的生态系,其实是让使用者得以从 Google Play 以外的平台下载 App、安装到硬件装置上;当使用者从第三方平台下载使用来路不明的 App,则会增加 Android 装置的风险。
圣星科技创办人卢育圣就谈到,自己开发的工具 App 常遭不肖人士破解,从中加入更多存取权限请求,甚至是病毒码,然后出现在第三方平台提供下载。
Google Play 应用程序与游戏业务发展经理张乐潮则指出,无论是否为开放式平台,恶意攻击依旧存在;并认为在使用者追溯遭受恶意 App 攻击的原因时,并非只有与平台系统有关联,还包括上述提到开放式生态系中的手机制造商、使用者行为等多种因素,都可能是造成恶意 App 入侵的风险。
平台、开发者、使用者如何共同面对层出不穷的资安挑战?
Google Play 所属的开放式生态系同时包括 Google Play 平台、开发者、使用者三方,因此 Google 认为这个生态系的安全性,须从三方共同提升,才能够建构更高强度的安全体验。
就平台而言,Google Play 加强 App 审查、提升机器学习用于强化审查准确度,具有人工审查机制,为开发者制定出相关规范,通过审核才能上架 App,开发者也需要持续提交更新才能符合平台要求。
不只如此,还有 Google Play 安全防护(Google Play Protect)的扫描功能,能从装置与云端 2 种层面保护使用者的安全,不仅提供离线扫描,情况严重时 Google Play Protect 则会远端移除或者停用恶意 App,这也是为何有些 App 从手机里无故不见,其实为了使用安全已先远端移除。
开发者方面,Google Play 也逐步调整资安防护力道,例如要求开发者预先标明当使用者下载 App 后,将会存取哪些功能权限,像是麦克风、相机、通讯录等等;此外,一段时间没有使用某些 App,系统则会取消其存取权限,若有需要则要重新获得使用者允许。
Google 官方也提醒开发者在进行软件开发时,必须慎选第三方单位的软件开发工具,避免不肖人士从中埋下木马程式,将恶意 App 入侵的概率降到最低。
除了资安机制来保护大家,使用者自身的资安意识也需要积极培养。根据 Google 资安调查就发现,许多台湾使用者遭遇个人资料外泄的比例高达 70%,在其他受访的亚洲国家仅低于越南的 78%;当遇到资料外泄警告时,却有 34% 的比例认为是网络诈骗而不愿即时更改密码;此外,有过半使用者的密码设计过于简单,还有 86% 的使用者会将单一密码重复用在多个网站上。
为此 Google Play 也分享“三不口诀”,提醒大家“不下载来路不明的程式”、“不盲目允许 App 的要求”、“不可松懈警觉”,多加确认 Google Play 安全防护状态,切记还要设定两步骤验证。
(首图左起 Google 公关经理苏立、Google Play 应用程序与游戏业务发展经理张乐潮、圣星科技创办人卢育圣;首图来源:Google)
延伸阅读:
- Google Play 防御机制失灵!30 万使用者不幸下载金融木马 App
- Google Play 7 款诈骗恶意软件,又用高额订阅服务来骗钱
- 网络犯罪也爱鱿鱼游戏!下载“鱿鱼”主题桌布 App 会让手机中毒、荷包失血
- 新木马骇客透过 Google Play 赚很大,千万 Android 装置被骇、上千万美元入袋
- Android 用户快删!8 款恶意 App 不仅偷数据还会偷你钱
