Google Play Store到底怎么了？

經常關注BUF早餐鋪的同學不難發現，Google Play Store最近事件頻發，我們不妨先來回顧一下今年Google Play Store上發生的各種問題：

今年4月，卡巴斯基發現一款新型惡意軟件通過Google Play應用商店進行傳播。與其他root型惡意軟件不同，這款惡意軟件不僅會將自己的模塊植入目標系統中，而且它還會將惡意代碼注入至系統運行時庫。

今年6月，Check Point的安全研究專家在Google Play中發現了一種大規模惡意軟件活動。這款惡意軟件名叫“Judy”，這是一款自動點擊型惡意軟件，目前已經在Google Play上發現有41款App感染了這種惡意軟件。

今年9月，Google還從Play Store下架了近300款涉嫌DDoS的應用，這些應用甚至構建了一個名為 WireX 的僵尸網絡。

最令人震驚的可能是本月初，有些用戶發現一款WhatsApp的假冒版本公然出現在Google Play Store上，并且已經有100萬用戶的下載量。

這款應用的名稱叫做Update WhatsApp Messenger，開發者嘗試偽裝成WhatsApp官方，開發者名稱叫WhatsApp Inc.。黑客使用了一種神奇的方法偽造了開發者的名稱，他在WhatsApp Inc.后面加上了一個Unicode空格，導致真假難辨，黑客真實的ID是：WhatsApp+Inc%C2%A0。這款假冒的應用會隱藏在系統中，然后顯示廣告，安裝其他應用獲取收益。

Google做了什么？

屢屢發生安全事件讓Google焦頭爛額，但在安全性上，Google也不是沒有付出了大量心血。

一方面Google在不斷完善Android系統的安全性：比如在Android Nougat中，Google改進了系統的加密功能，加固了在之前的版本中反復被爆出問題的Mediaserver組件，針對勒索軟件、銀行木馬也限制了相關權限和API的調用；在Android Oreo中，Google引入了新的安全設置中心以及更加嚴格的 App 安裝控制，希望保障用戶的設備安全。

另一方面，Google也在提升Google Play Store惡意應用的檢測能力。實際上Google Play Store的審核機制原本更加開放，造成的結果就是大量惡意軟件、山寨軟件層出不窮，無奈之下Google Play在2015年引入了人工審核，對原有審核流程前，添加了人工審核的環節。

今年5月，Google推出Google Play Protect，這個功能被集成到Play Store中，它會掃描你的手機中是否存在惡意軟件。

除此之外，上個月底，Google Play Store還啟動了漏洞賞金計劃保護Android應用，項目的名稱為 “Google Play安全獎金”，賞金會發放給那些直接與Android開發者合作找出并修復漏洞的安全研究人員，賞金會達到1000美元。

白帽子首先需要把發現的漏洞直接匯報給應用開發者。漏洞修復后，黑客需要把漏洞報告提交到HackerOne。可惜的是漏洞賞金計劃并不向所有應用開放，目前加入Google Play Store的漏洞賞金計劃的僅有：阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

安全防護等同雞肋？

這些措施到底能不能保護用戶的安全呢？

從結果來看，顯然不能。

上個月，德國獨立殺毒軟件評測機構AV-TEST的測試結果顯示，Google Play Protect等同雞肋。

AV-TEST發現，Google Play Protect只能防御65.8%的新型病毒，更可怕的是對于出現4周的病毒只能防御80%。

相反的是，大部分的專業殺毒軟件都可以檢測到99%的病毒，因而在測評的有效性評分上，Google Play Protect得分為0（滿分6分）。

安全理念缺陷

事實上，問題頻發的不僅是Google旗下的Android應用商店，甚至包括Chrome Web Store，這是Chrome用戶下載瀏覽器插件的“應用商店”。

今年9月，流行Chrome插件User-Agent Switcher被爆出實為木馬程序，這款插件的表面功能是使Chrome可以轉換為別的瀏覽器進行訪問，方便用戶進行測試。

這款插件的用戶數超過45萬人，1300多名用戶對其進行了評價，平均評分4.38顆星。插件就會把你瀏覽器打開的每個頁面的url信息加密發送到某個地址，還會植入廣告甚至惡意代碼。

無獨有偶，今年10月，另一款Chrome插件Adblock Plus被爆出存在假冒版本，作者僅僅通過修改AdBlock的大小寫，就堂而皇之地出現在了Web Store中，在插件下架前，超過37,000的用戶下載了插件。

這些事件不得不讓人懷疑，是不是Google的相關政策出了問題。

同樣作為應用商店，蘋果的App Store就很少出現問題，更深層次的原因可能是Google與蘋果觀念的不同。

眾所周知，iOS系統具有封閉性，而Android平臺相對開放，這樣帶來的結果就是，Android平臺的開發者和應用數量遠遠大于iOS平臺，而前面提到的Google在Android引進的新安全功能、修復的安全問題往往在蘋果看來不值一提，因為iOS平臺的封閉性，黑客很難有機會真正對漏洞進行利用。

同樣的觀念也體現在了兩個平臺的應用商店中。App Store擁有非常嚴格的審核制度，一款應用在App Store的審核時間往往更久，有的甚至能達到1~2周，而在Google的Play Store，可以縮短到1天。

App Store嚴格的審核機制帶來的壞處是過于“集權”，有些時候應用甚至因為一些離奇的原因遭到下架，但好處也顯而易見——為用戶提供更安全可信的平臺，讓用戶無需自行甄別應用是否安全。

或許Google和蘋果采用的策略各有千秋，但現在Google開放的審核制度顯然出現了問題，為用戶提供安全可信的應用商店是Google Play應該做的，也是Google的遠景之一，要想做到這一點要么就提升Play Protect的可用性，通過技術手段阻擋惡意軟件，要么就采取更加嚴苛的審核制度，提高惡意應用進入市場的門檻。現行的審核機制漏洞百出，審核機制的修改迫在眉睫。