Czy w Google Play mogą znajdować się złośliwe aplikacje?

28

Czy muszę się martwić złośliwymi aplikacjami w Google Play, czy mogę ufać wszystkim, co instaluję, o ile instaluję je z Google Play?

A jeśli muszę się martwić, jakich czerwonych flag powinienem szukać - liczby pobrań, ocen, ile lat ma aplikacja, jakich uprawnień wymaga?

Czy na poziomie praktycznym powiedziałbyś, że jest tak samo bezpieczny jak Apple App Store?

applications google-play-store security malware sashoalm
źródło
6
Krótko mówiąc: żadna usługa dystrybucji oprogramowania nie jest w 100% bezpieczna. Każda aplikacja powinna być oceniana indywidualnie.
dotVezz
4
Zobacz także: Czy Google Audit wszystkich aplikacji, które wchodzą na rynek? i Czy aplikacje są bezpieczne? Jak mogę zwiększyć bezpieczeństwo mojego Androida?
ale
@dotVezz Thanks. Czy system Android jest tak bezpieczny, jak Apple App Store? Miałem iPada, ostatnio kupiłem Xperię S i zastanawiałem się.
sashoalm
Jak powiedział Izzy: „Nie porównujemy jabłek z brzoskwiniami” (czy coś takiego). Prawdopodobnie w dowolnym momencie w Sklepie Play jest więcej złośliwych aplikacji niż w App Store. Ale to nie czyni ani bardziej niebezpiecznym od drugiego. Obecność złośliwej aplikacji nie podważa bezpieczeństwa systemu dystrybucyjnego. Ostatecznie jesteś odpowiedzialny za zbadanie wszystkiego, co zainstalujesz na swoim urządzeniu.
dotVezz
3
@dotVezz jest technicznie poprawny, ale to dobre pytanie, ponieważ dobrze jest mieć poczucie ryzyka. Na przykład bezpieczniejsze jest instalowanie aplikacji ze Sklepu Play niż przypadkowe .apkznalezione w interwebach. To pytanie może pomóc ludziom zrozumieć, o ile bezpieczniejsze.
Reid

Odpowiedzi:

34

Nie porównujemy jabłek z brzoskwiniami. Ale zawsze dobrze jest uważać na to, co instalujesz. To prawda, że Google Play należy uważać za jedno z najbezpieczniejszych źródeł aplikacji na Androida. Mimo to niektóre złośliwe oprogramowanie pojawia się od czasu do czasu. Dlatego należy nacisnąć zdrowy rozsądek przed naciśnięciem przycisku „Zainstaluj”.

Rzeczy do obejrzenia obejmują (ale nie muszą być ograniczone do):

  • Jakie uprawnienia są wymagane?
    Chociaż nie zawsze łatwo jest podjąć decyzję, istnieją pewne rzeczy, które można zaliczyć do wskaźników - np. Biorąc prostą aplikację kalkulatora, z pewnością nie potrzebuje dostępu do kontaktów, kalendarzy, ustawień systemowych itp.
  • Jak to jest oceniane?
    Nie mówię o „nagich liczbach”, ale sprawdź komentarze. Mogą dać ci przydatne wskazówki, czy można go bezpiecznie zainstalować. Ponadto aplikacja zainstalowana kilka tysięcy razy bez śladów złośliwości w komentarzach powinna być znacznie bezpieczniejsza niż aplikacja bez prawie żadnych instalacji i żadnych komentarzy.
  • Czy powinna to być bardzo popularna aplikacja, ale ma tylko kilka instalacji?
    W większości przypadków jest to wyraźny wskaźnik szkodliwego oprogramowania, kryjącego się za popularną nazwą. Lepiej trzymaj ręce z dala od nich.

Poza tym: jeśli nadal nie masz pewności, wybierz dobre forum i zapytaj. Innym dobrym pomysłem jest sprawdzenie innych aplikacji tego samego programisty (wystarczy kliknąć link w jego nazwie) i zastosować na nich powyższe kryteria.

Izzy
źródło
2
Mamy kilka dobrych „Czy to aplikacja jest złośliwe?” pytania dotyczące ASE już. Myślę, że możemy rozsądnie zachęcać do takich pytań, zamiast kierować użytkowników do innych witryn.
Dan Hulme
Dzięki za podpowiedź, @ DanHulme - nie byłem pewien, czy zachęcić do tego. Czy odpowiednio zaktualizuje moją odpowiedź (neutralizującą;) Lepiej? (jeśli tak, możemy usunąć nasze komentarze;)
Izzy
3
Twoja trzecia uwaga jest tak doskonała, że ​​nie mogłem wystarczająco polecić tej odpowiedzi. Sklep Play jest pełen nieoficjalnych klonów o różnym poziomie iffyness i należy dołożyć wszelkich starań, aby ich uniknąć.
dotVezz
Kolejna ważna wskazówka: jeśli aplikacja ma wiele 5-gwiazdkowych recenzji, przeczytaj je i sprawdź, czy są to wiarygodne recenzje. Obecnie zbyt łatwo jest przeglądać recenzje, a wiele fałszywych aplikacji robi to, aby uzyskać wysoką pozycję w sklepie z zabawkami.
Munim
1
@ Munim to samo dotyczy komentarzy o niskiej ocenie. Oprócz fałszywych („kupionych przez konkurencję”) są też głupie (gdzie użytkownicy nie rozumieli, do czego służy aplikacja lub mieli problemy z pobieraniem z Google Play, które nie mają nic wspólnego z aplikacją). To wszystko razem dotyczyło drugiego punktu: sprawdź komentarze (uwaga: sprawdź, nie licz ;)
Izzy
12

W Google Play mogą znajdować się złośliwe aplikacje. Istnieje jednak wiele rzeczy, które możesz zrobić, aby się zabezpieczyć:

  1. Sprawdź uprawnienia wymagane przez aplikację podczas instalacji. Jeśli wydaje się nadmierne w stosunku do tego, co robi aplikacja, możesz wysłać e-maila do programisty i zapytać, dlaczego potrzebują uprawnień, o które proszą. Większość programistów powinna to zrobić, choć odpowiedź może zająć trochę czasu.
  2. Sprawdź liczbę pobrań i recenzji. Jeśli nie ma wielu pobrań, bądź bardziej ostrożny. Nie oznacza to jednak, że aplikacja jest złośliwa, po prostu musisz sprawdzić więcej samodzielnie. Jeśli ma wiele recenzji z 1-2 gwiazdkami, pewnie też pozostanę czysty.
  3. Jeśli jest to popularna aplikacja (np. Need For Speed, Riptide GP itp.), Która zwykle jest płatną aplikacją, ale znajdziesz bezpłatną wersję, bądź bardzo ostrożny. Popularną taktyką autorów szkodliwego oprogramowania jest udawanie popularnych aplikacji, ale w rzeczywistości instalują one złośliwe oprogramowanie na twoim urządzeniu.

Zasadniczo musisz stosować zdrowy rozsądek. W razie wątpliwości nie instaluj aplikacji. Google ma system o nazwie Bouncer, który skanuje wszystkie aplikacje przesłane do Sklepu Play, który zmniejszył liczbę złośliwych aplikacji, ale nie jest w 100% gwarantowany.

bmdixon
źródło
1
Uwielbiam trzecią kwestię, ale uważam, że użyte przykłady są nieco mylące. Ważne jest, aby pamiętać, że Angry Birds jest oficjalnie bezpłatny w Sklepie Play. Nie wspominając o tym, że PvZ2 objął darmowy model.
dotVezz
1
Słuszna uwaga. Przykłady zastąpiłem aplikacjami, które zwykle nie są bezpłatne.
bmdixon
@bmdixon Możesz także sprawdzić nazwę dostawcy, aby sprawdzić, czy jest taka sama jak nazwa oficjalnej aplikacji.
sashoalm
6

Każdy, kto ma jakiekolwiek doświadczenie w programowaniu i pracy z aplikacjami na Androida i iOS, może powiedzieć, że w Sklepie Play są z pewnością złośliwe aplikacje. Oto oferta:

Aby opublikować aplikację w sklepie Apple App Store, musisz przesłać ją do Apple w celu sprawdzenia. Aha, musisz też płacić im 99 USD rocznie i przeskakiwać przez inne obręcze. Tak czy inaczej, Apple przegląda kod aplikacji wiersz po wierszu (a przynajmniej tak twierdzą) i sprawdza, czy nie ma złośliwego kodu. Jak wielu deweloperów może ci powiedzieć, nietrudno jest odrzucić aplikację i nierzadko trzeba ją przesłać ponownie. W rezultacie Apple App Store jest tak bezpieczny, jak to tylko możliwe. Nie jest idealny, ale jeśli chodzi o bezpieczeństwo, nie jest już znacznie bezpieczniejszy.

Teraz, jeśli opracuję aplikację na Androida, mogę po prostu przesłać ją do Sklepu Play. Będę musiał utworzyć konto programisty, ale to wszystko, co muszę zrobić. Jeśli moja aplikacja zawiera znane wirusy lub złośliwe oprogramowanie, Google w końcu ją złapie i usunie ze sklepu z aplikacjami.

Ważną rzeczą do zapamiętania na temat Androida jest to, że tak naprawdę jest bliżej systemu Windows, ponieważ możesz łatwo zepsuć i pobrać aplikację lub aplikacje, które mogą ukraść Twoje dane osobowe, spowolnić system z powodu złego projektu lub reklam i wszelkich liczba innych rzeczy. Moją najlepszą radą jest zwrócenie szczególnej uwagi na uprawnienia aplikacji, aw razie wątpliwości po prostu nie instaluj jej. Ponadto, nawet jeśli zazwyczaj nie czytasz recenzji na urządzeniach z iOS, polecam przynajmniej przejrzeć recenzje mniej znanych aplikacji na Androida, które rozważasz zainstalować. Dość szybko dowiesz się, czy aplikacja powoduje problemy innych użytkowników ze swoimi urządzeniami.

Z tego powodu nie polecałbym po prostu bezkrytycznego pobierania każdej aplikacji, która wygląda interesująco na Androida. Naprawdę powinieneś być wystarczająco bystry, aby zwracać uwagę i chronić siebie. Oprócz programowania pracowałem także przez kilka lat w branży mobilnej i mogę powiedzieć, że nienawidziłem patrzeć, jak starsi użytkownicy dostają Androidy, bo skończyło im się tak dużo bzdur na telefonie, a potem zastanawiałem się, dlaczego to nie działało tak jak chcieli. Jeśli to ty, to może powinieneś iść z Apple. Jeśli nie masz nic przeciwko zwracaniu uwagi na to, co robisz, system Android potraktuje Cię bardzo dobrze! Mam nadzieję że to pomoże.

Deresz
źródło
3
A co z uprawnieniami? Chciałem zainstalować aplikację Sudoku, a najlepsza aplikacja w Google Play wymaga, między innymi, dostępu do mojego „połączenia sieciowego”, „połączeń telefonicznych” i „narzędzi systemowych”. Ta aplikacja ma 100 000 pobrań, więc musi być legalna, ale jeśli legalne aplikacje chcą tych uprawnień, jak odróżnić wirusy?
sashoalm
3
Apple nie sprawdza kodu źródłowego, zobacz stackoverflow.com/a/3188649/492336, aby uzyskać więcej informacji o tym, jak działa ich proces sprawdzania.
sashoalm
4
Zgadza się. Odpowiedź Roana zawiera sporo błędów: Apple nie może sprawdzić kodu źródłowego (jak powinny, przesyłasz tylko aplikację binarną), a także musisz uiścić opłatę, aby uzyskać konto programisty Androida. Sklep Play ma automatyczne kontrole złośliwego oprogramowania, które mogą być tak samo sprawdzeniem bezpieczeństwa, jak proces Apple (testy na ludziach będą musiały skupić się na wyglądzie i działaniu, ponieważ możesz łatwo stworzyć aplikację, która zachowuje się normalnie podczas przeglądu ...).
florian h
5

Jest możliwe, że złośliwa aplikacja stanie się za jej pośrednictwem dostępna. To samo można powiedzieć o każdym innym systemie dystrybucji oprogramowania. App Store nie jest również odporny na podstępne deweloperów.

Nigdy nie zakładaj, że jakikolwiek dystrybutor oprogramowania oferuje oprogramowanie w 100% bezpieczne . Bez względu na to, czy korzystasz z systemu Windows, OSX, iOS, Android, Linux, Unix, FreeBSD lub dowolnego systemu operacyjnego, jedyną osobą, która powinna być odpowiedzialna za twoje bezpieczeństwo, jesteś ty sam .

Podczas instalowania oprogramowania upewnij się, że ufasz dostawcy i samej aplikacji , niezależnie od tego, jak bardzo ufasz dostawcy . Jeśli ufasz Rovio, Angry Birds będzie tak samo bezpieczne na iOS, jak na Androidzie lub na dowolnej innej platformie, na której jest dostępny.

dotVezz
źródło
1
Ta rada jest trudna do operacjonalizacji. Jak zamierzasz ocenić dane .apk pod próżnią ? Kanał dystrybucji jest częścią oceny ryzyka. Ignorowanie go, ponieważ nie daje 100% pewności, jest niepotrzebnie pedantyczne i mało przydatne.
Reid