Android应用商店的软件安全性到底如何？

~

俄亥俄州立大学带领的一支研究团队，刚刚在新研究中发现：

成千上万款 Android 应用程序，似乎都包含着不可告人的隐藏后门 —— 表明恶意开发者仍在继续将 Google Play 商店作为攻击目标。

本次研究调查了 15 万款应用程序，其中 2/3 来自谷歌官方的应用商店，另外一些则来自三星、百度等第三方应用商店。

【来自：ohio-state.edu】

来自俄亥俄州立大学、纽约大学、以及亥姆霍兹信息安全中心的研究人员，对 15 万款 Android 应用程序展开了细致且深入的调查。

研究人员指出，在 15 万个 App 中，几乎有 1.3 万个存在后门行为（比如秘密访问密钥和主密码）。

今年早些时候，数十个隐私倡导组织致信谷歌 CEO 桑达尔·皮查伊，以期减少预装在设备上的过时软件。

最后，新研究随机选择了 30 款至少具有百万安装量的应用，发现其中有一款竟然允许远程登录。

遗憾的是，Google Play 商店一直受到此类问题的困扰，且谷歌安全团队经常只能被动地等待威胁公开后，才立即对恶意软件采取行动。

只能说，比网上乱下载的要安全

但是！并不代表绝对安全！！

举一个我最近遇到的事例

前几天安装了一个软件，是从手机自带的应用商店下载的。

安装的当天我并 没有 感觉到什么 异常 ，安全管家 没有报毒 ，软件运行也很流畅， 功能 也 正常运行 。

但是第二天，我的手机就开始收到大量的 垃圾短信&垃圾电话 (当天的骚扰拦截甚至达到了三位数！)

我意识到事情不对劲，赶紧 删掉 了 软件 ，向运营商 申请 了 屏蔽信息和电话 ，才得到解决。

那么我们回头来看看这个软件

提取安装包，检查每一项可执行资源，很快就找到了问题所在

assets文件夹里，套用了一个jar压缩文件。

众所周知，assets文件夹里的所有文件都可以在软件调用时直接被修改后缀 (哪怕是从文本类型更改为视频类型)

而这个文件打开之后是另一个软件

一个软件套用另一个软件的操作很常见，关键取决于套用的软件用途是什么

而这个软件，是用来 更改地区设置 的 (甚至仅提供大陆以外地区的)

那么开发者用这个干了什么？

答案是:用来 登录菠菜网站

我们回头来看主体软件，拆分其dex

在其变量命名等过程中，进行了包括 登录网站，后台读取QQ、微信、微博等操作，甚至禁用了360等杀毒软件的安装

至于登录网站以后进行了什么操作，我们不得而知，但可以肯定的一点是:我的手机号就是从这里被传播的

被登录网站

随后，我将情况反馈给了服务商，并发表了这条评论

综上，应用商店下载的软件安全性也不能得到完全的保证

但至少，不会存在锁机等大型恶意病毒

所以，请禁止软件申请不必要的权限，不要安装来路不明的软件

从安卓应用商店的很多软件评价来看，状况不是很好，那些下载量500万+的应用软件，也可能就是个坑。根本不好用，甚至不能用。还是要靠自己火眼金睛来甄别好的应用和骗人的应用。

另外提一个小问题，有些安卓应用如手机百度8.1版本，甚至强制要求定位权限，否则无法使用。存在一个过分要求权限的问题。

自从手机进入智能时代，病毒和流氓软件就成为了人们预防的主要对象。

Android系统出现后，市场占有率达到了85%之多。且由于其开源以及碎片化的特性，成为了流氓软件的众矢之的。幸运的是，Android将安全作为手机的第一优先级，并使用了沙盒机制和权限控制来限制应用，来预防潜在的流氓行为。但尽管如此，市面上还是存在着大量的流氓软件和病毒

使用官方市场，最简单的法则就是使用Android官方的应用商店—Google Play Store。这里是最接近“0”流氓软件的地方，要注意这里我用的词语是“接近”，因为每天有成千上万个应用被上传到应用市场，而审核机制并不能确保完全过滤掉流氓软件。

国内的大部分手机由于没有Google服务包，也就缺少了Google的官方应用商店，但我们就因此不能避免感染流氓软件了吗？并不是。幸运的是，在 Android设备中，应用程序并不被限制在唯一一个应用商店中发行，一些类似亚马逊Appstore的第三方应用商店也有权限发行应用软件，并且安全性不亚于Google Play Store。

需要注意的是，国内第三方应用商店种类繁多，某些商店中可能会包含一些来源不明的应用，我们要避免使用这些商店中的应用软件。

避免使用未知来源的应用程序

Android的“设置--安全”中，有一个选项叫做“未知来源——允许安装来自Play商店之外的其它来源的应用”。这个选项默认是关闭的，我不建议开启。不知道大家有没有遇到过类似情况，打开某些网站后，会弹出后台下载窗口自动下载应用程序，下载完毕后还会弹出安装窗口。

这样的应用安装包不一定通过正规应用商店的审核，安装后轻则可能会泄露个人信息，重则被盗取银行账户资料，或导致数据丢失和损坏。而“未知来源”这个设置如果被关闭，那么这样的应用就无法被安装到手机当中，也就阻挡了不明应用所带来的伤害。

Android应用商店的软件里边什么样的软件也有，安全性不好说，我都是通过360手机助手来下载安装软件的。

挺好的，不用关心，自动更新

---

韩城市18410475099： 安卓市场的软件安全吗? - ？
骆彩妇炎： 放心吧.那是企业办的.如果是个人办的就不好说了.如果实在放心不过,可以到360软件宝库下载.不过安卓市场的软件,应用,更新都是比较快的.谢谢.

韩城市18410475099： 国内的安卓市场里下的软件会有病毒吗 - ？
骆彩妇炎： 有!我就中过,图标显示是个蓝色的g 看着是谷歌的文件,其实是一个扣费病毒,建议去大得多软件网站下载软件

韩城市18410475099： 谁能给我解释下主流android商店的安全性我怎么知道里面的软件? ？
骆彩妇炎： 不是很靠谱的

韩城市18410475099： 在安卓的软件市场下载的软件安全性咋样,知道的大神说说.？
骆彩妇炎： 还可以吧,一般正规的安、卓、软件市、场,上面的软件都是正版的,比如应用汇就是一款非常不错的软件,这上面的软件都是正版的,而且它还有赔、付计划保、驾护、航呢.

韩城市18410475099： 安卓市场里的软件安不安全?是不是正版的? - ？
骆彩妇炎： 不一定,好多带有广告下载页面可看到有提示,有些还有病毒,

韩城市18410475099： 想请问android系统下比如miuiflyme自己的应用商店里? ？
骆彩妇炎： 一般不会吧 放心使用

韩城市18410475099： 除了google play store,还有哪些安卓应用市场是安全无毒的 - ？
骆彩妇炎： 各大手机论坛的商店都是安全无毒的啊 比如机锋市场啦 MIUI商店(集成在MIUI的rom里 我刷MIUI通常都把他精简了)还有一些手机助手 比如豌豆荚 91手机助手 360手机助手 里面的软件应用商店都是无毒的 不过我从来不用这些东西 都是去论坛下载一些别人改的应用 去广告和升级提示的一些应用 当然 风险相对可能大些 不过 我到现在还没中过什么病毒呢

韩城市18410475099： 安卓市场和安智市场里下载软件安全吗 - ？
骆彩妇炎： 这两个软件上有绿色认证或安全认证的应用都是没问题的 一般也就是热度最高 同类应用中排名最前的

韩城市18410475099： Android app安全性能测试怎么做? - ？
骆彩妇炎： 1、要测试安卓软件的性能,目前有爱内测,它家主要针对android app做测试的平台 2、也是主要从app的安全、软件的功能、app应用bug、软件稳定性等这些方面进行测试的.

韩城市18410475099： 谷歌安卓市场(官方的),里面的app质量怎么样? - ？
骆彩妇炎：全世界的安卓手机,只有从谷歌官方市场下载的软件,才有稳定性和安全性的正版保障.. 谷歌的官方市场,会严格测试软件安全性和稳定性才批准上架.. 而大陆那一堆所谓安卓市场里面所谓的破解版免谷歌版,绝大部分不是官方出品,来历不明,都是些假App或者稳定性存在问题的修改App,装上去不能运行或者打着免费免谷歌的名义,偷偷内置木马和病毒...