Google Play Store到底怎么了？

经常关注BUF早餐铺的同学不难发现，Google Play Store最近事件频发，我们不妨先来回顾一下今年Google Play Store上发生的各种问题：

今年4月，卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同，这款恶意软件不仅会将自己的模块植入目标系统中，而且它还会将恶意代码注入至系统运行时库。

今年6月，Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”，这是一款自动点击型恶意软件，目前已经在Google Play上发现有41款App感染了这种恶意软件。

今年9月，Google还从Play Store下架了近300款涉嫌DDoS的应用，这些应用甚至构建了一个名为 WireX 的僵尸网络。

最令人震撼的可能是本月初，有些用户发现一款WhatsApp的假冒版本公然出现在Google Play Store上，并且已经有100万用户的下载量。

这款应用的名称叫做Update WhatsApp Messenger，开发者尝试伪装成WhatsApp官方，开发者名称叫WhatsApp Inc.。黑客使用了一种神奇的方法伪造了开发者的名称，他在WhatsApp Inc.后面加上了一个Unicode空格，导致真假难辨，黑客真实的ID是：WhatsApp+Inc%C2%A0。这款假冒的应用会隐藏在系统中，然后显示广告，安装其他应用获取收益。

Google做了什么？

屡屡发生安全事件让Google焦头烂额，但在安全性上，Google也不是没有付出了大量心血。

一方面Google在不断完善Android系统的安全性：比如在Android Nougat中，Google改进了系统的加密功能，加固了在之前的版本中屡屡被爆出问题的Mediaserver组件，针对勒索软件、银行木马也限制了相关权限和API的调用；在Android Oreo中，Google引入了新的安全设置中心以及更加严格的 App 安装控制，希望保障用户的设备安全。

另一方面，Google也在提升Google Play Store恶意应用的检测能力。实际上Google Play Store的审核机制原本更加开放，造成的结果就是大量恶意软件、山寨软件层出不穷，无奈之下Google Play在2015年引入了人工审核，对原有审核流程前，添加了人工审核的环节。

今年5月，Google推出Google Play Protect，这个功能被集成到Play Store中，它会扫描你的手机中是否存在恶意软件。

除此之外，上个月底，Google Play Store还启动了漏洞赏金计划保护Android应用，项目的名称为 “Google Play安全奖金”，赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员，赏金会达到1000美元。

白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后，黑客需要把漏洞报告提交到HackerOne。可惜的是漏洞赏金计划并不向所有应用开放，目前加入Google Play Store的漏洞赏金计划的仅有：阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

安全防护等同鸡肋？

这些措施到底能不能保护用户的安全呢？

从结果来看，显然不能。

上个月，德国独立杀毒软件评测机构AV-TEST的测试结果显示，Google Play Protect等同鸡肋。

AV-TEST发现，Google Play Protect只能防御65.8%的新型病毒，更可怕的是对于出现4周的病毒只能防御80%。

相反的是，大部分的专业杀毒软件都可以检测到99%的病毒，因而在测评的有效性评分上，Google Play Protect仅仅获得0分（满分6分）。

安全理念缺陷

事实上，问题频发的不仅是Google旗下的Android应用商店，甚至包括Chrome Web Store，这是Chrome用户下载浏览器插件的“应用商店”。

今年9月，流行Chrome插件User-Agent Switcher被爆出实为木马程序，这款插件的表面功能是使Chrome可以转换为别的浏览器进行访问，方便用户进行测试。

这款插件的用户数超过45万人，1300多名用户对其进行了评价，平均评分4.38颗星。插件就会把你浏览器打开的每个页面的url信息加密发送到某个地址，还会植入广告甚至恶意代码。

无独有偶，今年10月，另一款Chrome插件Adblock Plus被爆出存在假冒版本，作者仅仅通过修改AdBlock的大小写，就堂而皇之地出现在了Web Store中，在插件下架前，超过37,000的用户下载了插件。

这些事件不得不让人怀疑，是不是Google的相关政策出了问题。

同样作为应用商店，苹果的App Store就很少出现问题，更深层次的原因可能是Google与苹果观念的不同。

众所周知，iOS系统具有封闭性，而Android平台相对开放，这样带来的结果就是，Android平台的开发者和应用数量远远大于iOS平台，而前面提到的Google在Android引进的新安全功能、修复的安全问题往往在苹果看来不值一提，因为iOS平台的封闭性，黑客很难有机会真正对漏洞进行利用。

同样的观念也体现在了两个平台的应用商店中。App Store拥有非常严格的审核制度，一款应用在App Store的审核时间往往更久，有的甚至能达到1~2周，而在Google的Play Store，可以缩短到1天。

App Store严格的审核机制带来的坏处是过于“集权”，有些时候应用甚至因为一些离奇的原因遭到下架，但好处也显而易见——为用户提供更安全可信的平台，让用户无需自行甄别应用是否安全。

或许Google和苹果采用的策略各有千秋，但现在Google开放的审核制度显然出现了问题，为用户提供安全可信的应用商店是Google Play应该做的，也是Google的远景之一，要想做到这一点要么就提升Play Protect的可用性，通过技术手段阻挡恶意软件，要么就采取更加严苛的审核制度，提高恶意应用进入市场的门槛。现行的审核机制漏洞百出，审核机制的修改迫在眉睫。

文章转自FreeBuf.COM