Google Play Store 雖然有審查機制,但仍經常被隱藏惡意功能的 apps 上架,增加 Android 裝置用戶遭受入侵或被利用的風險。問題終於有突破口,據知 Google 將由源頭著手,開發者或公司必須通常嚴謹驗證,防止匿名或使用假帳戶提交 apps ,相信會對不懷好意的黑客起到一定阻嚇力。
目錄
一年阻19億惡意軟件上架
為了防止惡意軟件在 Google Play Store 上架, Google 特別設立 Google Play Protect 功能,藉著人工智能及機器學習技術,自動掃描新提交的 apps 的程式碼,偵測有否隱藏惡意編碼。從 Google 公布的官方數字可見,保護功能有一定成效,單在 2020年 , Google Play Protect 已成功阻止 19 億惡意軟件上架,不過,審查機制始終難以全面阻止入侵,例如早前就有 58 款 Android 家長監控 app 存在監控漏洞、21 款 app 暗藏廣告軟件。
多重手法避過審查
黑客之所以能夠繞過 Google Play Protect 審查,手法主要有兩個,其中是將惡意程式碼混淆化(obfuscation),令審查系統無法解讀被混淆後的程式碼有何作用;其次便是在上架後通過更新加入惡意功能,例如 Apple 亦在早前透露有開發者在成功上架後改變 apps 的原有用途,變成販賣毒品、賭博類 apps。這兩種方法都有可能令審查機制失效。而在 Android 系統方面,由於系統允許用戶從第三方下載及安裝 apps,只要用戶堅持安裝,Google 也無法阻止,因此 Android 手機被攻擊的風險一直也較 iOS 高。
真實地址驗證提高阻嚇力
Google 方面最近又更新了開發者的審查機制,目的自然是阻嚇開發者通過 apps 進行惡意行為。在舊機制下,Google 只要求開發者提供電郵及電話號碼作登記,由於兩者都可以開設虛假帳戶,因此即使發現 apps 有惡意功能,之後也難以鎖定開發者本人。新的審查機制則要求開發者提交實體地址,以及須通過電郵及電話核實開發者身份,以免黑客可繼續創造虛假帳戶提交上架要求。另外,開發者亦必須啟用雙重因素驗證(2FA)功能,減少黑客盜用帳戶提交惡意 apps 上架請求的風險,同時亦可杜絕開發者以帳戶被盜用作藉口推搪責任。