Android应用商店的软件安全性到底如何？

俄亥俄州立大学带领的一支研究团队，刚刚在新研究中发现：

成千上万款 Android 应用程序，似乎都包含着不可告人的隐藏后门 —— 表明恶意开发者仍在继续将 Google Play 商店作为攻击目标。

本次研究调查了 15 万款应用程序，其中 2/3 来自谷歌官方的应用商店，另外一些则来自三星、百度等第三方应用商店。

【来自：ohio-state.edu】

来自俄亥俄州立大学、纽约大学、以及亥姆霍兹信息安全中心的研究人员，对 15 万款 Android 应用程序展开了细致且深入的调查。

研究人员指出，在 15 万个 App 中，几乎有 1.3 万个存在后门行为（比如秘密访问密钥和主密码）。

今年早些时候，数十个隐私倡导组织致信谷歌 CEO 桑达尔·皮查伊，以期减少预装在设备上的过时软件。

最后，新研究随机选择了 30 款至少具有百万安装量的应用，发现其中有一款竟然允许远程登录。

遗憾的是，Google Play 商店一直受到此类问题的困扰，且谷歌安全团队经常只能被动地等待威胁公开后，才立即对恶意软件采取行动。

只能说，比网上乱下载的要安全

但是！并不代表绝对安全！！

举一个我最近遇到的事例

前几天安装了一个软件，是从手机自带的应用商店下载的。

安装的当天我并 没有 感觉到什么 异常 ，安全管家 没有报毒 ，软件运行也很流畅， 功能 也 正常运行 。

但是第二天，我的手机就开始收到大量的 垃圾短信&垃圾电话 (当天的骚扰拦截甚至达到了三位数！)

我意识到事情不对劲，赶紧 删掉 了 软件 ，向运营商 申请 了 屏蔽信息和电话 ，才得到解决。

那么我们回头来看看这个软件

提取安装包，检查每一项可执行资源，很快就找到了问题所在

assets文件夹里，套用了一个jar压缩文件。

众所周知，assets文件夹里的所有文件都可以在软件调用时直接被修改后缀 (哪怕是从文本类型更改为视频类型)

而这个文件打开之后是另一个软件

一个软件套用另一个软件的 *** 作很常见，关键取决于套用的软件用途是什么

而这个软件，是用来 更改地区设置 的 (甚至仅提供大陆以外地区的)

那么开发者用这个干了什么？

答案是:用来 登录菠菜网站

我们回头来看主体软件，拆分其dex

在其变量命名等过程中，进行了包括 登录网站，后台读取QQ、微信、微博等 *** 作，甚至禁用了360等杀毒软件的安装

至于登录网站以后进行了什么 *** 作，我们不得而知，但可以肯定的一点是:我的手机号就是从这里被传播的

被登录网站

随后，我将情况反馈给了服务商，并发表了这条评论

综上，应用商店下载的软件安全性也不能得到完全的保证

但至少，不会存在锁机等大型恶意病毒

所以，请禁止软件申请不必要的权限，不要安装来路不明的软件

从安卓应用商店的很多软件评价来看，状况不是很好，那些下载量500万+的应用软件，也可能就是个坑。根本不好用，甚至不能用。还是要靠自己火眼金睛来甄别好的应用和骗人的应用。

另外提一个小问题，有些安卓应用如手机百度8.1版本，甚至强制要求定位权限，否则无法使用。存在一个过分要求权限的问题。

自从手机进入智能时代，病毒和流氓软件就成为了人们预防的主要对象。

Android系统出现后，市场占有率达到了85%之多。且由于其开源以及碎片化的特性，成为了流氓软件的众矢之的。幸运的是，Android将安全作为手机的第一优先级，并使用了沙盒机制和权限控制来限制应用，来预防潜在的流氓行为。但尽管如此，市面上还是存在着大量的流氓软件和病毒

使用官方市场，最简单的法则就是使用Android官方的应用商店—Google Play Store。这里是最接近“0”流氓软件的地方，要注意这里我用的词语是“接近”，因为每天有成千上万个应用被上传到应用市场，而审核机制并不能确保完全过滤掉流氓软件。

国内的大部分手机由于没有Google服务包，也就缺少了Google的官方应用商店，但我们就因此不能避免感染流氓软件了吗？并不是。幸运的是，在 Android设备中，应用程序并不被限制在唯一一个应用商店中发行，一些类似亚马逊Appstore的第三方应用商店也有权限发行应用软件，并且安全性不亚于Google Play Store。

需要注意的是，国内第三方应用商店种类繁多，某些商店中可能会包含一些来源不明的应用，我们要避免使用这些商店中的应用软件。

避免使用未知来源的应用程序

Android的“设置--安全”中，有一个选项叫做“未知来源——允许安装来自Play商店之外的其它来源的应用”。这个选项默认是关闭的，我不建议开启。不知道大家有没有遇到过类似情况，打开某些网站后，会d出后台下载窗口自动下载应用程序，下载完毕后还会d出安装窗口。

这样的应用安装包不一定通过正规应用商店的审核，安装后轻则可能会泄露个人信息，重则被盗取银行账户资料，或导致数据丢失和损坏。而“未知来源”这个设置如果被关闭，那么这样的应用就无法被安装到手机当中，也就阻挡了不明应用所带来的伤害。

Android应用商店的软件里边什么样的软件也有，安全性不好说，我都是通过360手机助手来下载安装软件的。

挺好的，不用关心，自动更新

Android sandbox本质是为了实现不同应用程序之间的互相隔离，而这种隔离策略是通过让不同的应用程序运行于各自己的虚拟机进程中实现的。

沙箱内的应用程序运行于独立的虚拟机进程中，该进程独享应用程序的资源且无法访问系统和其他应用程序的资源。

任何系统无法避免应用程序间共享资源的需求，在Android系统中共享UID是实现资源共享的一种方式。

Android应用程序中要实现UID共享需要满足以下之一：

1 https://developer.android.com/guide/components/fundamentals.html

2 http://blog.csdn.net/ljheee/article/details/53191397

品玩9月9日讯，谷歌宣布正式推出 Android 11 ，Pixel、OnePlus、小米、OPPO或realme手机的用户现在将在未来几天看到更新推送，其他用户将在未来几个月内推出更新。

Android 11 本身没有太大的变化，但有一些有趣的亮点，主要是围绕着消息、 隐私和让你更好地控制所有的智能设备。

在 Android 11中，跨消息应用程序的对话将被移到“通知”部分的专用空间，从而可以轻松地一站式管理对话。您还可以优先安排生活中关键人物的对话，这样您就不会错过任何重要信息。 Bubbles 功能使设备上的多任务处理变得轻而易举。现在，您可以响应重要的对话，而不必在正在执行的 *** 作和消息传递应用程序之间来回切换。

Android 11 现在终于有了一个屏幕录制内置工具，让你可以记录屏幕上发生的事情，使用麦克风、设备或两者的声音。直到现在，你还需要AZ Screen Recorder这样的第三方应用来实现这个功能（而且你仍然需要这些应用来实现更高级的功能，比如直播）。

现在，只需长按电源按钮，即可在一个位置访问所有智能设备。轻按一下即可控制恒温器或智能锁等已连接设备，因此无需打开多个应用程序。 媒体控件已经过重新设计，可以快速切换正在播放媒体的设备，这样就可以将音乐从耳机转移到扬声器，类似于 iOS 的设计。

一次性权限将允许您向单次使用权限授予最敏感的权限：麦克风，摄像头和位置。下次该应用需要访问传感器时，它必须再次询问您的许可。 如果用户有一段时间没有使用设备上安装的应用程序，则可能不希望它继续访问用户的数据。Android 现在将“自动重置”您未使用的应用程序的权限，并相应地通知。用户始终可以在下次使用该应用时决定重新授予该应用权限。

---