安全不了的 Android，想不明白的 Google

　　首先，Google Play 的審核機(jī)制可以說是漏洞百出。在應(yīng)用上架 Google Play 前的過程中，安全測(cè)試成了擺設(shè)，自動(dòng)檢測(cè)算法根本沒起作用，人工審核就像個(gè)宣傳稱號(hào)——據(jù)賽門鐵克表示，這些應(yīng)用根本不能提供正常功能，所以人工審了什么?

　　其次，在上架及用戶安裝后 Google 宣傳的防護(hù)也沒起作用?；跈C(jī)器學(xué)習(xí)技術(shù)識(shí)別流氓軟件的 Google Play Protect，據(jù)稱每天會(huì)掃描數(shù)十億應(yīng)用，一樣被繞過了。

　　最讓人無(wú)法接受的是，這些體系還是被繞過兩次，而第二次僅僅是通過改名就饒過了。這難免不讓人聯(lián)想到 Google Play 的安全流程中是不是沒有“總結(jié)經(jīng)驗(yàn)”這一行為，所謂的機(jī)器學(xué)習(xí)是不是學(xué)和做分開了。

　　而相對(duì)系統(tǒng)漏洞來說，惡意應(yīng)用要讓用戶更加不適一些。畢竟大多數(shù)人的設(shè)備被蓄意利用漏洞攻擊的可能性近乎為 0，但是裝錯(cuò)個(gè)應(yīng)用就直接中招了。

　　應(yīng)用

　　提到惡意應(yīng)用，很多人自然而然的就會(huì)聯(lián)想到流氓應(yīng)用，然后就會(huì)想到“全家桶”，進(jìn)而就會(huì)想到 Google 這幾年更新了幾個(gè)管理措施，更進(jìn)一步還會(huì)想到為什么還壓制不住他們。

　　其實(shí)，這事還得怨 Google，因?yàn)?Google 一直沒想明白問題重點(diǎn)。

　　以 Android 8.0 為例，Google 雖然推出了一個(gè)后臺(tái)控制特性，但是這個(gè)特性如果想完全正常使用有一個(gè)前提條件，應(yīng)用程序的封包 SDK 要達(dá)到 API 26(一個(gè)不面向用戶的開發(fā)設(shè)定，和 Android 版本同步更新，目前正式版最高?API 27，Android P 是 API 28)，直白點(diǎn)說就是應(yīng)用是針對(duì) Android 8.0 開發(fā)的。如果應(yīng)用沒這么做，那么結(jié)果就是新特性最多只能發(fā)揮一小部分作用，但并不會(huì)影響 App 的正常使用和濫用。

　　所以，控制權(quán)在應(yīng)用開發(fā)者手里。如果他們認(rèn)為 Android 新機(jī)制非常棒，應(yīng)該遵守，那就上新的 API。而如果產(chǎn)品部、推送服務(wù)商覺得組成全家桶賣相好，那么就保持原樣。

　　PingWest 品玩測(cè)試了幾個(gè) Google Play 中的應(yīng)用后發(fā)現(xiàn)，其中最低的居然可以低到 API 18，甚至 Google 自家的某些應(yīng)用也還停留在 API 24。而在 Google Play 之外，騰訊新推的 TIM，現(xiàn)在還在用 Android 4.0.3 時(shí)期的 API 15 玩的不亦樂乎。

　　可見，在這種近乎君子協(xié)議的前提下，想指望廠商跟上腳步、自我約束，這在短期內(nèi)無(wú)異于癡人說夢(mèng)。

　　至于這種情況什么時(shí)候能更進(jìn)一步的改善，還要看 Google 什么時(shí)候想明白強(qiáng)權(quán)的重要性。