Google Play Store 源頭減惡 開發者須多重驗證

Google Play Store 源頭減惡 開發者須多重驗證

Google Play Store 雖然有審查機制,但仍經常被隱藏惡意功能的 apps 上架,增加 Android 裝置用戶遭受入侵或被利用的風險。問題終於有突破口,據知 Google 將由源頭著手,開發者或公司必須通常嚴謹驗證,防止匿名或使用假帳戶提交 apps ,相信會對不懷好意的黑客起到一定阻嚇力。

目錄

一年阻19億惡意軟件上架

多重手法避過審查

真實地址驗證提高阻嚇力

一年阻19億惡意軟件上架

為了防止惡意軟件在 Google Play Store 上架, Google 特別設立 Google Play Protect 功能,藉著人工智能及機器學習技術,自動掃描新提交的 apps 的程式碼,偵測有否隱藏惡意編碼。從 Google 公布的官方數字可見,保護功能有一定成效,單在 2020年 , Google Play Protect 已成功阻止 19 億惡意軟件上架,不過,審查機制始終難以全面阻止入侵,例如早前就有 58 款 Android 家長監控 app 存在監控漏洞、21 款 app 暗藏廣告軟件

多重手法避過審查

黑客之所以能夠繞過 Google Play Protect 審查,手法主要有兩個,其中是將惡意程式碼混淆化(obfuscation),令審查系統無法解讀被混淆後的程式碼有何作用;其次便是在上架後通過更新加入惡意功能,例如 Apple 亦在早前透露有開發者在成功上架後改變 apps 的原有用途,變成販賣毒品、賭博類 apps。這兩種方法都有可能令審查機制失效。而在 Android 系統方面,由於系統允許用戶從第三方下載及安裝 apps,只要用戶堅持安裝,Google 也無法阻止,因此 Android 手機被攻擊的風險一直也較 iOS 高。

真實地址驗證提高阻嚇力

Google 方面最近又更新了開發者的審查機制,目的自然是阻嚇開發者通過 apps 進行惡意行為。在舊機制下,Google 只要求開發者提供電郵及電話號碼作登記,由於兩者都可以開設虛假帳戶,因此即使發現 apps 有惡意功能,之後也難以鎖定開發者本人。新的審查機制則要求開發者提交實體地址,以及須通過電郵及電話核實開發者身份,以免黑客可繼續創造虛假帳戶提交上架要求。另外,開發者亦必須啟用雙重因素驗證(2FA)功能,減少黑客盜用帳戶提交惡意 apps 上架請求的風險,同時亦可杜絕開發者以帳戶被盜用作藉口推搪責任。

詳情:https://bit.ly/3joUKX7