Google Play 三不五時出現惡意 App 已不是新聞了,為此 Google 官方做出說明,為開發者與使用者點出惡意 App 是否真的容易出現在 Google Play 這樣的開放式平台,以及只透過 Google Play 是否就能維護整個生態系安全的 2 大迷思。
Google Play 如何維護平台安全性?開放式平台真的比較危險?
Google Play 的開放性提供了開發者能夠便捷發行、更新的應用程式商店,確實開發者與使用者皆因 Google Play 的便利性而受惠不少。不過 Google 官方強調,開發者與使用者仍需要謹慎面對惡意 App 的潛在風險。
Google 官方進一步說明,手機製造商生產與 Android 系統相容的硬體裝置,假如製造商手機本身內建的系統沒有通過資安標準檢測,或者製造商自行修改 Android 系統程式碼,皆有可能導致漏洞產生。而 Android 開放的生態系,其實是讓使用者得以從 Google Play 以外的平台下載 App、安裝到硬體裝置上;當使用者從第三方平台下載使用來路不明的 App,則會增加 Android 裝置的風險。
聖星科技創辦人盧育聖就談到,自己開發的工具 App 常遭不肖人士破解,從中加入更多存取權限請求,甚至是病毒碼,然後出現在第三方平台提供下載。
Google Play 應用程式與遊戲業務發展經理張樂潮則指出,無論是否為開放式平台,惡意攻擊依舊存在;並認為在使用者追溯遭受惡意 App 攻擊的原因時,並非只有與平台系統有關聯,還包括上述提到開放式生態系中的手機製造商、使用者行為等多種因素,都可能是造成惡意 App 入侵的風險。
平台、開發者、使用者如何共同面對層出不窮的資安挑戰?
Google Play 所屬的開放式生態系同時包括 Google Play 平台、開發者、使用者三方,因此 Google 認為這個生態系的安全性,須從三方共同提升,才能夠建構更高強度的安全體驗。
就平台而言,Google Play 加強 App 審查、提升機器學習用於強化審查準確度,具有人工審查機制,為開發者制定出相關規範,通過審核才能上架 App,開發者也需要持續提交更新才能符合平台要求。
不只如此,還有 Google Play 安全防護(Google Play Protect)的掃描功能,能從裝置與雲端 2 種層面保護使用者的安全,不僅提供離線掃描,情況嚴重時 Google Play Protect 則會遠端移除或者停用惡意 App,這也是為何有些 App 從手機裡無故不見,其實為了使用安全已先遠端移除。
開發者方面,Google Play 也逐步調整資安防護力道,例如要求開發者預先標明當使用者下載 App 後,將會存取哪些功能權限,像是麥克風、相機、通訊錄等等;此外,一段時間沒有使用某些 App,系統則會取消其存取權限,若有需要則要重新獲得使用者允許。
Google 官方也提醒開發者在進行軟體開發時,必須慎選第三方單位的軟體開發工具,避免不肖人士從中埋下木馬程式,將惡意 App 入侵的機率降到最低。
除了資安機制來保護大家,使用者自身的資安意識也需要積極培養。根據 Google 資安調查就發現,許多台灣使用者遭遇個人資料外洩的比例高達 70%,在其他受訪的亞洲國家僅低於越南的 78%;當遇到資料外洩警告時,卻有 34% 的比例認為是網路詐騙而不願即時更改密碼;此外,有過半使用者的密碼設計過於簡單,還有 86% 的使用者會將單一密碼重複用在多個網站上。
為此 Google Play 也分享「三不口訣」,提醒大家「不下載來路不明的程式」、「不盲目允許 App 的要求」、「不可鬆懈警覺」,多加確認 Google Play 安全防護狀態,切記還要設定兩步驟驗證。
(首圖左起 Google 公關經理蘇立、Google Play 應用程式與遊戲業務發展經理張樂潮、聖星科技創辦人盧育聖;首圖來源:Google)