開放式平台真的比較危險？Google 破解 Google Play 安全性迷思

Google Play 三不五時出現惡意 App 已不是新聞了，為此 Google 官方做出說明，為開發者與使用者點出惡意 App 是否真的容易出現在 Google Play 這樣的開放式平台，以及只透過 Google Play 是否就能維護整個生態系安全的 2 大迷思。

Google Play 如何維護平台安全性？開放式平台真的比較危險？

Google Play 的開放性提供了開發者能夠便捷發行、更新的應用程式商店，確實開發者與使用者皆因 Google Play 的便利性而受惠不少。不過 Google 官方強調，開發者與使用者仍需要謹慎面對惡意 App 的潛在風險。

Google 官方進一步說明，手機製造商生產與 Android 系統相容的硬體裝置，假如製造商手機本身內建的系統沒有通過資安標準檢測，或者製造商自行修改 Android 系統程式碼，皆有可能導致漏洞產生。而 Android 開放的生態系，其實是讓使用者得以從 Google Play 以外的平台下載 App、安裝到硬體裝置上；當使用者從第三方平台下載使用來路不明的 App，則會增加 Android 裝置的風險。

聖星科技創辦人盧育聖就談到，自己開發的工具 App 常遭不肖人士破解，從中加入更多存取權限請求，甚至是病毒碼，然後出現在第三方平台提供下載。

Google Play 應用程式與遊戲業務發展經理張樂潮則指出，無論是否為開放式平台，惡意攻擊依舊存在；並認為在使用者追溯遭受惡意 App 攻擊的原因時，並非只有與平台系統有關聯，還包括上述提到開放式生態系中的手機製造商、使用者行為等多種因素，都可能是造成惡意 App 入侵的風險。

平台、開發者、使用者如何共同面對層出不窮的資安挑戰？

Google Play 所屬的開放式生態系同時包括 Google Play 平台、開發者、使用者三方，因此 Google 認為這個生態系的安全性，須從三方共同提升，才能夠建構更高強度的安全體驗。

就平台而言，Google Play 加強 App 審查、提升機器學習用於強化審查準確度，具有人工審查機制，為開發者制定出相關規範，通過審核才能上架 App，開發者也需要持續提交更新才能符合平台要求。

不只如此，還有 Google Play 安全防護（Google Play Protect）的掃描功能，能從裝置與雲端 2 種層面保護使用者的安全，不僅提供離線掃描，情況嚴重時 Google Play Protect 則會遠端移除或者停用惡意 App，這也是為何有些 App 從手機裡無故不見，其實為了使用安全已先遠端移除。

開發者方面，Google Play 也逐步調整資安防護力道，例如要求開發者預先標明當使用者下載 App 後，將會存取哪些功能權限，像是麥克風、相機、通訊錄等等；此外，一段時間沒有使用某些 App，系統則會取消其存取權限，若有需要則要重新獲得使用者允許。

Google 官方也提醒開發者在進行軟體開發時，必須慎選第三方單位的軟體開發工具，避免不肖人士從中埋下木馬程式，將惡意 App 入侵的機率降到最低。

除了資安機制來保護大家，使用者自身的資安意識也需要積極培養。根據 Google 資安調查就發現，許多台灣使用者遭遇個人資料外洩的比例高達 70%，在其他受訪的亞洲國家僅低於越南的 78%；當遇到資料外洩警告時，卻有 34% 的比例認為是網路詐騙而不願即時更改密碼；此外，有過半使用者的密碼設計過於簡單，還有 86% 的使用者會將單一密碼重複用在多個網站上。

為此 Google Play 也分享「三不口訣」，提醒大家「不下載來路不明的程式」、「不盲目允許 App 的要求」、「不可鬆懈警覺」，多加確認 Google Play 安全防護狀態，切記還要設定兩步驟驗證。

（首圖左起 Google 公關經理蘇立、Google Play 應用程式與遊戲業務發展經理張樂潮、聖星科技創辦人盧育聖；首圖來源：Google）