Android应用商店的软件安全性到底如何？

俄亥俄州立大学带领的一支研究团队，刚刚在新研究中发现：

成千上万款 Android 应用程序，似乎都包含着不可告人的隐藏后门 —— 表明恶意开发者仍在继续将 Google Play 商店作为攻击目标。

本次研究调查了 15 万款应用程序，其中 2/3 来自谷歌官方的应用商店，另外一些则来自三星、百度等第三方应用商店。

来自：ohio-state.edu

来自俄亥俄州立大学、纽约大学、以及亥姆霍兹信息安全中心的研究人员，对 15 万款 Android 应用程序展开了细致且深入的调查。

研究人员指出，在 15 万个 App 中，几乎有 1.3 万个存在后门行为（比如秘密访问密钥和主密码）。

今年早些时候，数十个隐私倡导组织致信谷歌 CEO 桑达尔·皮查伊，以期减少预装在设备上的过时软件。

最后，新研究随机选择了 30 款至少具有百万安装量的应用，发现其中有一款竟然允许远程登录。

遗憾的是，Google Play 商店一直受到此类问题的困扰，且谷歌安全团队经常只能被动地等待威胁公开后，才立即对恶意软件采取行动。

只能说，比网上乱下载的要安全

但是！并不代表绝对安全！！

举一个我最近遇到的事例

前几天安装了一个软件，是从手机自带的应用商店下载的。

安装的当天我并 没有 感觉到什么 异常 ，安全管家 没有报毒 ，软件运行也很流畅， 功能 也 正常运行 。

但是第二天，我的手机就开始收到大量的 垃圾短信&垃圾电话 (当天的骚扰拦截甚至达到了三位数！)

我意识到事情不对劲，赶紧 删掉 了 软件 ，向运营商 申请 了 屏蔽信息和电话 ，才得到解决。

那么我们回头来看看这个软件

提取安装包，检查每一项可执行资源，很快就找到了问题所在

assets文件夹里，套用了一个jar压缩文件。

众所周知，assets文件夹里的所有文件都可以在软件调用时直接被修改后缀 (哪怕是从文本类型更改为视频类型)

而这个文件打开之后是另一个软件

一个软件套用另一个软件的操作很常见，关键取决于套用的软件用途是什么

而这个软件，是用来 更改地区设置 的 (甚至仅提供大陆以外地区的)

那么开发者用这个干了什么？

答案是:用来 登录菠菜网站

我们回头来看主体软件，拆分其dex

在其变量命名等过程中，进行了包括 登录网站，后台读取QQ、微信、微博等操作，甚至禁用了360等杀毒软件的安装

至于登录网站以后进行了什么操作，我们不得而知，但可以肯定的一点是:我的手机号就是从这里被传播的

被登录网站

随后，我将情况反馈给了服务商，并发表了这条评论

综上，应用商店下载的软件安全性也不能得到完全的保证

但至少，不会存在锁机等大型恶意病毒

所以，请禁止软件申请不必要的权限，不要安装来路不明的软件

从安卓应用商店的很多软件评价来看，状况不是很好，那些下载量500万+的应用软件，也可能就是个坑。根本不好用，甚至不能用。还是要靠自己火眼金睛来甄别好的应用和骗人的应用。

另外提一个小问题，有些安卓应用如手机百度8.1版本，甚至强制要求定位权限，否则无法使用。存在一个过分要求权限的问题。

自从手机进入智能时代，病毒和流氓软件就成为了人们预防的主要对象。

Android系统出现后，市场占有率达到了85%之多。且由于其开源以及碎片化的特性，成为了流氓软件的众矢之的。幸运的是，Android将安全作为手机的第一优先级，并使用了沙盒机制和权限控制来限制应用，来预防潜在的流氓行为。但尽管如此，市面上还是存在着大量的流氓软件和病毒

使用官方市场，最简单的法则就是使用Android官方的应用商店—Google Play Store。这里是最接近“0”流氓软件的地方，要注意这里我用的词语是“接近”，因为每天有成千上万个应用被上传到应用市场，而审核机制并不能确保完全过滤掉流氓软件。

国内的大部分手机由于没有Google服务包，也就缺少了Google的官方应用商店，但我们就因此不能避免感染流氓软件了吗？并不是。幸运的是，在 Android设备中，应用程序并不被限制在唯一一个应用商店中发行，一些类似亚马逊Appstore的第三方应用商店也有权限发行应用软件，并且安全性不亚于Google Play Store。

需要注意的是，国内第三方应用商店种类繁多，某些商店中可能会包含一些来源不明的应用，我们要避免使用这些商店中的应用软件。

避免使用未知来源的应用程序

Android的“设置--安全”中，有一个选项叫做“未知来源——允许安装来自Play商店之外的其它来源的应用”。这个选项默认是关闭的，我不建议开启。不知道大家有没有遇到过类似情况，打开某些网站后，会弹出后台下载窗口自动下载应用程序，下载完毕后还会弹出安装窗口。

这样的应用安装包不一定通过正规应用商店的审核，安装后轻则可能会泄露个人信息，重则被盗取银行账户资料，或导致数据丢失和损坏。而“未知来源”这个设置如果被关闭，那么这样的应用就无法被安装到手机当中，也就阻挡了不明应用所带来的伤害。

Android应用商店的软件里边什么样的软件也有，安全性不好说，我都是通过360手机助手来下载安装软件的。

挺好的，不用关心，自动更新