安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式

安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式
很多人一定看過資安公司發現Android的某某App為惡意程式,提醒大家要盡快刪除的報導,若不細究,可能很多人會就此以為Android系統很容易遇到不良程式,甚至透過Google Play下載的App也不見得安全的迷思。

保護手機個資大家都知道很重要,但很多人不知道怎麼做,也不太瞭解有什麼工具可以用,對此Google邀請了Google Play業務發展經理張樂潮,以及有多年Android App開發經驗,合計下載量破億的獨立開發者盧育聖,來跟大家分享如何預防惡意程式侵害,以及瞭解Google Play怎麼阻擋惡意程式。
兩位都是每天在跟App及開發者打交道的人,提醒的方法也很容易實踐,這裡也分享給大家,每天都在用手機的我們,真的非常需要進補一下數位安全知識啊!
安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式
Google Play應用程式與遊戲業務發展經理張樂潮(中)及聖星科技創辦人,也是多年Android開發者盧育勝(右),在Google解密說明會裡分享如何避免下載到惡意程式。


開放平台惡意程式多?

首先可能要破解個迷思是,很多人認為Android是開放性平台,人人都可放個程式讓用戶下載,Google Play也似乎沒有很嚴格在審查上架的App,所以存在很多問題程式?
其實這種想法有些誤會。
Android是開放性平台,這「開放性」指各方都可參與,包括開發者可以編寫、上架應用程式,可以有不同的應用程式商店,用戶可以透過很多管道下載到App,廠商也可以Android OS做出不同的裝置,但這不代表沒有單位在管控手機品牌的資安檢測,也不代表將程式上架到Google Play就不需經過審查。
所以用戶受到惡意程式侵害,原因可能是用戶不慎下載到問題App,也有可能是手機遭到製造商自行修改系統程式碼,並非只跟系統是開放或封閉有關。
盧育聖跟我們提到,封閉式系統還是有可能受到惡意攻擊,反而開放式系統可以集眾人之力去檢測/ 修復漏洞,以這種角度來看開放原始碼的平台可能還比較安全。


Google Play上架不經審查?

第二個迷思是Google Play似乎沒有很嚴格在審查上架App?
這誤會大了,Google Play當然有上架前的審查機制。
Google Play應用程式與遊戲業務發展經理張樂潮提到,Google Play制訂了《開發人員計畫政策》《開發人員發布協議》等規範,要求開發人員製作程式上架,以及日後更新功能時,要完全遵守其中羅列的規範,包括開發者必須在應用程式中清楚說明應用程式存取使用及分享資料的行為、開發者只能要求使用必要的權限和 API 來存取機密資訊....等,規範內容非常細。
Google Play會透過機器審查,也有人工審查,機器審查部分,會經常性的透過機器學習,強化審查的準確性,藉此降低Google Play出現惡意程式的機率。根據Google統計,在2020年,Google Play成功阻擋超過96萬個違反安全政策的App上架,也禁掉將近12萬個惡意程式開發者帳戶。
今年8月開始,Google Play也開始實施新政策,要求開發者要提供真實姓名、地址,以及可驗證的信箱、電話號碼等資訊,且會不定期追蹤,確保每個帳戶都是真實的人所創建。

那麼一般Android用戶要怎麼避免惡意程式攻擊呢?
可以分為安裝前)以及安裝後來看。

安裝前:慎選裝置、慎選來源、慎讀權限

盧育聖首先建議,用戶要慎選手機品牌,避免購買不明廠商的裝置,因為可能有被修改程式碼產生漏洞的風險(也有可能代理商沒有檢查出來)。同時也要定期更新系統,即時更新上安全性修補程式(如果手機廠商有推出的話....)。

第二則是慎選App來源,如透過Google Play下載相對有保障,若要從外部下載,最好也留意一下該程式商店或官網,是否有與Google Play相同的規範及承諾,以及看一下商店內是否有列出App要求了哪些權限、是否合理,不要輕易下載來源不明的程式。

第三就是留意程式權限。
若要從Google Play安裝,下載前可以點擊「關於這個應用程式」,再往下拉到最底,點擊「應用程式權限」,裡面會顯示這程式會取用手機的哪些功能/ 服務,可以初步判斷有沒有要求到怪怪的,不合理的權限。
安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式

但可能很多人還是無法從這些文字,判斷權限是否合理,這我們仍可在安裝後處理,後面來說。
除了權限,張樂潮也提到,下載前可閱讀一下大家的評論,看看有沒有用戶反應問題,再決定要不要安裝。
或是可以查詢一下開發者是否有留下真實的email、地址(比方去Google地圖比對),也可以連結到開發者網站,或點擊開發者名稱看他還有哪些程式,然後看看其中的評論,來判斷開發者是不是有問題。

明年四月Google Play還會推出「Google Play資料安全性專區」。
Google會要求開發者填寫Play管理中心表單,載明程式的隱私權、安全性做法、取用權限、如何收集資訊、用途、如何保護....等跟安全有關的資料,並將開放專區讓消費者可以查詢,以便在下載前更瞭解這款程式將使用你的哪些資料、哪些手機功能,幫助判斷。


安裝後:掃描程式、管控取用權限

若已經安裝了,不知道程式有沒有風險,則可以透過「Google Play安全防護」來掃描確認。
在Google Play首頁裡點擊右上角頭像,就可以看到「Play安全防護」,點擊掃描就可以幫你檢查已安裝的App是否有害。
安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式

Play安全防護每天都會自動掃描,辨識抓出可能有問題的App,若抓到危害較嚴重的程式,會幫你自動刪除,如果有問題但不太嚴重,則會停用該程式。此外Play安全防護也會提供離線掃描。雖然會自動掃描,但建議從外部下載程式後,也手動掃描確認一下安全。

Play安全防護是怎麼抓出跟處理不安全程式呢?
它會在透過雲端上的外部檢查機制,掌握更多程式資料供比對,另外辨識過程裡,也會透過機器學習優化演算法,抓出日新月異的變種惡意程式。
Google Play也會依照安全及危險等級來分類,若被演算法判斷為有害,就會阻擋在外,若不確定這程式是安全還是有害,也會標記為潛在有害,當發現開發者出現惡意行為時,就不給上架。

===========
除了掃描,也可以在使用的過程裡留意一下權限允許。
Android 6以後有個設計是,程式安裝好之後,並不會馬上開啟需要的權限,而是當要使用程式的某個功能時,才會詢問你要不要同意某項權限,這時候你可以留意要求的這權限,跟你目前要用的功能是否相關,比方修圖App要求麥克風或通話記錄權限就很奇怪,不盲目允許也是阻擋惡意的手法之一。

如果之前稀哩呼嚕、不明所以的就允許了所有權限,也不用太擔心,Android裡有很多事後措施。
最基本是可在設定➝應用程式裡,查看個別程式允許了哪些授權,若還不明白,可進一步點擊右上角的三點點,查看這程式的所有權限,以及取用這些權限的目的。覺得不需要的,可以變更成拒絕,或是每次都詢問。
安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式

比方位置、相機、麥克風,算是比較敏感的權限,在存有疑慮的程式裡,可以將權限保守設定為每次都詢問。
安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式

Android 12增加了使用提醒,當有程式正在取用相機或麥克風時,會於螢幕上方有個小綠點提示,在下拉控制中心裡,也可以臨時開啟/ 關閉這兩樣權限。(比方在背後講人八卦時就先關掉以策安全)。
安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式

Android 12還有一個功能是在隱私資訊主頁裡,可以查看過去24小時裡,有哪些程式取用了哪些權限,其中位置、相機、麥克風更會列出使用時間軸。
安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式

以上兩個目前Pixel 6裡都有。
Android還有一個機制是會自動移除幾個月未使用的權限,這功能可在應用程式的許可裡開啟,並在設定➝隱私設定的「權限管理員」裡,可以看到系統幫你移除了哪些程式的哪些權限。
安裝到惡意程式而不自知? Google Play分享「三不」心法 避免下載到有問題的程式

這些都是Android系統裡提供的,幫助你管控權限的方法,
如果你曾在使用程式時覺得有異常耗電、耗流量,待機時電力有不正常流失,或曾安裝過不明來源的App,或許可以多留一份心,在電力或螢幕時間功能裡,查看最近啟用的程式,並檢查一下程式是否有不合理的權限。
因為惡意程式也會變種尋找突破防護的破口,經常留意警覺,有資安意識也很重要,比方可主動使用Play安全防護掃描程式,或是可以的話,就啟用兩步驟帳密登入機制。

Google Play也整理出最重要的隱私防護三不:
● 不下載來路不明的程式。
● 不盲目允許應用程式的要求。
● 不要鬆懈警覺。

保護資訊安全可能不是什麼有趣的功能,但卻很重要,且可避免麻煩,防患於未然,希望上面的分享可以幫助到大家。

#可是也需要各開發商保護好我們的個資啊...
#怎麼設定安全的登入密碼又是另一個課題了


首圖來源:depositphotos
被操弄人性OK嗎?
臉書都掃不到了 還真敢說
人間道
臉書 詐騙廣告氾濫區 第一次 就這麼給了...
david820623 wrote:
臉書都掃不到了 還真(恕刪)


看無~什麼意思?
路人甲初號機
引用名言: 你要自立自強
那為什麼不是從上架就把關?
15151515151515
長長一篇的感想:用iOS不就好了
issyo
iOS什麼時候才能應用雙開?
issyo
iOS最安全,但是收到一封簡訊就變磚[真心不騙]
Nanako0625 wrote:
很多人一定看過資安公(恕刪)

使用Google Play掃描
感覺很難辨識
不過不要安裝沒聽過的應該比較沒有問題
谷歌台灣禮物卡何時上架?
Nanako0625 wrote:
很多人一定看過資安公(恕刪)


mark
請多多點擊 Mobile01 網站內的贊助商廣告,有贊助商的支持才有穩定的Server和快速頻寬。
聽他在放屁 很多APP連地址 姓名什麼的通通都沒有 甚至只有國家名的 少在那邊講的多
慎重 沒審查就是沒審查 還搞偷刪評論
關閉廣告
文章分享
評分
評分
複製連結

今日熱門文章 網友點擊推薦!