安全不了的 Android，想不明白的 Google

　　首先，Google Play 的审核机制可以说是漏洞百出。在应用上架 Google Play 前的过程中，安全测试成了摆设，自动检测算法根本没起作用，人工审核就像个宣传称号——据赛门铁克表示，这些应用根本不能提供正常功能，所以人工审了什么?

　　其次，在上架及用户安装后 Google 宣传的防护也没起作用。基于机器学习技术识别流氓软件的 Google Play Protect，据称每天会扫描数十亿应用，一样被绕过了。

　　最让人无法接受的是，这些体系还是被绕过两次，而第二次仅仅是通过改名就饶过了。这难免不让人联想到 Google Play 的安全流程中是不是没有“总结经验”这一行为，所谓的机器学习是不是学和做分开了。

　　而相对系统漏洞来说，恶意应用要让用户更加不适一些。毕竟大多数人的设备被蓄意利用漏洞攻击的可能性近乎为 0，但是装错个应用就直接中招了。

　　应用

　　提到恶意应用，很多人自然而然的就会联想到流氓应用，然后就会想到“全家桶”，进而就会想到 Google 这几年更新了几个管理措施，更进一步还会想到为什么还压制不住他们。

　　其实，这事还得怨 Google，因为 Google 一直没想明白问题重点。

　　以 Android 8.0 为例，Google 虽然推出了一个后台控制特性，但是这个特性如果想完全正常使用有一个前提条件，应用程序的封包 SDK 要达到 API 26(一个不面向用户的开发设定，和 Android 版本同步更新，目前正式版最高?API 27，Android P 是 API 28)，直白点说就是应用是针对 Android 8.0 开发的。如果应用没这么做，那么结果就是新特性最多只能发挥一小部分作用，但并不会影响 App 的正常使用和滥用。

　　所以，控制权在应用开发者手里。如果他们认为 Android 新机制非常棒，应该遵守，那就上新的 API。而如果产品部、推送服务商觉得组成全家桶卖相好，那么就保持原样。

　　PingWest 品玩测试了几个 Google Play 中的应用后发现，其中最低的居然可以低到 API 18，甚至 Google 自家的某些应用也还停留在 API 24。而在 Google Play 之外，腾讯新推的 TIM，现在还在用 Android 4.0.3 时期的 API 15 玩的不亦乐乎。

　　可见，在这种近乎君子协议的前提下，想指望厂商跟上脚步、自我约束，这在短期内无异于痴人说梦。

　　至于这种情况什么时候能更进一步的改善，还要看 Google 什么时候想明白强权的重要性。