豌豆荚公布Android 应用行业安全数据,首推「绿色标签」机制放心下载
随着 Android 在中国的爆炸式增长,用户和开发者在享受其开放性带来的繁荣和便利的同时,也开始不断遭遇各种问题的困扰:扣费等恶意代码、应用内广告、仿冒和山寨应用、以及滥用敏感权限,已经成为威胁手机信息安全的首要问题。
近日,针对智能手机安全隐患,国内最大的 Android 应用分发平台豌豆荚,凭借对海量应用的扫描和元数据分析,公布了 Android 应用的安全现状的相关数据。并针对应用的安全性、是否包含广告插件、是否为正版、以及对敏感权限的调用等问题推出「绿色标签」机制,并在应用详情页、搜索结果页、首页及二级榜单页面均予以标注,为用户提供最安全放心的应用下载体验。
Android 应用安全第一,3 家安全厂商联合检测
在应用安全方面,豌豆荚联合腾讯手机管家、360手机卫士、LBE安全大师等 3 家知名手机安全厂商对扣费代码等安全隐患进行联合检测,并综合 3 家的检测结果力图得到更准确、更谨慎的结论。
令人意外的是,3 家安全厂商对同一款应用的检测结果存在一定差异。腾讯认为有安全风险的应用中,有 28.4% 360 和 LBE 都认为是安全的; 360认为危险的应用中, 29.1% 被腾讯和 LBE 判定为安全; LBE 认为危险的应用中 76.8% 是 360 和腾讯都认为安全的。
针对安全厂商检测结果的差异,豌豆荚采取了相对严谨的处理方式:仅有一家安全厂商判定为存在风险的应用,即会被明显标识为可疑;而两家或两家以上安全厂商判定为不安全的应用,将被直接下架。
六成应用包含广告,下载前豌豆荚清晰提示
豌豆荚整理了超过 1000 个广告特征,对应用进行代码级的广告插件检测。数据表明: 目前,在数据样本中39% 的应用是无广告的;有 34.6% 的应用内嵌广告,此类广告可能在应用内放置了广告横幅或单独的广告栏目。此类广告除了对用户体验的影响外,还会造成更多的流量、电量消耗,并且有可能会收集用户的地理位置等数据。针对此类应用,豌豆荚会醒目地提示用户其中包含内嵌广告。
另外,数据也惊人的表明,约有 26.4% 的应用包含通知栏广告。此类广告形式饱受争议,当用户安装了含此类广告的应用后,会经常发现通知栏里面多了一些广告信息,有的甚至在用户点击后就会开始安装另一款应用。
豌豆荚在用户下载安装此类应用的过程中会提示用户风险、并且引导用户去下载无广告的其他版本。并且,含通知栏广告的应用也不会出现在豌豆荚首页的各类榜单推荐中。
1/4 的应用为仿冒或被篡改,豌豆荚与 Google Play 双重认证
应用的签名是开发者的唯一标识,同一应用的不同签名版本中有时存在若干款是仿冒或篡改的版本。豌豆荚各项数据预估,目前国内用户接触到的不同应用数量为 55.8 万。而如果计算应用的不同签名版本,则总数量超过 75W,这意味着其中有将近 1/4 的应用为仿冒或被篡改。
非官方开发者仿冒和篡改应用的目的,除了有出于个人兴趣的汉化等,有相当一部分是在应用中嵌入广告插件或恶意扣费代码等、牟取利润。目前大部分应用下载渠道在提供应用下载时都没有对签名进行检测,仿冒和被篡改的应用混杂在官方版本之间,用户和开发者权益都得不到保障。
豌豆荚「绿色标签」中的「Google 验证」标签,通过检验应用签名与豌豆荚认证的应用是否一致,用做判断应用是否是官方版的参考、确保应用没有被第三方篡改同时,通过与 Google Play 中签名作对比,辅助判断是否被第三方篡改。
17.8% 应用调用敏感权限,豌豆荚明确标注不再谈隐私色变
Android 系统的开放性让开发者能调用上百种手机权限以完善产品功能,但也有不少应用调用本身功能并不需要的敏感权限,以窃取用户隐私。目前,豌豆荚从中挑出了4种权限是涉及隐私的,它们分别为:读取通讯录、读取短信信息、拨打电话、发送短信。如果某款应用一旦调用了其中某一项权限,就会在豌豆荚中被标记为红色可疑。通过扫描样本,豌豆荚发现17.8%的应用涉及到此类隐私的问题。当然,如果这些应用经过人工审核,发现调用的范围在合理的范围,就会被标记回绿色信任。
凭借出色的用户体验,豌豆荚已经拥有超过 8500 万用户。目前收录应用超过 40 万款,每日应用分发量逾 1500 万,从最初单纯的个人信息管理工具成长为国内最大的 Android 应用获取和手机管理平台。新版应用搜索的发布和「绿色标签」机制的建立,标志着豌豆荚应用平台由「全」向「精」的发展。据豌豆荚相关负责人透露,之后豌豆荚还会对应用本身的信息做进一步的挖掘和整合,让用户可以进行细分标签的筛选,以保证更加方便、放心的下载体验。
我来说两句排行榜