很多人一定看过资安公司发现Android的某某App为恶意程序，提醒大家要尽快删除的报导，若不细究，可能很多人会就此以为Android系统很容易遇到不良程序，甚至透过Google Play下载的App也不见得安全的迷思。

保护手机个资大家都知道很重要，但很多人不知道怎么做，也不太了解有什么工具可以用，对此Google邀请了Google Play业务发展经理张乐潮，以及有多年Android App开发经验，合计下载量破亿的独立开发者卢育圣，来跟大家分享如何预防恶意程序侵害，以及了解Google Play怎么阻挡恶意程序。

两位都是每天在跟App及开发者打交道的人，提醒的方法也很容易实践，这里也分享给大家，每天都在用手机的我们，真的非常需要进补一下数位安全知识啊！

开放平台恶意程序多？

首先可能要破解个迷思是，B3F-1006很多人认为Android是开放性平台，人人都可放个程序让用户下载，Google Play也似乎没有很严格在审查上架的App，所以存在很多问题程序？

其实这种想法有些误会。

Android是开放性平台，这「开放性」指各方都可参与，包括开发者可以编写、上架应用程序，可以有不同的应用程序商店，用户可以透过很多管道下载到App，厂商也可以Android OS做出不同的装置，但这不代表没有单位在管控手机品牌的资安检测，也不代表将程序上架到Google Play就不需经过审查。

所以用户受到恶意程序侵害，原因可能是用户不慎下载到问题App，也有可能是手机遭到制造商自行修改系统程序码，并非只跟系统是开放或封闭有关。

卢育圣跟我们提到，封闭式系统还是有可能受到恶意攻击，反而开放式系统可以集众人之力去检测/ 修复漏洞，以这种角度来看开放原始码的平台可能还比较安全。

Google Play上架不经审查？

第二个迷思是Google Play似乎没有很严格在审查上架App？

这误会大了，Google Play当然有上架前的审查机制。

Google Play应用程序与游戏业务发展经理张乐潮提到，Google Play制订了《开发人员计划政策》、《开发人员发布协议》等规范，要求开发人员制作程序上架，以及日后更新功能时，要完全遵守其中罗列的规范，包括开发者必须在应用程序中清楚说明应用程序存取使用及分享资料的行为、开发者只能要求使用必要的权限和 API 来存取机密信息....等，规范内容非常细。

Google Play会透过机器审查，也有人工审查，机器审查部分，会经常性的透过机器学习，强化审查的准确性，藉此降低Google Play出现恶意程序的机率。根据Google统计，在2020年，Google Play成功阻挡超过96万个违反安全政策的App上架，也禁掉将近12万个恶意程序开发者账户。

今年8月开始，Google Play也开始实施新政策，要求开发者要提供真实姓名、地址，以及可验证的信箱、电话号码等信息，且会不定期追踪，确保每个账户都是真实的人所创建。

那么一般Android用户要怎么避免恶意程序攻击呢？

可以分为安装前）以及安装后来看。

安装前：慎选装置、慎选来源、慎读权限

卢育圣首先建议，用户要慎选手机品牌，避免购买不明厂商的装置，因为可能有被修改程序码产生漏洞的风险（也有可能代理商没有检查出来）。同时也要定期更新系统，实时更新上安全性修补程序（如果手机厂商有推出的话....）。

第二则是慎选App来源，如透过Google Play下载相对有保障，若要从外部下载，最好也留意一下该程序商店或官网，是否有与Google Play相同的规范及承诺，以及看一下商店内是否有列出App要求了哪些权限、是否合理，不要轻易下载来源不明的程序。

第三就是留意程序权限。

若要从Google Play安装，下载前可以点击「关于这个应用程序」，再往下拉到最底，点击「应用程序权限」，里面会显示这程序会取用手机的哪些功能/ 服务，可以初步判断有没有要求到怪怪的，不合理的权限。

但可能很多人还是无法从这些文字，判断权限是否合理，这我们仍可在安装后处理，后面来说。

除了权限，张乐潮也提到，下载前可阅读一下大家的评论，看看有没有用户反应问题，再决定要不要安装。

或是可以查询一下开发者是否有留下真实的email、地址（比方去Google地图比对），也可以连结到开发者网站，或点击开发者名称看他还有哪些程序，然后看看其中的评论，来判断开发者是不是有问题。

明年四月Google Play还会推出「Google Play资料安全性专区」。

Google会要求开发者填写Play管理中心表单，载明程序的隐私权、安全性做法、取用权限、如何收集信息、用途、如何保护....等跟安全有关的资料，并将开放专区让消费者可以查询，以便在下载前更了解这款程序将使用你的哪些资料、哪些手机功能，帮助判断。

安装后：扫描程序、管控取用权限

若已经安装了，不知道程序有没有风险，则可以透过「Google Play安全防护」来扫描确认。

在Google Play首页里点击右上角头像，就可以看到「Play安全防护」，点击扫描就可以帮你检查已安装的App是否有害。

Play安全防护每天都会自动扫描，辨识抓出可能有问题的App，若抓到危害较严重的程序，会帮你自动删除，如果有问题但不太严重，则会停用该程序。此外Play安全防护也会提供离线扫描。虽然会自动扫描，但建议从外部下载程序后，也手动扫描确认一下安全。

Play安全防护是怎么抓出跟处理不安全程式呢？

它会在透过云端上的外部检查机制，掌握更多程序资料供比对，另外辨识过程里，也会透过机器学习优化算法，抓出日新月异的变种恶意程序。

Google Play也会依照安全及危险等级来分类，若被算法判断为有害，就会阻挡在外，若不确定这程序是安全还是有害，也会标记为潜在有害，当发现开发者出现恶意行为时，就不给上架。

除了扫描，也可以在使用的过程里留意一下权限允许。

Android 6以后有个设计是，程序安装好之后，并不会马上开启需要的权限，而是当要使用程序的某个功能时，才会询问你要不要同意某项权限，这时候你可以留意要求的这权限，跟你目前要用的功能是否相关，比方修图App要求麦克风或通话记录权限就很奇怪，不盲目允许也是阻挡恶意的手法之一。

如果之前稀哩呼噜、不明所以的就允许了所有权限，也不用太担心，Android里有很多事后措施。

最基本是可在设定?应用程序里，查看个别程序允许了哪些授权，若还不明白，可进一步点击右上角的三点点，查看这程序的所有权限，以及取用这些权限的目的。觉得不需要的，可以变更成拒绝，或是每次都询问。

比方位置、相机、麦克风，算是比较敏感的权限，在存有疑虑的程序里，可以将权限保守设定为每次都询问。

Android 12增加了使用提醒，当有程序正在取用相机或麦克风时，会于荧幕上方有个小绿点提示，在下拉控制中心里，也可以临时开启/ 关闭这两样权限。（比方在背后讲人八卦时就先关掉以策安全）。

Android 12还有一个功能是在隐私信息主页里，可以查看过去24小时里，有哪些程序取用了哪些权限，其中位置、相机、麦克风更会列出使用时间轴。

以上两个目前Pixel 6里都有。

Android还有一个机制是会自动移除几个月未使用的权限，这功能可在应用程序的许可里开启，并在设定?隐私设定的「权限管理员」里，可以看到系统帮你移除了哪些程序的哪些权限。

这些都是Android系统里提供的，帮助你管控权限的方法，

如果你曾在使用程序时觉得有异常耗电、耗流量，待机时电力有不正常流失，或曾安装过不明来源的App，或许可以多留一份心，在电力或荧幕时间功能里，查看最近启用的程序，并检查一下程序是否有不合理的权限。

因为恶意程序也会变种寻找突破防护的破口，经常留意警觉，有资安意识也很重要，比方可主动使用Play安全防护扫描程序，或是可以的话，就启用两步骤帐密登入机制。

Google Play也整理出最重要的隐私防护三不：

不下载来路不明的程序。

不盲目允许应用程序的要求。

不要松懈警觉。

保护信息安全可能不是什么有趣的功能，但却很重要，且可避免麻烦，防患于未然，希望上面的分享可以帮助到大家。