互联网的快速发展，有利有弊，带来了便捷，也会出现一些问题。直至今年，Google Play已经上线十周年，但是关于恶意软件的问题，还是未得到顺利解决。

　　近两年，谷歌Play恶意软件泛滥的问题引起了越来越多安全机构的关注。2020年的一项调查显示，谷歌Play被直接确认为安卓设备上安装恶意软件的主要来源。研究人员通过分析790万个独立应用程序中涉及的3400万个APK，发现其中10%至24%可以被描述为恶意或不必要的应用程序。研

　　究人员还专门研究了这些软件的来源路径，结果显示，约67%的恶意应用软件安装来自谷歌Play。近日，网络安全公司Zscaler在谷歌Play中发现53个包含Joker的应用程序，下载量已超过33万次。这些应用一般以短信、照片编辑器、血压计、emoji键盘和翻译应用的形式出现。一旦用户安装，这些应用程序就会要求升级设备的权限进行其他操作。事实上，官方应用市场不时弹出的恶意软件早已不是新鲜事。即使是相对封闭的苹果MacOS和iOS系统，有时也会受到它的困扰。

　　2022年迄今已发现超过3400万个新恶意软件样本，其中包括2000个MacOS和53.6万个Android。可见，由于安卓系统本身的开放性，防范恶意软件的难度远超MacOS和iOS。在上传至谷歌Play时，这些恶意软件可以通过轻量级代码，进行伪装，克隆到合法正常的应用中，以欺骗谷歌Play的安全防御检测，甚至在受害者第一次下载安装时毫无头绪，而一旦获得用户设备的相应权限，这些恶意软件就逐渐浮出水面--比如通过Dropper（滴管）技术，在受害者设备上逐步部署带有恶意功能的有效载荷。

　　为尽可能持续绕开检测，这些恶意软件会不断升级优化，擅长利用常用工具进行混淆。例如，Joker使用了谷歌设计的开源应用开发工具包Flutter来避免基于设备和应用商店的安全检测，这使得开发者可以从一个代码库中为移动、网络和桌面制作本地应用。由于Flutter的多功能性，恶意软件代码很容易绕过检查。

　　面对恶意软件的泛滥，谷歌表示，仅在2021年，就封禁了19万个恶意和垃圾邮件开发者账号，删除了120万个违反谷歌Play政策的应用程序，但这并不意味着这些删除是及时的。如上文所述，去年6月，网络安全公司Evina发现了8款包含Autolycos的恶意软件，并立即向谷歌报告。

　　但谷歌用了大约半年时间才删除了其中6条，另外两条直到今年7月初才被删除。正是由于很多恶意软件仍然需要安全公司甚至用户主动发现和举报，再经过一定时间的谷歌验证，所以很多恶意软件在被下载上万次后才被删除。在此期间，攻击者可能或多或少达到了目的。谷歌也曾尝试扩大检测和防御手段，主要依靠事后删除，但这些恶意软件的更新迭代也在加速，总能找到漏洞潜入。

　　今年4月，谷歌采取了一系列新的发展策略，要求从2022年11月1日起，所有新发布的应用必须在最新安卓系统版本发布后的一年内匹配API级别，否则将无法上架Google Play；但如果现有应用在两年内没有标注相应的API级别，则会被谷歌Play移除。

　　这一变化旨在要求应用程序开发人员采用更严格的API策略来支持新版本的Android，针对当前的安全威胁实现更好的权限管理和撤销，并通知反劫持数据隐私增强、网络钓鱼检测、屏幕启动限制等功能。