首先，Google Play 的審核機制可以說是漏洞百出。在應(yīng)用上架 Google Play 前的過程中，安全測試成了擺設(shè)，自動檢測算法根本沒起作用，人工審核就像個宣傳稱號——據(jù)賽門鐵克表示，這些應(yīng)用根本不能提供正常功能，所以人工審了什么?

　　其次，在上架及用戶安裝后 Google 宣傳的防護也沒起作用。基于機器學(xué)習(xí)技術(shù)識別流氓軟件的 Google Play Protect，據(jù)稱每天會掃描數(shù)十億應(yīng)用，一樣被繞過了。

　　最讓人無法接受的是，這些體系還是被繞過兩次，而第二次僅僅是通過改名就饒過了。這難免不讓人聯(lián)想到 Google Play 的安全流程中是不是沒有“總結(jié)經(jīng)驗”這一行為，所謂的機器學(xué)習(xí)是不是學(xué)和做分開了。

　　而相對系統(tǒng)漏洞來說，惡意應(yīng)用要讓用戶更加不適一些。畢竟大多數(shù)人的設(shè)備被蓄意利用漏洞攻擊的可能性近乎為 0，但是裝錯個應(yīng)用就直接中招了。

　　應(yīng)用

　　提到惡意應(yīng)用，很多人自然而然的就會聯(lián)想到流氓應(yīng)用，然后就會想到“全家桶”，進而就會想到 Google 這幾年更新了幾個管理措施，更進一步還會想到為什么還壓制不住他們。

　　其實，這事還得怨 Google，因為 Google 一直沒想明白問題重點。

　　以 Android 8.0 為例，Google 雖然推出了一個后臺控制特性，但是這個特性如果想完全正常使用有一個前提條件，應(yīng)用程序的封包 SDK 要達(dá)到 API 26(一個不面向用戶的開發(fā)設(shè)定，和 Android 版本同步更新，目前正式版最高?API 27，Android P 是 API 28)，直白點說就是應(yīng)用是針對 Android 8.0 開發(fā)的。如果應(yīng)用沒這么做，那么結(jié)果就是新特性最多只能發(fā)揮一小部分作用，但并不會影響 App 的正常使用和濫用。

　　所以，控制權(quán)在應(yīng)用開發(fā)者手里。如果他們認(rèn)為 Android 新機制非常棒，應(yīng)該遵守，那就上新的 API。而如果產(chǎn)品部、推送服務(wù)商覺得組成全家桶賣相好，那么就保持原樣。

　　PingWest 品玩測試了幾個 Google Play 中的應(yīng)用后發(fā)現(xiàn)，其中最低的居然可以低到 API 18，甚至 Google 自家的某些應(yīng)用也還停留在 API 24。而在 Google Play 之外，騰訊新推的 TIM，現(xiàn)在還在用 Android 4.0.3 時期的 API 15 玩的不亦樂乎。

　　可見，在這種近乎君子協(xié)議的前提下，想指望廠商跟上腳步、自我約束，這在短期內(nèi)無異于癡人說夢。

　　至于這種情況什么時候能更進一步的改善，還要看 Google 什么時候想明白強權(quán)的重要性。