大部份 Android 用戶都會透過 Google Play 來下載手機應用程式(中國內地手機沒有 Play Store 除外),因為普遍認為利用 Google Play 會遠比在網上下載 apk 檔案安全得多。不過最近有網絡安全專家發現一款下載量超過 1 億次的軟件,竟然內嵌有惡意程式?事件不單引起關注,更有評論認為 Google 應該檢討目前應用上架的機制,以減低不良應用流傳的機會。
防毒軟件卡巴斯基的研究報告發現, Google Play Store 內的文件掃描軟件 CamScanner(CamScanner – Phone PDF Creator 及 CamScanner – Scanner to scan PDFs)發現內含惡意程式,這個下載量超過 1 億的 CamScanner 是依靠廣告和 in-app 購買來作為收入,過去一直沒有發現有問題。但在最近釋出的版本中,被發現內嵌惡意程式模塊 Trojan-Dropper.AndroidOS.Necro.n。
卡巴斯基指類似的惡意程式模塊,普遍在中國製造 Android 手機的預載軟件中出現,模塊會定期從開發者指定的伺服器下載經過加密的代碼,然後在手機上執行,中招的手機可能會被出現侵入式廣告、甚至會偷取用戶的資料甚至金錢。有用戶發現問題後已經向 Google Play 反映,而 Google 在收到卡巴斯基的通報後,亦已經將 CamScanner – Phone PDF Creator 下架。
不過過去都有聲音指 Google Play Store 應用程式的上架機制過份寬鬆,一般情況下,Google 不會主動針對應用作嚴格的審查,開發者可以輕易將應用上架,除非有關應用被發現問題才會將之下架。所以過去,經常有發現有魚目混珠的假遊戲;亦有一些沒有實際功能的釣魚廣告假應用程式;亦有更多程式被指過度取用使用者的手機權限,甚至內含惡意程式的情況時有發生。所以不少評論都認為 Google 應該檢討目前應用上架的機制,以減低不良應用流傳的機會。