分析和审核
在某个应用可供在 Google Play 中下载之前,我们会分析和审核该应用及其开发者。我们会使用自动检测机制(例如机器学习)和真人分析师,确保 Google Play 中显示的应用对用户或设备无害。
开发者审核
作为开发者,您必须同意接受 Google Play 开发者分发协议,然后才能将您的应用提交到 Google Play。此合同旨在介绍在 Google Play 上发布应用的开发者所需要的行为。
此外,Google Play 还会通过多种方法来检查开发者是否符合这些政策。Google Play 的内部风险引擎可分析来自开发者 Google 帐号的信息、操作、历史记录、结算详细信息、设备信息等。如果出现可疑情况,我们会手动审核相关交易,以确保开发者合规。
内部应用审核
应用在 Google Play 上架之前,需要经过审核流程来确认其符合 Google Play 政策。Google 开发了一种自动化的应用风险分析器,可对应用进行静态和动态分析,以检测潜在有害应用 (PHA) 行为。当 Google 的应用风险分析器发现可疑内容时,它会标记该应用并将其指派给安全分析师进行人工审核。
Google Play 之外的应用审核
由于无论来源是什么,我们都会尝试保护用户免受 PHA 和移动垃圾软件 (MUwS) 的影响,因此,我们的系统必须分析尽可能多的应用并收集数据。我们通过抓取互联网和检查其他市场中已安装的应用,发现安全研究人员、用户和其他发现的应用。
用户可以在设备上启用 Google Play 保护机制中的改进有害应用检测功能,以允许 Google 审核新应用。启用此功能有助于 Google 分析更多应用,而我们的系统分析的应用越多,Google Play 保护机制就越能更好地识别和限制 PHA 对所有设备的影响。
机器学习
Play 保护机制利用 Google 强大的机器学习算法来抵御 PHA。Google 系统会通过分析我们的整个应用数据库,了解哪些应用有害、哪些应用安全。这种算法会分析数百个信号并比较整个 Android 生态系统中的行为,以了解是否有任何应用显示可疑行为,例如以意想不到的方式与设备上的其他应用互动、未经授权就能获取或分享个人数据、积极安装应用(包括 PHA)、访问恶意网站或绕过内置的安全功能。这些算法还有助于我们了解 PHA 的来源和盈利方式,从而确定这些类型的应用的动力。
以下是我们用于教机器识别良好和不良行为的一些工具。
静态分析对应用的代码进行分析,提取特征并将其与预期的良好行为和潜在的不良行为进行比较。
第三方报告GPP 致力于与行业和学术安全研究人员建立积极的关系。这些研究人员会通过各种方式评估应用,并发送有关其发现结果的反馈。
签名GPP 使用签名将应用与已知不良应用和漏洞数据库进行比较。
开发者关系GPP 会分析非代码功能,以确定应用之间可能存在的关系,并评估创建应用的开发者是否已与创建 PHA 相关联。
动态分析GPP 会运行应用,以确定静态分析法所看不到的交互行为。这样,审核者就可以识别需要访问服务器并下载动态代码的攻击。
启发法和相似性分析GPP 会比较各个应用,以找出能够识别有害应用的趋势。
SafetyNetSafetyNet 是一个注重隐私保护的传感器网络,横跨 Android 生态系统,能够识别可能危害设备的应用和其他威胁。
应用分类
对应用进行分析后,GPP 按照安全到有害程度对其进行分类。标记为安全的应用和应用更新会采用 Google Play。 系统会屏蔽标记为有害的应用。如果审核算法不清楚应用是否安全,则会将其标记为可能有害的应用。 Android 安全团队成员会手动审核 PHA。如果开发者故意执行恶意操作,则会遭到禁止,并且无法再在 Google Play 上发布应用。
持续保护
在用户安装应用后,GPP 会继续保护用户,即使该应用是从 Google Play 外部下载的也是如此。 GPP 的设备端保护功能会扫描和分析设备上的每款应用。