Как пользователи смартфонов и обычные граждане Интернета, мы все привыкли видеть заголовки, рассказывающие нам, как приложение в магазине для наших телефонов было обнаружено несколько приложений с вредоносными программами, и их было загружено несколько миллионов. раз. Эти истории исходят от охранных компаний, которые тратят 100% своего времени на поиск подобных вещей, и это здорово, что эти компании делают всю эту грязную работу — чем больше внимания мы уделяем тому, что мы можем установить на наши телефоны, тем лучше. Но так же важно рассматривать все в перспективе; не преуменьшать риски, связанные с загрузкой любой приложение для любого типа компьютера, но чтобы укрепить его и выяснить, что лучше всего, когда дело доходит до того, что мы делаем.
И когда все сказано и сделано, Гугл игры по-прежнему является лучшим местом, которое почти каждый может использовать, когда хочет загрузить приложение. Конечно, это не идеально. Даже Гугл это знает. Но когда дело доходит до минимизации рисков, связанных с тем, что вы делитесь чем-либо с другой компанией или частным лицом, которое хочет получить прибыль от ваших данных, это ваш лучший выбор.
Что такое вредоносное ПО?
Первое, что вам нужно учитывать, это то, что определение вредоносного ПО различается. Для нас с вами (и для компаний, занимающихся безопасностью, таких как Sophos или Lookout), вредоносное ПО — это любое приложение или часть приложения, которое делает то, что, по нашему мнению, делать не следует. Игра, которая собирает информацию из вашей адресной книги, или приложение, в котором есть реклама, отслеживающая ваше местоположение и историю интернета, — это дерьмо и вредоносное ПО. Но есть еще один фактор в уравнении, и это запрос разрешения.
Вредоносное ПО — это то, о чем мы все ненавидим говорить, но нам все равно нужно это делать.
Разрешения Android позволяют приложению делать действительно неприятные вещи и не классифицироваться как вредоносное ПО автоматическим сканером или самим Google. И это отстой. Но это вполне приемлемо и на другом уровне, потому что соблюдаются все правила. Вот почему Google регулярно меняет эти правила и запрещает такие вещи, как наложение экрана. Когда ваше любимое приложение для затемнения экрана или боковая панель на вашем телефоне Galaxy S edge меняют принцип работы а вам это не нравится, обвиняйте дерьмовых разработчиков, которые использовали оверлей, чтобы заставить людей кликать вещи. И таких много.
Настоящее вредоносное ПО — это приложение, которое делает то, что вы не дайте ему разрешение сделать. Они существуют, и иногда они могут оказаться в Google Play. Но они не длятся очень долго, и у Google есть вторичные проверки, которые блокируют их установку на ваш телефон, даже если они размещены в Play Store и вы их загрузили. Даже если приложение делает что-то хитрое, чтобы заставить вас добавить что-то из другого источника через прямой скачать, Google Play Protect регулярно сканирует все ваши приложения и найдет их, если они у вас есть. включено. И вы полностью должны включить его.
Вредоносное ПО в Google Play
Как было сказано выше, это бывает. Когда это произойдет, вы везде увидите заголовок (что хорошо), чтобы вы знали, что вредоносное ПО было обнаружено в твой магазин приложений. Вы также увидите, сколько миллионов раз оно было загружено, и то, что 5 миллионов человек скачали приложение, которое может использовать программное обеспечение их телефона и отправлять данные обратно на какой-то сервер, пугает. Но опять же, нужна некоторая перспектива; Google утверждает, что более 2 миллиардов активных Android-устройств используют Google Play каждый месяц. 5 миллионов человек — это 0,25% от них, а это означает, что 99,75% пользователей Android не подвергались риску.
Любое вредоносное ПО в магазине приложений — это слишком много вредоносного ПО на наш вкус. Google тоже.
Эти 0,25% все еще слишком высоко. Google соглашается, и у него есть высокая цель — свести к нулю экземпляры вредоносных программ в своем магазине. Они также знают, что этого не произойдет, но все равно ставят перед собой высокие цели. И они должны, потому что они просят нашего доверия. Доверие никогда не должно предоставляться бесплатно, а также должно быть быстро отозвано, когда это необходимо. Помните, что Google — огромная компания, и люди, которые хотят сделать все возможное для сбора ваших данных, — это не те люди, которые хотят сделать все возможное для защиты ваших данных. К счастью, Google охватывает оба отдела.
Большинство «вредоносных программ», найденных в Google Play, — это другие виды вредоносных программ. Приложения, которые следуют правилам, но зависят от того, что вы не читаете разрешения приложений (или даже не знаете о них) и все равно устанавливаете их дерьмо. Это большая проблема, потому что нет простого решения.
Открытый магазин приложений
Мы хотим и поддерживаем «открытый» магазин приложений. Это означает, что любой может потратить всего 5 долларов, зарегистрироваться в Google Play и загрузить приложение, которое мы с вами загрузим. Мы видели несколько замечательных приложений от людей, которые не могли позволить себе писать приложения для iOS из-за сборов и затрат. необходимое оборудование (вам нужен современный компьютер Mac для написания приложений для iOS), а в Google Play нет таких же ограничения. Но с хорошим всегда есть плохое.
Google Play возлагает на вас часть ответственности, когда речь идет о разрешениях для приложений. Читай их.
Другая сторона открытого магазина приложений не так красива. Любой, у кого есть айфон могу сказать вам, что все приложения в App Store уделяют одинаковое внимание пользовательскому интерфейсу, и Apple проверяет каждый отправка, чтобы убедиться, что оно соответствует стандартам как для взаимодействия с пользователем, так и для того, какие данные приложение может собирать и что оно может делать. с этим. Это вызывает некоторую головную боль у разработчиков, но если отбросить все преувеличения, делает приносят пользу пользователям. Это ты и я.
Google не использует одни и те же методы отправки. Вместо этого в нем перечисляются возможности Android, как разработчик может использовать их через открытые API, и принуждается приложение запрашивать разрешение на любое из этих действий. Это возлагает на вас и меня ответственность, когда дело доходит до того, чтобы приложения, которые технически не являются вредоносными программами, жили на наших телефонах. Это и хорошо и плохо; мы должны быть в состоянии установить все, что нам нравится, так как мы заплатили за устройство, но большинство людей даже не знают или не понимают разрешения приложений, не говоря уже о том, чтобы прочитать их.
Что означают эти страшные разрешения приложений
Google проделал хорошую работу по удалению разрешений из процесса установки, и, начиная с Android 6.0, вы можете зайти в свои настройки и отозвать любые или все разрешения для приложения. Но этого все еще недостаточно, потому что нам действительно нужно знать что разрешения фактически влекут за собой и почему приложение будет иметь законную потребность в этом. Мы должны нести основную ответственность за то, какие приложения мы устанавливаем на наши телефоны и что эти приложения могут делать. Но и мы должны быть должным образом проинформированы обо всем этом. На данный момент доступная информация нуждается в некоторой технической экспертизе, а этого недостаточно для продукта, ориентированного на обычного потребителя.
Другие магазины приложений
Существуют и другие магазины приложений, и мы не пытаемся сказать, что их использование небезопасно. Samsung, LG, Амазонка и другие имена, которые все знают, имеют свой собственный рынок приложений для Android. Еще одна популярная услуга F-дроид, на котором размещено 100 % бесплатное программное обеспечение (такое бесплатное, что означает, что вы можете получить исходный код и создать его самостоятельно) для устройств Android. Как правило, вы можете быть уверены, что приложения, которые вы получаете в любом из этих магазинов, будут безопасными для использования. Amazon и F-Droid сканируют загруженные приложения, и Google Play Protect также регулярно сканирует их, но есть и другие вещи, которые следует учитывать.
Вы знаете, что Samsung или F-Droid предлагают безопасные приложения, потому что читаете блог Android; не все читают блоги Android.
Такие компании, как Samsung или Amazon, также занимаются бизнесом данных и имеют собственную политику в отношении того, что можно собирать, как собирать и с кем можно делиться. F-Droid требует, чтобы вы отключили известную функцию безопасности и разрешили приложениям из "неизвестные источники" на телефоне для установки приложений. Ни одна из этих ситуаций не является плохой, но она создает дополнительную нагрузку на пользователя.
Я пользовался всеми вышеупомянутыми магазинами, и мне особенно нравится F-Droid, потому что он соответствует моей любви к Бесплатное программное обеспечение с открытым исходным кодом. Многие люди, читающие это, сделают то же самое. Но если вы читаете онлайн-блог Android, вы не тот «средний потребитель», для которого разработан Android и телефоны, работающие на нем. Многие люди с Android-телефоном не разбираются в технике, и даже те, у кого они есть, заинтересованы в изменении настроек безопасности или сортировке еще одного лицензионного соглашения для использования другого приложения магазин. Мы здесь, чтобы помочь информировать всех, но наш охват чрезвычайно ограничен, когда вы вернетесь к этому 2 миллиардам пользователей в месяц.
Google Play работает для всех
Мы не поддерживаем здесь, но Google Play остается лучшим местом для всех, где можно получить приложения для своего телефона. Google заинтересован в платформе Android и знает, что благодаря магазину приложений у него 2 миллиарда пользователей. Он тратит много денег и времени, чтобы сделать его максимально безопасным или, по крайней мере, попытаться сделать это.
Мы хотим, чтобы Google усердно работал над тем, чтобы сделать Play Store еще лучше для пользователей и разработчиков.
Тем не менее, у него есть много возможностей для улучшения. Вернитесь к двум различным определениям вредоносного ПО и к тому, как большая его часть в конечном итоге устанавливается на чей-то (включая ваш и мой) телефон. Текущая политика Google допускает такие вещи, как ненужный сбор данных или поверхностная вставка рекламы, потому что пользователи не знают о правилах или не понимают их. Нарушители знают правила и очень хорошо обходят их границы, чтобы извлечь выгоду из наших данных. Они зависят от неосведомленных потребителей, делающих нелогичный выбор, когда дело доходит до установки приложений, и этому нужно наконец положить конец.
Однако, учитывая все обстоятельства, Google Play по-прежнему остается лучшим выбором для огромного выбора безопасных приложений. Небольшой процент, подпадающий под любое из определений вредоносного ПО, требует решения, но их очень мало, и они вполне могут быть и в других магазинах приложений. «Продвинутые пользователи», за неимением лучшего термина, могут извлечь выгоду из других открытых рынков, таких как F-Droid, но в целом рекомендацию, которую все мы здесь, в Android Central, укажем кому угодно на Google Play и верим, что это правильно решение.