今天发现在酷安下的 app 有私货

翻页

@xpfocus 建议加强 app 举报渠道

@xuboying 举报直接 @酷安小编 @八百标兵 ... 就行了

@xpfocus Google 警告应该是 SELinux 的问题，你们排查一下吧， MiXplorer 也被警告了

@chengzhoukun 嗯，刚刚我们群里也有人发了 xda 的贴子，等下就查

没有金钢钻就别揽瓷器活。又想起了那酒店经理的话，一没强奸，而已没着火， 如果是你妈呢 。 怂货一个，责任哪去了，谁还敢用你们 。

@janrone 这论调我想起来快播庭审的缓存审核问题。。。

@janrone 你这是典型的 you can you up ， no can no bb 心态，楼主发现这个 apk 有问题，可这 apk 在国内各大市场都上架了，照你这意思，应用宝 豌豆荚这些市场连这种审查都做不到，干脆都关门算了。

@janrone 谷歌的审查也有问题

私以为话题应该转向
如何解决，做好完备的审核机制，而不是一味的官僚主义的纠责

以及技术社区居然开始讨论责任问题了~
还有技术何必为难技术~

所以诸君可以开始 block 了

play 上有问题的应用还少吗……
信 play 还不如相信 360 能杀毒

@yangff 那还是信 play 吧

@chengzhoukun 就 play 那审核机制和没有一样，如果要搞审核，就得像苹果那样，建立一套严格得规范， app 都要经过严格的代码+人工审核才能上架，但很显然，开放的 google 肯定不会这么玩的

其实我很理解这种状况。。酷安不是不想做好审核，而是根本腾不出这个资源去做审核；这是一个客观存在的矛盾。。。还是用 KFC 做比喻，大多数人是觉得 KFC 比较干净才去，结果发生了鸡肉问题，群众意见是 KFC 应该做好肉质的把关， KFC 觉得 1. 全国鸡肉都有问题，不只是我们。 2. 我们腾不出人手去做供应商判断和肉质检查了

@chengzhoukun 不管是国内还是国外，其实你们会发现很多有问题的 app 都来自国内，所以是国内这个大环境把很多开发者拉下水了

来源审核，对比签名可以发现酷安已经做到了来源审核，并不存在“不管哪里弄得 apk 都能上”。
至此楼主主题疑问已消除。
至于跟帖衍生出的安全性，技术上，试问安卓现在有哪个市场——包括 play ——能做到靠谱的安全审核？ play 每次被爆出有木马 app 的新闻，木马数量都是数百上千的。
P.S. 截图里这个提权脚本，没授予 root 权限根本就执行不了。作者改了个包名， play 就给重新上架了……

@21grams 我表述有问题，在没有包的时候 play 用以鉴定最初作者，签名用以鉴定两个包是否是同一作者，签名一致就认为没问题，就像同一个产品换了个包装的感觉，生产厂商和食品编号是一致的。

来讨论审核吧！分析的话~

沙盒 /逆向

沙盒: 改个虚拟机监控所有 API 调用，然后分析？_(:з)∠)_
逆向: 即使不利用逆向工具 bug ，不考虑法律问题，不看 C 层，从何而来足够的人力物力？

即使是沙盒那么监控周期多少适合？如果定向破坏肿么办？

所以目前最佳的审核方式就是人为举报。。。

而 Google 本身开源 Android 就有完备的第三方源采用机制，从禁用第三方源，版本升级的签名校验，权限控制，而且交给用户极大的自由度，所以良好的使用习惯能解决大部分问题。

而对于自提权之类的问题。。。打死开发者就好了，说那么多干嘛呢？

看来梨编的解释我才知道我靠 play 也不靠谱啊，怎么没人敢挑战老大哥。。。

@tastypear 你提供的图片中， play.apk 的 HASH 值明显与其他两个不同， HASH 值不同代表这个 apk 是被人修改过的，比如删除或者添加了文件。

因为 apk 的签名是针对文件的，并没有一个是针对完整 apk 包的，所以 apk 包的 HASH 值还是有必要参考的。

只不过想不明白，为什么 HASH 值不同，但是签名却还一样。难道 apk 在验证签名时只验证 MANIFEST.MF 文件中记录的文件吗？

建议酷安能根据这次事情，完善自己的提示和审查机制。你的每一次提升都会帮助你留住更多的用户。

就比如这次， 3 个文件的 HASH 值不同，完全可以在网页提示一下。这应该不需要高深的技术，去验证 apk 是否包含病毒什么的吧？