@
lilydjwg 之前不是说了根本没有程序可以区分代码是否用了混淆吗?除了这种特征明显,用公开工具生成的混淆代码。我写一个变量和函数名全是用拼音,冗余代码一堆,完全没有代码复用,全是复制粘贴,就算放 github 上也没人想看的那种代码,这算不算混淆?有任何规定说代码写的烂不允许上架吗?你确定这样搞能触发人工审核吗?而且我都怀疑 Mozilla 有那人力搞人工审核吗?
杀毒软件不也是靠特征码,比如我写个程序上传用户数据到我自己的服务器,杀毒软件能做的无非是在程序访问敏感文件的时候拦截,最终判断还是交给用户,但用户也不知道程序访问文件是否正常啊,比如搜索程序访问文件是很正常的行为,但要是这搜索程序还附带偷偷上传文件的功能呢?另外像用到了 p2p 技术的下载软件和网盘程序,读取文件并上传大量数据都是很正常的行为,如何把这种程序跟故意上传用户隐私的程序区分开呢?
说到底,这种连普通用户都无法区分的行为,不要指望靠机器来识别。无论是浏览器扩展的应用商店还是手机 app 的应用商店,都没有那么多人力来人工审核代码,现在大家做的无非就是细化各种权限,最终交给用户来决定是否给予相应的权限。