作為 Android 使用者,你可能會認為從 Google Play 商店下載應用程式是安全的。這可以理解,但並不完全準確。

嚴格的安全檢查使 Play 商店成為獲取 Android 應用程式最安全的地方,但並非完全安全。Google 的應用程式商店是網路犯罪分子和利用你的資料營利(進而入侵其安全性)的開發人員的首要目標,且永遠不可能達到 100% 無風險。

這就是為什麼你需要謹慎地選擇應用程式:在下載應用程式前進行審查、稽核已下載的應用程式,並在發生資料外洩時保護好你的裝置資料。

惡意應用程式如何繞過 Google

去年,Google 阻擋了 175 萬個違反政策的應用程式(新視窗)發布,並停用了超過 80,000 個開發人員帳號。Google Play 安全防護(新視窗)內建於大多數 Android 裝置,阻擋了 2.66 億次具風險的安裝嘗試。

但 Google 能做的有限。網路犯罪分子總是能找到方法繞過 Google 的發布前和安裝前掃描。

常見的策略:

  • 提交乾淨的應用程式進行審查,然後透過遠端更新推送惡意活動。
  • 將惡意應用程式偽裝成簡單(且實用)的工具應用程式,例如文件掃描器或 PDF 閱讀器。
  • 將惡意應用程式偽裝成安全或防毒應用程式,這是一種特別狡猾且有效的偽裝——如果使用者急於解決問題,他們在安裝前仔細審查的可能性就會降低。

每天有 2,029 個應用程式(新視窗)在 Play 商店上發布,因此有些惡意應用程式漏出 Google 的防護網是不可避免的。去年,Bitdefender 發現了一項代號為 Vapor(新視窗) 的廣告詐欺活動,其中涉及至少 331 個惡意應用程式,其中部分程式會收集使用者憑證和信用卡資料。

這些應用程式從 Play 商店被下載了超過 6,000 萬次。

合法的應用程式仍可能讓你的資料面臨風險

惡意應用程式並非 Play 商店上唯一需要注意的危害。還有一些合法的應用程式會悄悄收集並儲存你的個人與追蹤資料,並將其與廣告網路等第三方共享。

去年,NowSecure 跨 iOS 和 Android 測試了 25,000 個應用程式(新視窗),發現有 75% 的 iOS 應用程式和 70% 的 Android 應用程式收集了敏感資料和追蹤網域。

Google 允許這些應用程式上架 Play 商店,是因為開發人員在應用程式產品頁面的資料安全部分中,公開披露了他們收集哪些資料以及原因。

Google 在 2025 年收緊了政策,阻擋了 255,000 個應用程式(新視窗)獲取對敏感資料的「過度存取權」。這使得成千上萬個未被阻擋的應用程式依然在 Google 政策的字面許可內收集資料,但這仍遠遠超出了使用者的預期。

這不僅僅是隱私問題:它也很危險合法但渴望獲取資料的應用程式會定期與廣告 SDK 和分析夥伴共享使用者資料。這些第三方隨後可以將這些資料傳遞給不道德的資料經紀商

這條鏈中的每個連結都是潛在的外洩點。如果你的資料遭到入侵,你可能要到為時已晚時才會發現。

需要注意的事項:五點檢查清單

目前沒有權威、最新且可供參考的已禁用(和應該禁用)應用程式黑名單。

但你可以透過注意一些跡象來識別具風險的應用程式:

  1. 檢查資料安全性部分:開發人員是否說明了他們收集哪些資料以及將如何使用?空白的資料安全性部分當然是一個嚴重的警訊,但與應用程式功能不符的政策也是如此。手電筒應用程式不應該需要知道你的聯絡人。
  2. 在安裝時閱讀權限:安裝應用程式後,它通常會要求存取你的位置、聯絡人、儲存空間、位置和/或麥克風。有時這合情合理,但有時卻顯得過度。同樣地,桌布應用程式需要知道你的位置嗎?
  3. 檢查開發人員名稱與歷史紀錄:開發人員是擁有其他已發布應用程式和網頁曝光度的具名公司嗎?還是這只是一個只有這一款應用程式、且沒有任何背景脈絡的單人帳號? 
  4. 檢查評論是否真實:虛假評論往往會以明顯的模式顯示。在短時間內貼出大量五星好評是已知的操縱策略。檢查正面評論中是否夾雜著批評性評論,以及評論日期是否分布廣泛。
  5. 小心免費的工具應用程式:惡意應用程式和資料收集應用程式最常見的偽裝是免費的手電筒和電池應用程式、鍵盤應用程式、免費的照片編輯器、具有位置存取權限的天氣應用程式,以及含有廣告的遊戲。如果一款應用程式是免費的,而你看不出它的功能如何能為其開發人員賺錢,那麼答案可能就是你的資料就是他們的營收模式。

如何保護你的資料

即使你已經做好了盡職調查,可能仍會不小心從 Play 商店下載到惡意應用程式。但有了適當的防護措施,你就可以限制該應用程式所能造成的損害。

使用 Proton VPN 加密你的連線

惡意應用程式通常會嘗試透過未加密的連線傳輸你的資料(包括你的瀏覽行為、位置和裝置識別碼)。

這時就需要 Proton VPN:一個安全的 VPN(新視窗),它

  • 在網路層級加密往返你手機的所有資料,使瀏覽行為、位置和裝置識別碼的傳輸和攔截變得更加困難
  • 防止在公共 WiFi 上進行網路層級的監視(這是遭到入侵的應用程式常見的攻擊媒介(新視窗)) 
  • 阻擋分析 SDK 所依賴的資料傳輸(透過內建的追蹤程式攔截程式 NetShield(新視窗)),從而限制開發人員與第三方共享的資料

使用 Proton Pass 保護你的憑證

惡意應用程式使用隱形的按鍵記錄器和網路釣魚覆蓋層來竊取登入憑證。如果你和許多人一樣,在多個帳號中重複使用相同的密碼,這可能會造成特別嚴重的損害。

Proton Pass 是一款安全的密碼管理程式,可以解決這兩個問題:

  • 為你建立的每個帳號產生獨一無二的密碼,因此如果其中一個帳號外洩,也不會導致所有帳號都外洩
  • 透過端對端、零知識加密來保護密碼、通行密鑰和信用卡。這意味著你的憑證在離開裝置之前就已經在裝置上完成加密,甚至連 Proton 也無法存取它們。

了解如何移除惡意軟體

如果你擔心自己的裝置已遭到入侵,或者想知道在遭到入侵時要注意什麼,請確保你能識別出手機被駭的跡象