沉默是金：谷歌如何捕获安卓恶意软件？

为了判断一款移动app是否存在恶意目的，谷歌聆听着寂静之声。

为谷歌应用商店提供支持的安卓设备包含一个名为Verify Apps（验证app）的安全机制，它以Settings app中一个设置功能的方式出现。

当用户安装的app不是来自谷歌应用商店时，Verify Apps就会将匿名数据发送给谷歌，随后谷歌就会检查所安装app是否存在危害。如果发现存在危害，Verify Apps就会告警用户并能使用户将其卸载。

要判断一款app是否存在潜在威胁需要数据支撑，而谷歌的做法就是判断所下载的app是否会停止调用Verify Apps机制。如果停止调用，那么就会被谷歌安全团队判断为“死亡或不安全（DOI）”。当计算app的留存率即使用Verify Apps一天内下载app的比例时不会被计算在内。谷歌认为这样计算对于评估一款设备的健康程度来说是一个很好的衡量手段，再结合其它数据，谷歌就会判断这款app是否存在潜在威胁。谷歌相关人员指出，DOI评分已经识别出三个已知恶意软件家族Ghost Push、Gooligan和Humminbad的2.5万多款app，它们降低安卓体验来提示用户重置或弃用设备。

安卓的安全状态看似是一项永久性工作。就在不久前，谷歌修复了一个导致Nexus 6和6p设备被攻陷的漏洞。