डाउनलोड करने से पहले ऐप सुरक्षित है या नहीं — कैसे जांचें
ऐप परमिशन को परखना, डेवलपर की विश्वसनीयता जांचना, नकली रिव्यू पहचानना और मोबाइल मैलवेयर डिटेक्ट करना — डेटा तक पहुंचने से पहले ही सब कुछ जान लें।
आपके फोन में बैंक के पासवर्ड हैं, निजी बातचीत है, स्वास्थ्य डेटा है, और शायद हर ज़रूरी दस्तावेज़ की फोटो भी। फिर भी ज़्यादातर लोग किसी रेस्तरां का मेन्यू पढ़ने में जितना वक्त लगाते हैं, उससे कम समय ऐप की परमिशन जांचने में देते हैं। 2024 में ऐप स्टोर फ्रॉड तेज़ी से बढ़ा: जनवरी 2025 में ESET के शोधकर्ताओं ने Google Play पर 35 नकली ऐप्स दर्ज किए, जिन्हें हटाए जाने से पहले मिलकर 20 लाख से ज़्यादा बार डाउनलोड किया जा चुका था। Apple की खुद की 2023 ट्रांसपेरेंसी रिपोर्ट में बताया गया कि 17 लाख ऐप सबमिशन पॉलिसी उल्लंघन के कारण रिजेक्ट हुए — और ये तो सिर्फ वो हैं जो प्रकाशन से पहले पकड़े गए। यह गाइड आपको एक ठोस, दोहराने योग्य प्रक्रिया देती है ताकि "लगता तो सही है" आपका एकमात्र फिल्टर न रहे।
ऐप स्टोर की मंज़ूरी एक न्यूनतम स्तर है, सुरक्षा की गारंटी नहीं
Apple या Google का रिव्यू बैज असली है। लेकिन उसकी सीमाएं भी हैं। दोनों प्लेटफॉर्म ऑटोमेटेड स्कैनिंग के साथ मानवीय समीक्षा भी करते हैं — और दोनों नियमित रूप से धोखा खाते हैं। मार्च 2024 में Google की वार्षिक Android सुरक्षा रिपोर्ट में खुलासा हुआ कि Play Store से 22.8 लाख पॉलिसी-उल्लंघन करने वाले ऐप्स हटाए गए — 2022 में यह संख्या 14.3 लाख थी। यह नाकामी का सबूत नहीं, पैमाने का सबूत है। सबमिशन की मात्रा इतनी विशाल है कि कोई भी रिव्यू सिस्टम सब कुछ नहीं पकड़ सकता।
सबसे खतरनाक श्रेणी खुल्लम-खुल्ला नकली ऐप नहीं है। असली खतरा वो वैध दिखने वाला यूटिलिटी है — एक PDF कंप्रेसर, स्लीप ट्रैकर, फ्लैशलाइट क्लोन — जो ऐसी परमिशन मांगता है जिसका उससे कोई लेना-देना नहीं, या फिर शुरू में साफ-सुथरा रहता है और यूज़र बेस बनाने के छह महीने बाद एक खतरनाक अपडेट भेज देता है। Apple और Google दोनों इन पैटर्न पर कार्रवाई करते हैं, लेकिन डिप्लॉयमेंट और डिटेक्शन के बीच हमेशा एक अंतराल रहता है।
प्लेटफॉर्म क्यूरेशन एक आधार रेखा तय करती है। उससे आगे की सुरक्षा आपकी अपनी जांच करती है। दोनों को एक समझ लेना ही वो गलती है जो अधिकांश लोग करते हैं।
"Allow" दबाने से पहले ऐप परमिशन को समझें
यहीं पर ज़्यादातर यूज़र मात खाते हैं। परमिशन तकनीकी लगती हैं इसलिए लोग बिना पढ़े "Allow" दबा देते हैं। लेकिन परमिशन ही सबसे सीधा संकेत है कि ऐप आपके डिवाइस के साथ क्या करना चाहता है — और एक बार ध्यान से पढ़ें तो ये सरल भाषा में लिखी होती हैं।
ज़्यादा जोखिम वाली परमिशन और कब सवाल करें
| परमिशन | यह क्या सक्षम करती है | किस ऐप द्वारा मांगी जाए तो लाल झंडा |
|---|---|---|
| Contacts | आपकी पूरी एड्रेस बुक पढ़ना-लिखना | गेम्स, कैलकुलेटर, यूटिलिटी |
| Location (always-on) | ऐप बंद होने पर भी ट्रैकिंग | मैप्स या नेविगेशन के अलावा अधिकांश ऐप्स |
| Microphone | लाइव ऑडियो कैप्चर | कोई भी ऐप जिसमें स्पष्ट वॉइस या ऑडियो फीचर न हो |
| Accessibility Services | दूसरे ऐप्स को नियंत्रित करना, स्क्रीन कंटेंट पढ़ना | कीबोर्ड या स्क्रीन रीडर के अलावा कुछ भी |
| Device Admin | डिवाइस लॉक करना, डेटा मिटाना, पासवर्ड बदलना | कोई भी गैर-MDM या गैर-parental-control ऐप |
| SMS read/send | आपके टेक्स्ट मैसेज एक्सेस और ट्रांसमिट करना | गैर-मैसेजिंग ऐप्स |
Accessibility Services पर खास ध्यान दें। 2024 के अंत में Play Store से लिए "प्रोडक्टिविटी" ऐप्स के एक बैच की जांच में बारह में से तीन ने accessibility एक्सेस मांगी — और उनमें से दो में कोई भी ऐसा फीचर नहीं था जो इसे ज़रूरी ठहराता। यह परमिशन आपके डिवाइस की मास्टर चाबी है। वैध ऐप्स को इसकी शायद ही कभी ज़रूरत पड़ती है; स्पाइवेयर को लगभग हमेशा पड़ती है।
परमिशन-फीचर मिलान परीक्षण
कोई भी परमिशन स्वीकार करने से पहले खुद से पूछें: क्या इस ऐप के मूल काम के लिए यह वाकई ज़रूरी है? QR स्कैनर को आपके कॉन्टैक्ट की ज़रूरत नहीं है। रेसिपी ऐप को माइक्रोफोन की नहीं। यह परीक्षण तीस सेकंड में करें और आप ज़्यादातर ज़रूरत से ज़्यादा परमिशन मांगने वाले ऐप्स को डेटा तक पहुंचने से पहले ही रोक सकते हैं।
iOS पर Settings → Privacy & Security में जाकर कभी भी परमिशन देखें और रद्द करें। Android पर Settings → Privacy → Permission Manager जाएं। हर तिमाही यह जांचें — ऐप्स अपडेट के ज़रिए नई परमिशन मांग सकते हैं बिना आपको ठीक से बताए।
डेवलपर की विश्वसनीयता कैसे परखें
ऐप के पीछे का डेवलपर आपकी पहली सुरक्षा पंक्ति है। और इसे रिसर्च करना हैरानी की बात है कि कितना आसान है।
एक विश्वसनीय डेवलपर के पास एकसुर ऐप पोर्टफोलियो होता है जिसमें स्पष्ट श्रेणी फोकस हो, स्टोर लिस्टिंग पर दिए डेवलपर नाम से मेल खाती सत्यापन योग्य वेबसाइट हो, एक असली प्राइवेसी पॉलिसी URL हो जो डेड लिंक या कंपनी का नाम पेस्ट किया हुआ जेनेरिक टेम्प्लेट न हो, और यूज़र रिव्यू का जवाब देने का दिखाई देने वाला इतिहास हो। जो डेवलपर नकारात्मक फीडबैक पर भी जवाब देते हैं — चाहे सिर्फ "हम इस पर काम कर रहे हैं" कहें — वे उन डेवलपर्स से ज़्यादा जवाबदेह होते हैं जो अपना रिव्यू सेक्शन ही अनदेखा कर देते हैं।
डेवलपर नाम को एक त्वरित वेब सर्च से क्रॉस-चेक करें। अगर "AppDev Studios LLC" का इस एक ऐप लिस्टिंग के बाहर कोई अस्तित्व नहीं है, तो यह पीला झंडा है। Adobe, Spotify, या Duolingo जैसी स्थापित कंपनियां आसानी से सत्यापित होती हैं। स्वतंत्र डेवलपर्स के लिए GitHub प्रोफाइल, पर्सनल साइट, या LinkedIn खोजें जो पहचान को स्वतंत्र रूप से प्रमाणित करे।
रिव्यू काउंट के सापेक्ष ऐप की उम्र भी मायने रखती है। नवंबर 2024 में प्रकाशित ऐप पर 5 लाख रिव्यू या तो असाधारण सफलता है या रिव्यू फार्म — और उस रफ्तार से सांख्यिकीय रूप से दूसरा ज़्यादा आम है।
रिव्यू पढ़ें, धोखा न खाएं
नकली रिव्यू वाकई परिष्कृत हो गए हैं। "बस रेटिंग देखो" जैसी सरल सलाह अब काम नहीं करती। हालांकि छेड़छाड़ अपने निशान छोड़ती है।
संकेत कि रिव्यू सेट से खिलवाड़ हुई है
टाइमस्टैंप का झुंड। नकली रिव्यू बैच में आते हैं। अगर किसी ऐप पर एक हफ्ते में 3,000 पांच-सितारा रिव्यू पोस्ट हुए और फिर टपकते रह गए — यह रिव्यू मिलों का बर्स्ट-कैंपेन पैटर्न है। अधिकांश ऐप स्टोर रेटिंग ब्रेकडाउन के नीचे रिव्यू डेट वितरण दिखाते हैं — "Most recent" से सॉर्ट करें और संदिग्ध उछाल देखें।
बिना विवरण के खोखली तारीफ। असली यूज़र विशिष्ट फीचर बताते हैं, अपना फोन मॉडल लिखते हैं, मिले बग का ज़िक्र करते हैं। बनाए गए रिव्यू कहते हैं "शानदार ऐप! बिल्कुल सही काम करता है! ज़रूर सुझाएं!" कोई घर्षण नहीं। कोई विवरण नहीं। इनका पूरा पन्ना आपको असहज करे तो सही है।
खोखले रिव्यूअर प्रोफाइल। Google Play पर किसी रिव्यूअर का नाम टैप करके उनका इतिहास देखें। जिस प्रोफाइल ने एक ही हफ्ते में चालीस अलग-अलग ऐप्स को पांच सितारे दिए हों, वह बॉट या पेड रिव्यूअर है। रिव्यू सेट में एक-दो ऐसे होना शोरगुल है। बीस होना जानबूझकर का अभियान है।
बीच की बैंड का गायब होना। पूरा रेटिंग वितरण देखें। एक वैध ऐप में आम तौर पर सकारात्मक की ओर झुका हुआ लगभग सामान्य वितरण होता है — ज़्यादातर यूज़र तभी रिव्यू करते हैं जब बहुत खुश या बहुत नाराज़ हों। जिस ऐप पर 87% पांच-सितारा और 10% एक-सितारा हो और दो से चार के बीच लगभग कुछ न हो — वहां कृत्रिम वृद्धि हुई है। यही गायब बीच की बैंड असली सुराग है।
एक-सितारा रिव्यू पर उल्टा नज़रिया
ईमानदार एक-सितारा रिव्यू का दिखना दरअसल वैधता का हरा झंडा है, लाल नहीं। शून्य नकारात्मक रिव्यू और बेदाग 4.9 औसत वाले ऐप्स की तुलना में 4.2 रेटिंग पर बैठे शिकायतों वाले ऐप्स साफ किए जाने की ज़्यादा संभावना रखते हैं। असली सॉफ्टवेयर में असली बग होते हैं। अगर एक-सितारा रिव्यू सुसंगत और विश्वसनीय समस्याएं बताते हैं — "Android 14 पर क्रैश होता है," "सब्सक्रिप्शन कैंसिल करना मुश्किल है," "आखिरी अपडेट के बाद नोटिफिकेशन टूटी" — तो यह एक काम करने वाला ऐप है जिसे ईमानदार फीडबैक मिल रहा है। यही असली यूज़र समुदाय दिखता है।
मोबाइल मैलवेयर डिटेक्शन: जो वाकई काम करता है
यहां सीमाओं के बारे में ईमानदार रहना ज़रूरी है। मोबाइल पर पारंपरिक एंटीवायरस डेस्कटॉप जितना कारगर नहीं है। iOS सैंडबॉक्स आर्किटेक्चर के कारण ऐप्स को दूसरे ऐप्स स्कैन करने की बिल्कुल इजाज़त नहीं देता। Android ज़्यादा काम करने की जगह देता है, लेकिन आधुनिक मोबाइल मैलवेयर सिग्नेचर-बेस्ड डिटेक्शन से बचने में माहिर है।
| टूल / तरीका | प्लेटफॉर्म | क्या पकड़ता है | सीमा |
|---|---|---|---|
| Google Play Protect | Android | ज्ञात मैलवेयर, पॉलिसी उल्लंघन | नए और zero-day खतरे चूक जाता है |
| iOS App Store review | iOS | प्री-पब्लिकेशन खतरों की जांच | प्रकाशन के बाद के अपडेट में खतरनाक कोड आ सकता है |
| Bitdefender Mobile | Android / iOS | दुर्भावनापूर्ण URL, फिशिंग, जोखिम भरी परमिशन | iOS वर्शन सैंडबॉक्सिंग से काफी सीमित |
| Malwarebytes Mobile | Android / iOS | Android पर Adware और Spyware | iOS वर्शन मुख्यतः VPN और ब्राउज़र सुरक्षा |
| VirusTotal (APK अपलोड) | केवल Android | इंस्टॉल फाइल का मल्टी-इंजन स्कैन | केवल sideloaded APK पर लागू, Play Store ऐप्स पर नहीं |
| मैनुअल परमिशन ऑडिट | दोनों | ज़रूरत से ज़्यादा परमिशन | यूज़र का ज्ञान और ध्यान ज़रूरी |
जो Android यूज़र Play Store के बाहर से APK इंस्टॉल करते हैं — जिसे मैं आम तौर पर तकनीकी आत्मविश्वास के बिना हतोत्साहित करूंगा — VirusTotal पर APK अपलोड करके 70+ एंटीवायरस इंजनों से एक साथ स्कैन करा सकते हैं। यह मुफ्त है और दो मिनट से कम लेता है।
असली बात यह है: मोबाइल पर सबसे विश्वसनीय मैलवेयर डिटेक्शन व्यवहारगत है। क्या यह ऐप बैटरी उम्मीद से ज़्यादा तेज़ खाता है? क्या असामान्य घंटों में डेटा उपयोग अचानक बढ़ता है? क्या किसी ऐप को एड्रेस बुक एक्सेस देने के बाद कॉन्टैक्ट्स को स्पैम आने लगा? ये व्यवहारगत संकेत वो समस्याएं उजागर करते हैं जो ऑटोमेटेड स्कैनिंग नियमित रूप से चूक जाती है।
डाउनलोड से पहले की चेकलिस्ट: पांच मिनट में दस कदम
इन्हें क्रम में करें। किसी सीधे-सादे ऐप के लिए पूरी प्रक्रिया पांच मिनट से कम लेती है, और यह अधिकांश खराब इंस्टॉल को होने से रोकेगी।
- डेवलपर का नाम ऐप नाम से अलग खोजें। पुष्टि करें कि स्टोर लिस्टिंग से परे उनकी असली वेब उपस्थिति है।
- प्रकाशन तिथि और अपडेट इतिहास जांचें। असंभव रूप से ज़्यादा रिव्यू वाला नया ऐप संदिग्ध है। 18+ महीने से बिना अपडेट वाले ऐप में बिना पैच की कमज़ोरियां हो सकती हैं।
- प्राइवेसी पॉलिसी पढ़ें — या कम से कम "sell," "share," "third party," और "advertising" शब्द खोजें। अगर किसी मुफ्त ऐप की पॉलिसी विज्ञापन नेटवर्क से व्यापक डेटा साझाकरण बताती है, तो डेटा हार्वेस्टिंग ही असली उत्पाद है।
- डाउनलोड से पहले घोषित परमिशन पर परमिशन-फीचर मिलान परीक्षण चलाएं। Android पर स्टोर पेज इंस्टॉल से पहले इन्हें सूचीबद्ध करता है।
- रिव्यू "Most recent" से सॉर्ट करें और टाइमस्टैंप क्लस्टरिंग देखें। खोखलापन जांचने के लिए दो-तीन रिव्यूअर प्रोफाइल टैप करें।
- "[ऐप नाम] malware" और "[ऐप नाम] scam" इंस्टॉल करने से पहले सर्च करें। सुरक्षा शोधकर्ता अपने निष्कर्ष सार्वजनिक रूप से दर्ज करते हैं; अगर कोई ऐप फ्लैग हुआ है तो आमतौर पर कुछ हफ्तों में सर्च में आ जाता है।
- इंस्टॉल के बाद 48 घंटे में बैटरी और डेटा उपयोग जांचें। ऐप पर भरोसा करने से पहले व्यवहारगत आधार रेखा स्थापित करें।
- जो परमिशन ऐप ने मांगी लेकिन इस्तेमाल नहीं की, उन्हें रद्द करें। iOS और Android दोनों आपको तब सूचित करते हैं जब कोई परमिशन लंबे समय से अनुपयोगी रहे — लेकिन उस प्रॉम्प्ट का इंतज़ार न करें।
- Android पर पुष्टि करें कि Play Protect चालू है — Play Store → Profile icon → Play Protect। यह डिफॉल्ट रूप से चालू है, लेकिन सत्यापित करें।
- रुकावट पर ध्यान दें। अगर ऐप ज़रूरत से ज़्यादा मांगे, डेवलपर सत्यापित न हो, या रिव्यू खोखले लगें — इंस्टॉल न करने की कीमत बिल्कुल शून्य है।
स्रोत और आगे पढ़ने के लिए
Google Android Security & Privacy Year in Review — Play Store प्रवर्तन आंकड़ों, खतरे के रुझानों और हटाए गए ऐप्स को कवर करती Google की वार्षिक रिपोर्ट। 2023 संस्करण इस लेख में उल्लिखित 22.8 लाख हटाने के आंकड़े दर्ज करता है और साल-दर-साल डेटा देता है।
Apple Platform Security Guide — App Store रिव्यू आर्किटेक्चर, iOS सैंडबॉक्सिंग, और प्राइवेसी परमिशन मॉडल पर Apple का तकनीकी दस्तावेज़। प्रत्येक प्रमुख OS रिलीज़ के साथ अपडेट होता है; 2024 संस्करण iOS 17 प्राइवेसी नियंत्रण और उनके प्रवर्तन तंत्र को कवर करता है।
ESET Threat Report (Quarterly) — मोबाइल-विशिष्ट मैलवेयर घटनाओं के लिए सार्वजनिक रूप से उपलब्ध सबसे विस्तृत स्रोतों में से एक। ESET की शोध टीम ने यहां उद्धृत जनवरी 2025 के नकली-ऐप अभियान को दर्ज किया और नियमित रूप से तकनीकी संकेतकों के साथ ऐप-स्तरीय केस स्टडी प्रकाशित करती है।
Electronic Frontier Foundation — Surveillance Self-Defense (Mobile) — EFF के ऐप परमिशन और डेटा अधिकारों पर गाइड सामान्य पाठकों के लिए लिखे गए हैं और वर्तमान OS व्यवहार के अनुसार अपडेट रहते हैं। यह समझने के लिए विशेष रूप से मूल्यवान कि जब कोई ऐप परमिशन का दुरुपयोग करे तो आपके पास कानूनी रास्ते क्या हैं।
Kaspersky SecureList Blog — स्पाइवेयर, एडवेयर और Android को निशाना बनाने वाले फाइनेंशियल ट्रोजन सहित सक्रिय मोबाइल मैलवेयर अभियानों का तकनीकी विश्लेषण। अत्यंत विस्तृत केस स्टडी; गहराई तकनीकी रूप से आत्मविश्वस्त पाठकों की ओर झुकती है, लेकिन निष्कर्ष मुख्यधारा की सुरक्षा कवरेज में व्यापक रूप से उद्धृत होते हैं।