Apptizo
⌘K
订阅
Hand holding smartphone capturing colorful tarot cards in focus.

Apps

这个应用安全吗?下载前必做的实用检查清单

移动端恶意软件正在快速增长——最危险的应用往往看起来人畜无害。学会审查权限、识别虚假评论,并在两分钟内发现应用商店的危险信号。

May 09, 2026 · 1 分钟阅读 · via kramaru

TLDR 安装任何应用之前,检查它请求的权限、核实开发者的信誉记录,并扫描评论的真实性信号。大多数高风险应用经得住粗略一瞥,却经不起90秒的仔细审查。本指南就是那90秒——不需要任何技术背景。

应用安装流程被设计得极为顺畅:点击、同意、完成。这种摩擦感的消除是刻意为之的产品决策——也正因如此,仅2024年第一季度,Android平台检测到的恶意软件包就高达340万个,数据来自卡巴斯基威胁情报部门。其中大多数并非明显的山寨货,它们伪装成手电筒工具、二维码扫描器、免费VPN服务。一次安全下载与一场数据收割噩梦之间的差距,往往只在于几个具体的检查——所花时间比读完一条推送通知还短。

权限界面不只是走个过场

大多数人点击"全部允许"就继续了。这很正常——那些弹窗就像高速收费站,是到达目的地之前必须清除的障碍。但那个界面是一款应用关于自身真实意图所给出的最诚实信号。

权限分为不同等级。在Android 13及以上版本中,"普通"权限(网络访问、震动控制)在安装时自动授予。"危险"权限——位置、摄像头、麦克风、通讯录、短信、存储——需要用户明确批准,这些才是值得仔细审查的。iOS遵循类似的划分逻辑,仅在应用首次尝试访问敏感资源时才会提示用户。要问的问题非常简单:这个应用真的需要这个权限来完成它的实际功能吗?

天气应用请求位置权限?合情合理。同一款应用请求通讯录和麦克风权限?告诉你要下雨根本不需要这两样东西。

一部智能手机屏幕显示应用权限请求弹窗

各项权限的真实含义

权限 合理用途 可疑用途
精确位置 地图、本地天气、网约车 免费手电筒、基础计算器、壁纸应用
通讯录 即时通讯、来电显示应用 照片滤镜、闹钟、PDF查看器
麦克风 语音/视频通话、语音搜索 无语音功能的游戏、新闻阅读器
摄像头 二维码扫描、视频通话 纯文字工具、预算管理工具
短信读取/发送 双重验证应用、专用短信应用 几乎任何非短信应用
无障碍服务 屏幕阅读器、密码管理器 间谍软件滥用最多的权限

最后一行值得高度警惕。拥有无障碍服务权限的应用可以读取屏幕上显示的一切内容、拦截按键输入,并以你的名义与其他应用交互。合理使用场景确实存在——TalkBack、LastPass、Tasker。但银行木马对这个权限的热爱超过其他任何权限。Group-IB在2024年初记录的木马程序GoldPickaxe,正是利用无障碍功能在Android和iOS两个平台上收割面部识别数据并拦截短信。如果任何你未曾主动寻找过无障碍功能的应用请求这个权限,直接拒绝。

Warning 如果一款应用要求无障碍服务权限,而它既不是屏幕阅读器、密码管理器,也不是你专门研究过的自动化工具,请立即拒绝。这个权限可以将你的银行凭证、双重验证码和屏幕上显示的密码暴露给应用的开发者。

还有一点:在Android上,旁加载应用——通过直接下载APK文件在Play商店之外安装——完全绕过了Google的预安装扫描。除非有充分且经过仔细核实的理由,否则请坚持使用官方应用商店。

如何判断开发者是否真实可信

应用商店列表上的开发者名称是首先需要核实的信息,也是最容易伪造的信息之一。

有一种反复出现的诈骗手法:恶意行为者克隆热门应用的名称和图标,以一个细微差别的名称注册开发者账号,然后发布冒牌货。2023年,Google从Play商店下架了228万个违规应用——这个数字直接来自其年度透明度报告——还不包括那些漏网之鱼。克隆应用是这一问题中真实且持续存在的一部分,在银行、加密货币和工具类应用中尤为突出。

我曾在一台较旧的Android设备上亲自测试过:搜索某家大型区域性银行的移动应用,Play商店的第三条结果就是一个克隆:图标几乎一模一样,开发者账号只有三周历史,公司名称不同但听起来很可信。评分4.8星。至于这个数字为何没有表面上那么令人放心,我们下面会谈到。

核实开发者可信度:分步操作流程

  1. 单独搜索开发者名称。 不要只依赖商店列表。把开发者名称加上"诈骗"或"恶意软件"放进搜索引擎。真正的公司在应用商店个人页面之外会有真实的网络存在。
  2. 查看开发者账号的创建时间和发布应用数量。 新账号发布的应用声称有数百万下载量,这值得额外审查。在Google Play上,列表页面会显示开发者的其他应用——如果这是他们唯一的应用且上个月才出现,在继续安装前请深入调查。
  3. 核实开发者的外部网站。 列表页面应该链接到一个有效的、具备可用联系信息的真实网站。开发者链接指向空白页面、停放域名或寥寥数语的Wix免费网站,这是一个有意义的警告信号。
  4. 在官方机构网站上查找该应用。 大型应用——你的银行、Spotify、你的保险提供商——都会在其主网站上直接提及或链接其应用。从那里开始,而不是从商店搜索结果。
  5. 核查支持邮箱的域名。 如果支持联系方式是Gmail或Hotmail地址,而该应用声称有1000万次下载,这种不匹配值得调查。这种体量的组织使用品牌邮箱。
  6. 查看实体地址。 并非每个小开发者都有办公室地址,但处理支付或医疗数据的应用通常在法律上需要披露一个。在这些类别中缺少地址是值得注意的。
Tip 任何与银行、医疗、加密货币或支付相关的应用——从该服务的官方网站开始下载流程,而不是从应用商店搜索栏。该组织自己的网站会链接到其经过发布者验证的商店列表。

虚假评论已经变得相当精密

4.6星加5万条评论,本身并不能证明质量或安全性。这一点需要直说。评论操控是一个蓬勃发展的产业。巴尔的摩大学研究人员2022年的一项分析估计,当年虚假评论在全球影响了1520亿美元的消费者购买决策——应用商店完全包含在这个数字里。

手法已经进化。早期的虚假评论工厂产出的是明显机械化的文字:短小、通用、措辞莫名正式。现在它们使用AI生成文案,词汇多变,句式混合,甚至还模拟出散布其中的3星和4星评论,以营造真实感。汇总评分不可轻信,必须阅读实际的评论内容。

真实与虚假应用商店评论的并排对比图

评论造假的信号

  • 突发式刷量模式。 按最新排序评论,查看是否有大量5星评价在几天内集中出现。自然增长的样子不会是垂直急升的曲线。
  • 不同评论者使用相同或近似措辞。 "这个应用改变了我的生活,完美运行!"在48小时内被五个账号逐字或近似地重复,这就是复制粘贴刷量农场的产出。
  • 零评论历史且无头像的评论者。 在Google Play上,你可以点击评论者名称查看其历史记录。只有一条评论、没有头像、名称通用的账号,往往是从刷量工厂批量购买的。
  • 评分数量与书面评论严重不符。 4.9星、8万条评分,但可见的书面回复只有14条——这不合逻辑。如果是真实用户在评分,这个数学根本站不住脚。
  • 评论内容与应用实际功能无关。 一款密码管理器收到称赞其"出色视频画质"或"精美的浏览界面"的评论,说明这些评论出自从未接触过产品的机器人或付费刷手。

这里有个反直觉的建议:一款4.2星、1800条详细混合评论的应用,往往比4.9星、10万条高度雷同评论的应用更值得信赖。评分低不总意味着更差,有时只意味着真实的人留下了真实的意见。

Info Fakespot等工具(提供浏览器扩展程序)可以分析部分平台上的评论模式,但其移动应用商店覆盖范围有限。手动检查时,按"最差评"或最低评分排序,往往能找到最坦诚的用户体验——真正不满意的用户会具体描述哪里出了问题。

你可能一直在略过的应用商店危险信号

除了权限和评论,列表页面本身也包含信号——前提是你真正在阅读,而不只是被动浏览。

描述中的拼写和语法错误。 正规开发者——尤其是达到一定规模的——在发布之前会有人校对商店列表。语句生硬、翻译腔浓厚或随机大写的描述文字,是低成本欺诈操作中常见的应用特征。

"最后更新"日期。 一款声称提供实时安全防护、实时金融数据或主动恶意软件扫描、却自2021年以来从未更新的应用,根本无法兑现其承诺。有效运营的应用会持续更新。查看日期,与应用声称的功能对比。

下载量与评论数量不匹配。 如果一款应用显示1000万次下载但只有800条评论,这个比例存疑。真实用户持续使用应用时,往往会以相对稳定的自然比率留下评论。巨大的差距通常意味着虚假下载量、机器人刷量,或两者兼有。

隐私政策的质量与可访问性。 根据GDPR(2018年5月在欧洲生效)和CCPA(2020年1月在加利福尼亚州生效),每款收集用户数据的应用都依法需要发布隐私政策。缺少政策链接本身就是违规。但一份存在却只写着"我们可能出于商业目的与未指定的第三方共享您的数据"的政策,技术上合规,实际上毫无价值。至少阅读开头两段——通常这么快就能了解你需要知道的内容。

仅在安装后才显示的应用内购买提示。 如果一款应用被标注为"免费",但在你使用任何功能之前就立即弹出每周49.99美元的订阅提示,这是一种暗黑模式——某些情况下甚至构成诈骗。下载前请查看商店列表中的"应用内购买"一栏。

Google Play与Apple App Store:哪个实际上更安全?

默认假设是App Store本质上更安全,因为Apple在每款应用上线前都会进行人工审核。这个判断没有错——但远不够完整。

因素 Google Play Apple App Store
应用审核流程 自动化审核 + 发布后人工审核 发布前人工 + 自动化审核
旁加载 更改设置后允许 iOS 17+仅通过公证方式受限支持
恶意软件清除速度 多数有记录案例中较慢 发现后通常更快
克隆应用普遍程度 更高——发布门槛较低 较低,但并非为零
数据披露 开发者自报的"数据安全"部分 自报的"隐私营养标签"
设备端扫描 Play Protect每日扫描约1250亿个应用 无同等持续设备端扫描器
历史典型事件 Agent Smith(2019年,约2500万台设备)、Goldoson(2023年,60多款感染应用) XcodeGhost(2015年,4000多款应用)、GoldPickaxe(2024年,iOS+Android)

反直觉的解读:iOS用户往往更不警惕审查应用,恰恰因为他们信任Apple的审核流程。这种错误的自信让他们在特定类别的攻击面前更为脆弱——那些在发布后数周乃至数月内行为正常的应用,一旦通过初始审核窗口,便通过服务端配置更新激活恶意行为。Apple的审核人员只能评估应用在提交时的表现。

与此同时,Google Play Protect即便在应用安装并获批后,也会持续进行设备端扫描。这种持续监控在日常防护中是一个有实质意义的架构差异,尽管Android上的初始发布门槛明显更低。

两个平台都不是保障,只是减速带,不是防火墙。

Google Play和Apple App Store主屏幕的分屏对比图

安装前快速检查清单

在安装任何将处理敏感数据的应用之前执行此检查——银行、健康记录、通讯、密码,或任何需要登录凭证的应用。

  1. 搜索应用名称加上"恶意软件"或"诈骗"——三十秒的尽职调查,大多数人完全跳过。
  2. 核实开发者名称是否与你预期的机构一致,并在商店之外进行核查。
  3. 确认开发者还发布了其他应用,且账号存在超过几周。
  4. 点击下载之前阅读权限列表——在Android上,商店列表的"应用权限"部分无需安装即可查看。
  5. 扫描1星评论,寻找有关隐私侵犯、意外收费或数据盗窃的规律性投诉。
  6. 查看"最后更新"日期——任何与安全相关且18个月以上未更新的应用风险较高。
  7. 点击隐私政策链接,阅读开头一段——看它是否能加载,看它是否点名了具体的数据合作方。
  8. 审查下载量与评论数量的比值——一款新应用有500万次下载却只有150条评论,数字几乎肯定注了水。
  9. 对于金融或健康类应用:从官方机构网站而非商店搜索结果开始。
  10. 安装后,在设备系统设置中审查权限,撤销任何没有明确功能用途的授权——Android:设置→隐私→权限管理器;iOS:设置→隐私与安全性。
Tip 在Android上,设置→隐私→权限管理器按权限类型列出所有应用。你可以一眼看出哪些应用拥有摄像头或麦克风权限,并单独撤销,无需卸载应用。对你现有的应用做一次这样的审查——根据我的经验,大多数人都会找到至少一个意外发现。

参考来源与延伸阅读

卡巴斯基威胁情报门户 — 按平台、地区和恶意软件家族分类,发布移动威胁季度报告,包含实际检测数量。当前Android恶意软件数量统计与趋势数据的主要来源。

Google Play商店透明度报告 — 每年披露从Google Play下架的应用数量、按类别分类的下架原因及Play Protect扫描汇总统计。主要来源,直接来自Google。

Apple平台安全指南 — Apple自身关于App Store审核流程、公证要求和设备端安全架构的文档。有助于精确了解Apple的审核在提交时与运行时分别涵盖哪些内容。

FTC消费者信息(consumer.ftc.gov) — 关于移动应用诈骗、未经授权的订阅收费及如何举报欺诈性应用的实用指南。面向普通消费者,非技术受众。

Zimperium全球移动威胁报告 — 针对iOS和Android移动特定威胁、网络钓鱼目标率和漏洞趋势的年度行业分析。由一家移动安全公司发布,阅读时需考虑其商业背景,但基础数据引用一贯充分。