潜在有害应用 (PHA)

潜在有害应用 (PHA) 是指可能会给用户、用户数据或设备带来风险的应用。这些应用通常统称为恶意软件。我们为不同类型的 PHA(包括特洛伊木马、钓鱼式攻击和间谍软件应用)制定了一系列类别,并且还会不断更新和添加新类别。

可能有害?

在描述恶意应用时,“可能”一词的含糊不清,让人感到困惑。Google Play 保护机制会移除被标记为“可能有害”的应用,因为应用确实包含恶意行为,而我们只是不确定应用是否有害。这里之所以使用“可能”一词,是因为恶意应用的运作方式因各种变量而异,因此对一部 Android 设备有害的应用可能不会给另一部 Android 设备带来风险。例如,搭载最新版 Android 的设备不会受到有害应用的影响,这类应用会使用已废弃的 API 执行恶意行为,但搭载 Android 早期版本的设备可能会面临风险。移动账单欺诈会给连接到服务运营商的设备带来风险,但仅连接到 Wi-Fi 的设备不受这些应用的影响。

如果应用明显会给部分或所有 Android 设备和用户带来风险,就会被标记为 PHA。

用户所需的 PHA

某些可能会削弱或停用 Android 安全功能的应用不属于 PHA。这些应用能够提供用户所需的功能,例如启用设备的 root 权限和其他开发功能。虽然这些应用可能有害,但用户是有意安装它们,因此 Google Play 保护机制管理它们的方式与其他 PHA 不同。
当用户开始安装被归类为“用户需要”的应用时,Google Play 保护机制只会向用户发出警告一次,告知其应用的潜在危险。用户可以决定是否继续安装。安装后,用户需要的分类可防止 Google Play 保护机制发送更多警告,这不会影响用户体验。

分类

有多种类别可用于对 PHA 进行分类,这有助于 Play 保护机制检测它们并确定要采取的正确操作。这些类别包括特洛伊木马、间谍软件和钓鱼式攻击应用等恶意应用,以及用户想要的应用。如果 Play 保护机制检测到 PHA,则会显示警告。对于某些恶意应用,Play 保护机制会自动停用或移除应用。当 Play 保护机制检测到 PHA 包含多种类别的功能时,会根据有害程度最高的特征对应用进行分类。例如,如果某个应用同时属于勒索软件和间谍软件,则“验证应用”消息会将其标识为勒索软件。

您可以点击此处查看当前的 PHA 类别和定义。