首先，Google Play 的審核機制可以說是漏洞百出。在應用上架 Google Play 前的過程中，安全測試成了擺設，自動檢測算法根本沒起作用，人工審核就像個宣傳稱號——據賽門鐵克表示，這些應用根本不能提供正常功能，所以人工審了什么?

　　其次，在上架及用戶安裝后 Google 宣傳的防護也沒起作用。基于機器學習技術識別流氓軟件的 Google Play Protect，據稱每天會掃描數十億應用，一樣被繞過了。

　　最讓人無法接受的是，這些體系還是被繞過兩次，而第二次僅僅是通過改名就饒過了。這難免不讓人聯想到 Google Play 的安全流程中是不是沒有“總結經驗”這一行為，所謂的機器學習是不是學和做分開了。

　　而相對系統漏洞來說，惡意應用要讓用戶更加不適一些。畢竟大多數人的設備被蓄意利用漏洞攻擊的可能性近乎為 0，但是裝錯個應用就直接中招了。

　　應用

　　提到惡意應用，很多人自然而然的就會聯想到流氓應用，然后就會想到“全家桶”，進而就會想到 Google 這幾年更新了幾個管理措施，更進一步還會想到為什么還壓制不住他們。

　　其實，這事還得怨 Google，因為 Google 一直沒想明白問題重點。

　　以 Android 8.0 為例，Google 雖然推出了一個后臺控制特性，但是這個特性如果想完全正常使用有一個前提條件，應用程序的封包 SDK 要達到 API 26(一個不面向用戶的開發設定，和 Android 版本同步更新，目前正式版最高?API 27，Android P 是 API 28)，直白點說就是應用是針對 Android 8.0 開發的。如果應用沒這么做，那么結果就是新特性最多只能發揮一小部分作用，但并不會影響 App 的正常使用和濫用。

　　所以，控制權在應用開發者手里。如果他們認為 Android 新機制非常棒，應該遵守，那就上新的 API。而如果產品部、推送服務商覺得組成全家桶賣相好，那么就保持原樣。

　　PingWest 品玩測試了幾個 Google Play 中的應用后發現，其中最低的居然可以低到 API 18，甚至 Google 自家的某些應用也還停留在 API 24。而在 Google Play 之外，騰訊新推的 TIM，現在還在用 Android 4.0.3 時期的 API 15 玩的不亦樂乎。

　　可見，在這種近乎君子協議的前提下，想指望廠商跟上腳步、自我約束，這在短期內無異于癡人說夢。

　　至于這種情況什么時候能更進一步的改善，還要看 Google 什么時候想明白強權的重要性。