谷歌一直通过 Google Play 保护机制默默守护着大多数安卓设备的安全,该机制会对用户已安装的应用进行扫描,并针对恶意应用发出警告。尽管平台原生应用仍是访问服务的最主流方式,但渐进式网页应用(PWA,Progressive Web Apps)仍不失为一种以网页为核心的优质替代方案。遗憾的是,不法分子会利用一切可乘之机,因此谷歌保护用户群体安全势在必行。如今,我们发现了相关代码,这表明 Google Play 保护机制将在安装渐进式网页应用时开始对其进行扫描,以检查是否存在安全问题,从而为用户增添又一层安全防护。

Google Play 商店 v46.9.20-31 版本包含以下代码:
PlayProtect__enable_gpp_install_verification_for_pwa
这里的 PWA 指的是渐进式网页应用。启用该标识后,Play 保护机制将能够在渐进式网页应用安装过程中对其进行验证。没错,渐进式网页应用是可以安装在设备上的,通常通过浏览器应用中的“添加到主屏幕”按钮来实现。如果你通过安卓版 Chrome 浏览器进行此操作,就会得到一个 WebAPK 文件,它不仅会在主屏幕上为渐进式网页应用留出一席之地,还会在应用抽屉中也为其提供一个位置,并且与普通渐进式网页应用相比,它能更深度地集成到安卓系统中。
我们还发现了暗示将对 WebAPK 进行扫描的代码片段:

虽然代码中提到了要对渐进式网页应用(PWA)和 WebAPK 进行扫描,但并未解释谷歌此举的原因。已有报道称,不法分子会利用渐进式网页应用和 WebAPK 来实施网络钓鱼并窃取用户信息,因此谷歌可能是希望通过在安装恶意渐进式网页应用或 WebAPK 时主动向用户发出警告,从而保护用户免受此类网络钓鱼攻击。
此外,还有许多其他问题有待解答,比如如果这一功能真的推出,渐进式网页应用和 WebAPK 的扫描将如何进行。对于通过 Play 商店分发的常规应用,谷歌已经拥有一个庞大的应用数据库,可通过 Play 保护机制来检查应用是否被篡改或存在其他威胁。然而,要为整个渐进式网页应用领域建立这样一个数据库却难以想象,因此我们很想知道,如果谷歌决定推进这一功能,它将如何应对这一挑战。
目前,Play 保护机制中尚不支持渐进式网页应用和 WebAPK 的扫描功能,谷歌也未宣布推出该功能。待我们获取更多信息后,将及时为大家更新。