今天发现在酷安下的 app 有私货

@bp0 如果你是开发者，你总要弄几个渠道包，方便自己统计各家渠道的量吧，所以这个 md5 肯定是不同，但签名却相同，基本上所有的 app 开发者都是这么来晚

@bp0 签名一致说明原作者编译签名或者签名泄露

而文件的哈希不一样说明文件变更，而文件变更属于开发的正常情况，比如多渠道，版本更新，所以哈希在开发中不应该纳入比较情况

以上，还有 LS 那些怀疑哈希的都不是写 Android 的吧 _(:з)∠)_

前天从酷安下了个虾米音乐，启动后弹出 360 安全专版，吓得我立刻删除了酷安

@bp0
签名相同保证包是由同一个私钥签发的， HASH 不同说明文件不同。

打个比方就是签名是瓷器底下那个章，说明这个是我做的，但是不一定是同一个瓷器；当然，可能图章被人复制走了。

@realpg 这个大概是劫持，不对啊
coolapk 不是有校验？
唉~唉~新 py 交易？
这就尴尬了 XD

@dphdjy
你要说这个是劫持，那这地洗的也太强行了吧……

@realpg 从第 8 个字就不是洗了啊~
如果真的绝逼是新 Py 交易

国内市场本来就乱。备两部机子不就好。重要的个人使用只装正规官方下载。其他乱七八糟的放另一部机子不就好了。要用又要嫌弃，那有这种事情，特别是国内这种无人监管的乱象。

@dphdjy
“你要” 表示假设
这个真的太坑了，你要出个酷安专版我都能认可，你放个 360 专版

我错了，“截图里这个提权脚本，没授予 root 权限根本就执行不了”。楼主提取的 apk 里有提权。

安全审核是具有市场前景，但我不认为酷安目前或短期内有这个资源与能力做好并保证做好这件事。因为 Play 都没有做好，同时做杀毒与应用市场的某些市场亦没有做好，这些还是能直接发布 apk 的源头市场，更何况酷安这种不接受直接发布 apk 的中转站。
MD5 为 339fb73ca09ee7ec2780d08a2c0c3432 的这个 apk 用了几个市面上的安全工具都没扫描出问题，在不能作出保证的前提下，任何说自己能做安全检测的都是耍流氓。

@realpg 想起来最近上线一个 coolapk 专版某软件然后除了文件名有个 coolapk ，整个应用都没有任何。。。

是不是 coolapk 忘了~反正类似的事情~然后专版就改了个文件名。。。

@realpg 我特意立刻去下了个虾米音乐，第一次启动 splash 可以看到 360 ，但是以后再启动就再也看不到 360 了，在关于里面也看不到任何 360 的信息

@zztemp Google 的策略问题，我觉得无可厚非， Google 连你手机上非 play 下载的恶意应用都扫描了，我觉得做到这一步就够了， play 上主要还是靠举报，国产 app 不遵守 play 的规范下架无数次了，比如 QQ 、支付宝、百度地图

@realpg 这个更新是这样的，以前我们只认 play ，现在很多国内开发者已经放弃 play 了，所以我们会跟着国内市场更新，主要是应用宝 360 百度 豌豆荚，之前的时候几大市场还有些节操，比如这种挂 360 logo 的首发版，其他市场都是不鸟他的，等他首发期过了之后他们再更新，所以我们就是这么判断，如果一个新版只有其中一家市场有，那多半就是首发，我们也跟着等，如果大家都更新了那说明可以更新了，但到了后面竞争太残酷了，各家市场开始不要节操了，不管你有没首发 logo ，谁家先有新版我就爬谁，所以经常是一个应用，你从应用宝下载的开启带着 360 的首发 logo ，这个时候我们自然也以为是开发者已经在各大市场自行上传无 logo 的版本了，那我们当然也跟着更新了，毕竟每天几百个 app ，我们不可能每个更新都要安装一次看吧，所以这个问题我们解决不好，因为一线超级大市场也解决不了，只能怪这种首发机制了。

@xuboying
如果这是一个 splash 广告，比如上面写的 360 手机卫士， 360 手机杀毒，哪怕带个链接，带个按钮提示下载 360 确认取消，我都会认为这是个广告，如果我不让虾米音乐做广告那我绝对是精神病

如果我没记错，这上面写的是 360 专版。我没兴趣也没时间去像你那样一个个功能去爬有没有啥隐藏功能

@xpfoucs
我信任酷安的根本原因就是，之前的经验表明，你家的软件来路最可靠，基本是跟官方完全一致的版本，无论来源是哪里，是 play ，不是 play ，都是跟最正统的官方版一致，这就是信任。当 360 专版都进入你家的商店的时候，我对你家市场软件的信任直接降低到了 0.

我并没有卸载那个 360 专版的虾米音乐，因为 360 专版在我的权限体系下也不会多干什么，我卸载的是你家市场，因为你辜负了我对你家市场的信任，而且并不是不可替代。

我的机器是 MIUI 系统，无论怎样，你家市场都是个小众，跟应用宝、小米商店用户数量差距很大。当 360 专版都能进入你家市场的时候，我觉得还是用户更多的小米商店能让我放心一些。好歹有隐藏的问题，会更早的被人发现

@xpfocus
@dphdjy

我确实不开发 Android ，不知道他们都是这么玩的。

@Reficul

听你这么说，我突然意识到，图片里面显示的应该是数字证书的指纹信息。

@realpg 我也没看清有没有写专版，但是我再也看不到那个 splash 了 233333

@realpg 都玩 telegram 了，软件还是 play 下吧，
另外我对国产 Rom 没什么好感，也不觉得厂家的应用商店有多安全

@xuboying 今天讨论的结果决定了我以后升级 app 的顺序是 1 ： MIUI 市场， 2 ： cool apk ， 3 ： apk pure ，还是 132

@realpg 恩，你卸载我们也不会说什么，因为现在各大市场都在抢新版，至于为什么会带 360 的 logo 或服务我已经给你解释了，小米的问题就是更新速度太慢，国内现在更新最快的依次是 应用宝和 360 》豌豆荚》百度，另外国内的 app 其实也没在谁家市场更新问题都不大，因为大家现在都很在意自己的品牌，不像以前那么乱来了。