首先,DCloud的代码是没有病毒的!不用怀疑!!!!公安部、教育部、工商总局都在用DCloud的引擎做app,他们的应用从来没有被报过毒。案例
不要使用公共测试证书发正式应用。公共测试证书一旦被某个非法app使用过,某些不靠谱的检测平台,就会把所有使用公共测试证书的app都报病毒。请使用自己的证书。
最后,如果你的app确定没有非法内容,比如色情、诈骗。那就去投诉误报病毒的rom厂商。
rom弹风险软件的原理:某个app被确定为非法软件,rom会把它的包名、证书、权限清单列入观察名单,在相似的app安装时弹框提醒用户。
也就是DCloud的某个开发者的app被确定为非法软件后,有的做的不靠谱的风险监测软件会凭借一些他们提取的并不合理的特征符,去给其他DCloud引擎开发的app弹框。
但并非所有使用DCloud引擎的应用都会被误报。DCloud引擎仅在app端就有几十万个活跃应用,被误报的仍然是很少数。
目前接收到的被报病毒都是检测平台误报导致。可按已下步骤操作解决问题。第三方SDK与第三方的uni原生插件可能存在问题也可以按已下步骤进行操作。得到问题具体原因。
检测平台
腾讯手机管家
检测链接 https://m.qq.com/security_lab/scans_online.jsp
申诉链接 https://m.qq.com/complaint
安鉴
国内的审核建议以该平台为主。优先在该平台检测自己的apk
1。去安天平台安鉴进行注册. 链接地址:https://dev.avlsec.com/public-pages/home
2。创建项目。并提交apk检测
3。如果您的应用被认为存在风向请申诉。目前已知条件需要企业注册才可以申诉
virustotal
官网:https://www.virustotal.com/gui/home/
由于virustotal属于平台聚合。多数属于静态检测特征极其容易出现误报。目前应用市场下载的apk放到上面去检测多少都会出现几个病毒。均是误报!所以不要过于担心的你应用不安全。对于国内上架影响不大。
以下是申请误报的教程 仅供参考
申报误报 一般1~2个工作日会得到回复,并按邮件说明操作与具体厂商进行沟通。
DCloud并非应用主体,走不了这些检测平台的投诉流程。
需要大家纷纷去投诉,才能让这些检测平台纠正自己的算法。
建议
给开发者一些规避建议:
- 要申请软著,正常上架应用商店。不上架的app尤其容易被误报。而且上架后才能占据包名,避免其他有问题的包和你的包使用相同包名,造成对你的应用的误杀。
- 前端代码要加密,在manifest里可以配置。
- apk要加固,网上很多加固服务。有的应用商店自带加固服务。
- 公共测试证书就是测试用的,商用时使用自己的证书打包。
- 自有证书填写要规范,不要乱填!
- 不要用不可信的原生插件。尤其是私下交易的原生插件。
- 少申请敏感权限,比如不上架的应用又要通讯录权限,很容易被视为裸聊诈骗嫌疑。
- 正正经经做应用,有的应用确实有嫌疑,即便是人工检测,检测员都不敢给你恢复正常。比如有的应用叫红米金融、360网贷,这些擦边球名称看起来就像要搞诈骗的样子。即便运营者此时此刻还没跑路,检测员也不敢给你恢复。
身正不怕影子斜。DCloud的引擎根本不涉及业务,不会触发任何诈骗、色情的嫌疑。开发者只要自己确实清白,那就去正常的上架、投诉。
常见问题
如果检测有病毒。按一下方向检测一下自己的代码及配置:
1、是否使用了公共测试证书。如果是请更改您的打包证书!!!
2、如果是私有证书,请检测您的证书是否符合规范,相关信息是否全部填写,并填写真实数据。如果不是请更正!!!
3、检测权限配置。如果没有使用相关通能请将相关权限删除。如联系人 、定位、相机、音频录音等敏感权限。容易被误报!!!
4、应用名称过于贴近敏感词汇也会被报风险应用。如“xx币”、“xx赚钱”、“区块链xx” 等。
apk检测不报病毒了,应用安装后还是会报有风险?
请将APK版本升级。如果还是不行将检测的链接与误报相关平台联系。申报误报!!!
HBuilderX更新了公共测试证书详情
如果你还在使用测试证书需要注意!安装时可能被系统弹窗提示有风险。因为签名更换了! 导致系统记录数据与安装apk不符!怀疑你可能是钓鱼系app!
关于apk加固
推荐uni安全加固参考其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云
关于被腾讯检测出A.gray.Bulimia.a病毒
多数是由于应用性质决定的。具体解释权在腾讯!
1、补充隐私协议。参考
2、请去 https://m.qq.com/complaint/ 申诉。。。
关于被腾讯检测出A.gray.Bulimia.b病毒
目前了解到的情况都与签名证书有关联。
1、使用了测试证书。请改为自己私有证书
2、使用了私有证书。但证书信息填写不正规。CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown这种情况也是违规的。请填写真实信息。并及时改正。重新签名打包提交检测。
关于安天平台检查app存在风险的解决方案
1、去安天平台安鉴进行注册并检测自己的app. 链接地址:https://dev.avlsec.com/public-pages/home
2、如果您的应用被认为存在风向请申诉。目前已知条件需要企业注册才可以申诉。
安鉴检测应用集成了极光
官方并未集成极光SDK。是检测平台误报。
