解决Android应用在手机安装时出现安全风险提示的方法与对策

首先，DCloud的代码是没有病毒的！不用怀疑！！！！公安部、教育部、工商总局都在用DCloud的引擎做app，他们的应用从来没有被报过毒。案例

不要使用公共测试证书发正式应用。公共测试证书一旦被某个非法app使用过，某些不靠谱的检测平台，就会把所有使用公共测试证书的app都报病毒。请使用自己的证书。

最后，如果你的app确定没有非法内容，比如色情、诈骗。那就去投诉误报病毒的rom厂商。

rom弹风险软件的原理：某个app被确定为非法软件，rom会把它的包名、证书、权限清单列入观察名单，在相似的app安装时弹框提醒用户。

也就是DCloud的某个开发者的app被确定为非法软件后，有的做的不靠谱的风险监测软件会凭借一些他们提取的并不合理的特征符，去给其他DCloud引擎开发的app弹框。

但并非所有使用DCloud引擎的应用都会被误报。DCloud引擎仅在app端就有几十万个活跃应用，被误报的仍然是很少数。

目前接收到的被报病毒都是检测平台误报导致。可按已下步骤操作解决问题。第三方SDK与第三方的uni原生插件可能存在问题也可以按已下步骤进行操作。得到问题具体原因。

第一步。请将你的APK文件通过virustotal进行检测。

如果检测有病毒。按一下方向检测一下自己的代码及配置：

1、是否使用了公共测试证书。如果是请更改您的打包证书！！！

2、如果是私有证书，请检测您的证书是否符合规范，相关信息是否全部填写，并填写真实数据。如果不是请更正！！！

3、检测权限配置。如果没有使用相关通能请将相关权限删除。如联系人 、定位、相机、音频录音等敏感权限。容易被误报！！！

4、应用名称过于贴近敏感词汇也会被报风险应用。如“xx币”、“xx赚钱”、“区块链xx” 等。

如果以上都排除了请执行第二部。如果你的apk检测无病毒。请直接与相关平台官方联系。检测链接发给对方。描述问题让其撤销误报。

第二步。请申报误报 一般1~2个工作日会得到回复，并按邮件说明操作与具体厂商进行沟通。

一般virustotal会把各监测平台反馈邮箱发给你。让你与相关报病毒平台邮件联系。

找到报病毒的平台邮箱联系对方。让对方监测你的APK是否是真的存在问题。并将监测链接放给对方！

一般检测平台1~2工作日就会回复你。多数都是误报。如果说确实有病毒或代码不当的位置也会与你说明。更有效的去解决问题。

等virustotal升级完毕相应的检测平台库之后就可以重新检测了。virustotal升级时间我们也不了解 你可以定期检测一下。

Q:apk检测不报病毒了，应用安装后还是会报有风险？

A:请将APK版本升级。如果还是不行将检测的链接与误报相关平台联系。申报误报！！！

DCloud并非应用主体，走不了这些检测平台的投诉流程。

需要大家纷纷去投诉，才能让这些检测平台纠正自己的算法。

同时给开发者一些规避建议：

1. 要申请软著，正常上架应用商店。不上架的app尤其容易被误报。而且上架后才能占据包名，避免其他有问题的包和你的包使用相同包名，造成对你的应用的误杀。


2. 前端代码要加密，在manifest里可以配置。


3. apk要加固，网上很多加固服务。有的应用商店自带加固服务。


4. 公共测试证书就是测试用的，商用时使用自己的证书打包。


5. 自有证书填写要规范，不要乱填！


6. 不要用不可信的原生插件。尤其是私下交易的原生插件。


7. 少申请敏感权限，比如不上架的应用又要通讯录权限，很容易被视为裸聊诈骗嫌疑。


8. 正正经经做应用，有的应用确实有嫌疑，即便是人工检测，检测员都不敢给你恢复正常。比如有的应用叫红米金融、360网贷，这些擦边球名称看起来就像要搞诈骗的样子。即便运营者此时此刻还没跑路，检测员也不敢给你恢复。

身正不怕影子斜。DCloud的引擎根本不涉及业务，不会触发任何诈骗、色情的嫌疑。开发者只要自己确实清白，那就去正常的上架、投诉。

注意：

HBuilderX更新了公共测试证书详情

如果你还在使用测试证书需要注意！安装时可能被系统弹窗提示有风险。因为签名更换了! 导致系统记录数据与安装apk不符！怀疑你可能是钓鱼系app!

关于被腾讯检测出A.gray.Bulimia.b病毒

目前了解到的情况都与签名证书有关联。

1、使用了测试证书。请改为自己私有证书

2、使用了私有证书。但证书信息填写不正规。CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown这种情况也是违规的。请填写真实信息。并及时改正。重新签名打包提交检测。

回答