前两天EVA开发者交流群里一位朋友说收到Google Play邮件，APP上架被拒。原因是违反恶意行为政策，应用中使用的腾讯TBS SDK包含从 Google Play 以外的其他来源下载可执行代码（例如 dex、JAR 和 .so 文件）的代码。

腾讯官方其实也早就对此给出了建议。

今天我们就来聊聊Google Play恶意行为政策，以下是官方给出的解释：

我们不允许任何应用窃取数据、暗中监视用户或损害用户利益，或者做出其他恶意行为。

对于通过 Google Play 分发的应用，不得采用 Google Play
更新机制以外的其他任何方式修改、替换或更新应用本身。同样地，应用不得从 Google Play 以外的其他来源下载可执行代码（例如
dex、JAR 和 .so 文件）。

1. 采用 Google Play 更新机制以外的其他任何方式修改、替换或更新应用本身

此前支付宝也犯过这个错误：

支付宝官方表示谷歌邮件通知的下架原因是支付宝APP的安卓版本带有升级功能。而按照谷歌最新修改的规则要求，上传到Google Play 市场的应用，不允许自身带升级功能，只能通过Google Play进行升级。

这个规则也算合情合理，如果每个APP都使用自动升级功能来更新自己，那么应用商店的审核就形同虚设了，开发者完全可以先上架一个无恶意功能的应用，然后通过自动升级的方式将恶意代码安装到用户手机上。

2.从Google商店以外的其他来源下载可执行代码（例如dex文件或本地代码）

远程代码执行会带来严重的安全和隐私风险。在任何时候，服务器所有者可能会改变应用程序的行为。

从一些开发者的经验来看，使用违规SDK会被直接下架或拒绝上架，后续调整代价还是挺大的，甚至有可能导致开发者账号被终止并承担经济损失。

目前市面上最常见的SDK 类型包括登录分享类、支付类、推送类、广告变现类和数据统计类。EVA数据整理了一份曾被Google Play “点名”的SDK 清单。

1. AltaMob，广告变现类

https://www.altamob.com/

2. 腾讯TBS，浏览服务

https://x5.tencent.com/tbs/index.html

3. 腾讯Bugly，异常上报和运营统计服务

https://bugly.qq.com/v2/

4. 高德地图（AMAP），定位和地图（官网有GooglePlay专用版SDK）

https://lbs.amap.com/api

5. BatMobi，广告变现类

https://www.batmobi.net/index

6. YeahMobi，广告变现类

https://cn.yeahmobi.com/

7. Moplus，推送类，由百度开发

8. 有米 SDK，广告变现类

https://www.youmi.net/

建议大家：使用第三方SDK之前最好看看官方文档，查明是否支持Google Play。如果APP不想被第三方SDK影响，目前可以解决的方法有两种：一是要求第三方修改SDK，二是换一家干净的。

千万不要滥用SDK，建议删除已经不用的SDK。误用含有恶意行为的 SDK，可能会导致应用直接下架甚至封号，希望开发者予以重视。

你也踩过SDK的坑吗？如果你是在Google Play上架应用的开发者、项目负责人、运营等相关人士。扫描下方二维码，添加群主为微信好友（微信号：evaaso）入群交流。