官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
4月6日,谷歌宣布了针对 Android 应用程序开发人员的几项关键政策更新,以提高用户、Google Play 和相关应用程序的安全性。
这些新的政策将在今年5 月 11 日至 11 月 1 日期间陆续推出并生效,让开发者有足够的时间来适应这些新变化。其中与网络安全和欺诈相关的更新成为重点,包括:
1.新的 API 级别目标要求
2.禁止年利率 (APR) 为 36% 及以上的贷款应用程序
3.禁止滥用辅助功能 API
4.从外部来源安装软件包的权限策略更新
新的 API 级别要求
新的政策要求,自 2022 年 11 月 1 日起,所有新发布的应用程序必须对标最新Android系统版本发布后一年之内与之相匹配的API 级别,否则将不得上架Google Play;而现有应用若两年内未对标相应API级别,则会被Google Play移除。
新发布应用的 API 级别定位要求
现有应用的 API 级别定位要求
这一变化旨在要求应用程序开发人员采用更严格的 API 策略来支持较新的 Android 版本,以针对目前的安全威胁,获得更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测、屏幕启动限制等功能。
但这一政策也并不完美,这始终是面向开发人员的一项被动策略,对于需要更多时间迁移到当前API水平的应用程序,谷歌表示可提供最多6个月的延缓措施,但也无法保证一些应用就此放弃Google Play,从而转移到其它地方发布,当用户从这些“野外”渠道下载时往往会存在较大的安全风险。
限制可访问性 API 滥用
Android的可访问性API(Accessibility API)允许开发人员创建可供残障人士使用的应用程序,从而允许创建不同的方式来控制设备和使用其应用程序。但是,恶意软件经常滥用此功能,在未经用户许可甚至不知情的情况下在设备上执行操作。为此,谷歌的新政策对以下乱象做了进一步限制:
1.未经用户许可改变用户设置,或阻止用户禁用、卸载任何应用程序或服务,除非由家长或监护人通过家长控制应用程序授权,或由授权管理员通过企业管理软件授权
2.绕过安卓内置的隐私控制和通知
3.以欺骗性或其他违反Google Play开发者政策的方式改变或利用用户界面
收紧取包策略
谷歌宣布的另一项关键政策变更收紧了“REQUEST_INSTALL_PACKAGES”权限。 一些恶意应用在上传至Google Play时会提交看似正常的代码以通过审核,但却隐藏了在安装后会下载恶意模块包的功能,用户会误以为是软件更新从而批准相应操作,或者直接在后台以不可见的方式下载。谷歌希望以此来弥补这个漏洞。
新的 REQUEST_INSTALL_PACKAGES 政策将于 2022 年 7 月 11 日生效,适用于所有使用 API 级别为 25 (Android 7.1) 及更高版本的应用。届时,使用此权限的应用程序在安装或更新时仅能获取经过数字签名的数据包,且不得执行自我更新、修改或在文件中捆绑其他 APK的操作。