谷歌通过新的开发策略,以提升 3000% Android 的安全性


谷歌宣布了针对 Android 应用程序开发人员的几项关键策略变更,以提高用户、Google Play 和该服务提供的应用的安全性。将在 2022 年 5 月 11 日至 11 月 1 日之间生效,给开发者足够的时间来适应新的变化。 根据 BleepingComputer 介绍,其中与网络安全和欺诈相关重要的变化包括有:
  • 新的 API level target requirements
  • 禁止年利率(APR)为 36% 或以上的贷款应用程序。
  • 禁止滥用 Accessibility API。
  • 对从外部来源安装包的权限进行新的策略修改。
新的 API level targets 从 2022 年 11 月 1 日起,所有新 released/published 的应用程序必须针对最新主要 Android 版本发布后一年内发布的 Android API level。 对新发布的应用程序的 API level targeting requirement 那些未能遵守这一要求的应用将被拒绝列入 Android 的官方应用商店 Play Store。现有的应用程序如果不以最新的主要 Android  版本两年内的 API level 为目标,将会被从 Play Store 中删除。 现有应用程序的 API level targeting requirement 这一变化旨在迫使应用程序开发人员采用更严格的 API 策略来支持较新的 Android 版本,通常是更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测等。 谷歌方面在博客文章中解释称,背后的理由很简单:“拥有最新设备的用户或完全关注 Android 更新的用户希望充分发挥 Android 提供的所有隐私和安全保护的潜力。扩展我们的 target level API requirements 将保护用户免于安装可能没有这些保护措施的旧应用程序”。需要更多时间进行迁移的用户可请申请延期 6 个月。

此举预计将迫使一些过时的应用程序采用更安全的做法,但也将不可避免地把一些不再积极开发的项目推向 Play Store 之外,从而导致用户转向不知名来源获取想要的应用程序的 APK,加大感染恶意软件风险。

Accessibility API 滥用

Android 的 Accessibility API 允许开发人员创建可供残障人士使用的应用程序,从而允许创建不同的方式来控制设备和使用其应用程序。但是,此功能经常被恶意软件滥用,在未经用户许可甚至不知情的情况下在 Android 设备上执行操作。

因此,谷歌的新策略进一步限制了其使用方式:

  • 未经用户许可改变用户设置,或阻止用户禁用或卸载任何应用程序或服务的能力;除非由家长或监护人通过家长控制应用程序授权,或由授权管理员通过企业管理软件授权。
  • 绕过 Android 内置的隐私控制和通知;
  • 以欺骗性或以其他方式违反 Google Play 开发者政策的方式更改或利用用户界面。
Policy for package fetching 谷歌还收紧了“REQUEST_INSTALL_PACKAGES”权限。将于 2022 年 7 月 11 日生效,适用于所有使用 API level 25(Android 7.1)及以上的应用程序。 许多恶意应用发布者将无害的代码提交到 Play Store 以使其提交获得批准,但用户在下载安装后却会在不知情的情况下引入恶意模块。谷歌希望通过执行新的权限策略来加强监管。要使用此权限,你的应用程序的核心功能必须包括:发送或接收应用包、启用用户发起的应用包的安装。 现在允许的功能将被限制在网页浏览或搜索、支持附件的通信服务、文件共享、传输或管理、以及企业设备管理。 除非用于设备管理目的,否则 REQUEST_INSTALL_PACKAGES 权限不得用于执行自我更新、修改或捆绑资产文件中的其他 APK。软件包的所有更新或安装都必须遵守 Google Play 的设备和网络滥用策略,并且必须由用户发起和推动。

相關推薦

2022-05-18

果要使 Python 在没有 GIL 的情况下有效工作,则需要添加新的锁,以确保它仍然是线程安全的。然而,向现有代码添加新锁可能非常困难,因为新的锁可能会导致在部分领域的性能大幅下降。 据  Python 基金会的介绍,Gross 将发明

2023-10-26

事谷歌发布新规:AI应用禁止生成受限内容谷歌宣布要求 Android 应用改进对人工智能生成内容的审查,以确保用户可以方便举报冒犯性内容,并限制照片和视频权限。【AiBase提要:】📌 谷歌强化 Android 应用监管规定,要求应用提供

2022-09-16

更高效。 Google 开发技术推广工程师陈卓与大家分享了 Android 的最新动态。Android 13 已正式推出,该版本加入了对隐私、生产力和现代标准的支持和增强,以帮助开发者更轻松地构建优质应用与产品。 现代 Android 开发

2022-04-28

日志清理。“group_replication_set_as_primary ”函数,可以指定新的主要成员,用于覆盖自动选举过程产生的主要成员。 InnoDB:支持使用ALGORITHM=INSTANT,执行ALTER TABLE ... DROP COLUMN语句,在线删除列。 克隆:增加系统变量“clone_delay_after

2022-05-12

对 6 个主要平台的稳定支持。现在,Flutter 可用于构建跨 Android、iOS、Web(桌面)、Linux、Windows 桌面和 macOS 的生产级应用程序。 添加平台支持需要的不仅仅是渲染像素:它包括新的输入和交互模型、编译和构建支持、可访问性

2022-03-01

--sysctl选项支持为 pod 中的每个容器设置这些配置。按照开发团队的说法,这些更改只是他们计划的开始——最终,他们的目标是让podman run运行中的几乎所有选项对 pod 可用,以便在其中的容器之间轻松共享配置选项。

2023-11-05

受争议的 Web Environment Integrity API 提案,转而开发 Android WebView Media Integrity API。 今年 5 月份,谷歌在开发者邮件列表中宣布了其 Web Environment Integrity API,旨在作为一种限制在线欺诈和滥用的方法,同时不会引发跨站点

2023-05-14

谷歌 I/O 2023 介绍了不同的在 Android 应用中嵌入 Web 内容的方式,同时展示了 Android 2023 的新 Web 功能: WebView 改动 WebView 是将 Web 内容嵌入到 Android 应用中最常用的方式,最大优势之一是其强大的 API,可用于控制和修改正

2022-10-14

老旧的身份验证方法很容易被钓鱼或者盗号等方法影响,安全性不高。而密钥登录则大为不同,它不能重复使用,也不会泄露服务器漏洞,还能保护用户免受网络钓鱼的攻击以及忘记密码的困扰,即使丢失了手机, FIDO 密钥也可

2022-09-30

保内存访问有效)来保证内存安全,并且 Rust 在实现这种安全性的同时,还提供了与 C 和 C++ 相当的性能。谷歌向 Android 添加新的开发语言并没有涉及到旧代码,主要是用于新的开发——以避免产生新的内存安全错误。这与 Linux

2023-05-13

谷歌在 I/O 2023 开发者大会上展示了 Android 14 的新功能,展示的新功能主要集中在个性化方面: 增强的锁屏个性化 Android 14 的一项突出功能是锁屏的增强自定义选项,用户可以更好地控制锁屏时钟等组件,从选择字体、颜色、

2023-03-02

在 2023 世界移动通信大会 (MWC) 上宣布了一系列针对 Android、Chromebook 和 Wear OS 的新功能,以提高设备的连接性、生产力、可访问性和乐趣。 首先是添加了一个新的 Google Keep single note 小部件,可帮助用户快速管理笔记并直

2023-06-18

ng,直到找到一种适当的沙盒方法。 与此同时,Google 的 Android 正在使用 seccomp-bpf 过滤器,以确保应用程序无法访问 IO_uring。而未来的 Android 版本将使用 SELinux 来限制 IO_uring 仅用于选择的系统进程。 此外 Google 还在积极研究在

2023-11-11

ega”,以便在 Fire TV、智能显示器和其他联网设备上取代 Android 系统。 一直以来,亚马逊的一些智能家居设备都使用了名为 Fire OS 的 Android 分叉版本。但也正是因为依赖 Android 开源项目来构建 Fire OS,导致该公司操作系统的开发