谷歌发布新的开发策略,提高 Android 安全性

1,193

Google 宣布了针对 Android 应用程序开发人员的几项关键政策变更,用于提高用户、Google Play 以及提供应用程序的安全性。

新政策将于2022 年 5 月 11 日至 11 月 1 日期间生效,其中比较重要的变化包括:

  • 新的 API 级别目标要求。
  • 禁止年利率 (APR) 为 36% 或更高的应用程序。
  • 禁止滥用辅助功能 API。
  • 从外部来源安装软件包权限的新策略更改。

新的 API 级别目标

自 2022 年 11 月 1 日起,所有新发布的应用程序必须对标最新Android系统版本发布后一年之内与之相匹配的Android API 级别。如若不遵守此要求,则无法在 Google Play 上架。

新发布应用的 API 级别定位要求 (Google)

如果现有应用在两年内未对标相应API级别,则会被Google Play移除。

现有应用的 API 级别定位要求 (Google)

这一变化将迫使应用程序开发人员采用更严格的 API 策略来支持 Android 版本。在面对当前的安全威胁时,获得更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测、启动屏幕限制等功能。但这一变化也可能会带来不好的影响,用户可能通过第三方来源来获取应用程序APK,结果导致无意安装了恶意软件。

限制可访问性 API 滥用

Android Accessibility API 允许开发人员创建可供残障人士使用的应用程序,从而允许创建不同的方式来控制设备和使用其应用程序。但恶意软件经常会滥用此功能,在未经用户许可甚至不知情的情况下在 Android 设备上执行操作。

Google 政策进一步限制了它的使用方式:

  • 未经用户许可不能改变用户设置,或阻止用户禁用、卸载任何应用程序或服务,除非由家长或监护人通过家长控制应用程序授权,或由授权管理员通过企业管理软件授权;
  • 解决 Android 内置的隐私控制和通知;
  • 以欺骗性或以其他违反 Google Play 开发者政策的方式更改或利用用户界面。

取包策略

Google 收紧了“REQUEST_INSTALL_PACKAGES”权限。许多恶意应用在上传至Google Play时会提交看似正常的代码以通过审核,但却隐藏了在安装后会下载恶意模块包的功能,用户会误以为是软件更新从而同意相应操作,或者直接在后台以不可见的方式下载。

谷歌希望通过新的政策来监管这个漏洞。现在允许的功能将仅限于网络浏览器、搜索、通信、文件共享、文件传输、文件管理和企业设备管理。使用此权限的应用程序必须仅获取经过数字签名的包,即使用户同意,也不允许自我更新、代码修改或在资产文件中捆绑 APK。

新的 REQUEST_INSTALL_PACKAGES 政策将于 7 月 11 日生效,适用于所有使用 API 级别 25 (Android 7.1) 及更高版本的应用。