谷歌了針對 Android 應用程式開發人員的幾項關鍵策略變更,以提高使用者、Google Play 和該服務提供的應用的安全性。將在 2022 年 5 月 11 日至 11 月 1 日之間生效,給開發者足夠的時間來適應新的變化。
根據 介紹,其中與網路安全和欺詐相關重要的變化包括有:
- 新的 API level target requirements。
- 禁止年利率(APR)為 36% 或以上的貸款應用程式。
- 禁止濫用 Accessibility API。
- 對從外部來源安裝包的許可權進行新的策略修改。
新的 API level targets
從 2022 年 11 月 1 日起,所有新 released/published 的應用程式必須針對最新主要 Android 版本釋出後一年內釋出的 Android API level。
對新發布的應用程式的 API level targeting requirement
那些未能遵守這一要求的應用將被拒絕列入 Android 的官方應用商店 Play Store。現有的應用程式如果不以最新的主要 Android 版本兩年內的 API level 為目標,將會被從 Play Store 中刪除。
現有應用程式的 API level targeting requirement
這一變化旨在迫使應用程式開發人員採用更嚴格的 API 策略來支援較新的 Android 版本,通常是更好的許可權管理和復原、通知反劫持、資料隱私增強、網路釣魚檢測等。
谷歌方面在中解釋稱,背後的理由很簡單:「擁有最新裝置的使用者或完全關注 Android 更新的使用者希望充分發揮 Android 提供的所有隱私和安全保護的潛力。擴充套件我們的 target level API requirements 將保護使用者免於安裝可能沒有這些保護措施的舊應用程式」。需要更多時間進行遷移的使用者可請申請延期 6 個月。
此舉預計將迫使一些過時的應用程式採用更安全的做法,但也將不可避免地把一些不再積極開發的專案推向 Play Store 之外,從而導致使用者轉向不知名來源獲取想要的應用程式的 APK,加大感染惡意軟體風險。
Accessibility API 濫用
Android 的 Accessibility API 允許開發人員建立可供殘障人士使用的應用程式,從而允許建立不同的方式來控制裝置和使用其應用程式。但是,此功能經常被惡意軟體濫用,在未經使用者許可甚至不知情的情況下在 Android 裝置上執行操作。
因此,谷歌的新策略進一步限制了其使用方式:
- 未經使用者許可改變使用者設定,或阻止使用者禁用或解除安裝任何應用程式或服務的能力;除非由家長或監護人通過家長控制應用程式授權,或由授權管理員通過企業管理軟體授權。
- 繞過 Android 內建的隱私控制和通知;
- 以欺騙性或以其他方式違反 Google Play 開發者政策的方式更改或利用使用者介面。
Policy for package fetching
谷歌還收緊了「REQUEST_INSTALL_PACKAGES」許可權。將於 2022 年 7 月 11 日生效,適用於所有使用 API level 25(Android 7.1)及以上的應用程式。
許多惡意應用釋出者將無害的程式碼提交到 Play Store 以使其提交獲得批准,但使用者在下載安裝後卻會在不知情的情況下引入惡意模組。谷歌希望通過執行新的許可權策略來加強監管。要使用此許可權,你的應用程式的核心功能必須包括:傳送或接收應用包、啟用使用者發起的應用包的安裝。
現在允許的功能將被限制在網頁瀏覽或搜尋、支援附件的通訊服務、檔案共用、傳輸或管理、以及企業裝置管理。
除非用於裝置管理目的,否則 REQUEST_INSTALL_PACKAGES 許可權不得用於執行自我更新、修改或捆綁資產檔案中的其他 APK。軟體包的所有更新或安裝都必須遵守 Google Play 的策略,並且必須由使用者發起和推動。