4月6日，谷歌宣布了針對(duì) Android 應(yīng)用程序開(kāi)發(fā)人員的幾項(xiàng)關(guān)鍵政策更新，以提高用戶(hù)、Google Play 和相關(guān)應(yīng)用程序的安全性。

這些新的政策將在今年5 月 11 日至 11 月 1 日期間陸續(xù)推出并生效，讓開(kāi)發(fā)者有足夠的時(shí)間來(lái)適應(yīng)這些新變化。其中與網(wǎng)絡(luò)安全和欺詐相關(guān)的更新成為重點(diǎn)，包括：

• 新的 API 級(jí)別目標(biāo)要求
• 禁止年利率 (APR) 為 36% 及以上的貸款應(yīng)用程序
• 禁止濫用輔助功能 API
• 從外部來(lái)源安裝軟件包的權(quán)限策略更新

新的 API 級(jí)別要求

新的政策要求，自 2022 年 11 月 1 日起，所有新發(fā)布的應(yīng)用程序必須對(duì)標(biāo)最新Android系統(tǒng)版本發(fā)布后一年之內(nèi)與之相匹配的API 級(jí)別，否則將不得上架Google Play;而現(xiàn)有應(yīng)用若兩年內(nèi)未對(duì)標(biāo)相應(yīng)API級(jí)別，則會(huì)被Google Play移除。

新發(fā)布應(yīng)用的 API 級(jí)別定位要求

現(xiàn)有應(yīng)用的 API 級(jí)別定位要求

這一變化旨在要求應(yīng)用程序開(kāi)發(fā)人員采用更嚴(yán)格的 API 策略來(lái)支持較新的 Android 版本，以針對(duì)目前的安全威脅，獲得更好的權(quán)限管理和撤銷(xiāo)、通知反劫持、數(shù)據(jù)隱私增強(qiáng)、網(wǎng)絡(luò)釣魚(yú)檢測(cè)、屏幕啟動(dòng)限制等功能。

但這一政策也并不完美，這始終是面向開(kāi)發(fā)人員的一項(xiàng)被動(dòng)策略，對(duì)于需要更多時(shí)間遷移到當(dāng)前API水平的應(yīng)用程序，谷歌表示可提供最多6個(gè)月的延緩措施，但也無(wú)法保證一些應(yīng)用就此放棄Google Play，從而轉(zhuǎn)移到其它地方發(fā)布，當(dāng)用戶(hù)從這些“野外”渠道下載時(shí)往往會(huì)存在較大的安全風(fēng)險(xiǎn)。

限制可訪問(wèn)性 API 濫用

Android的可訪問(wèn)性API(Accessibility API)允許開(kāi)發(fā)人員創(chuàng)建可供殘障人士使用的應(yīng)用程序，從而允許創(chuàng)建不同的方式來(lái)控制設(shè)備和使用其應(yīng)用程序。但是，惡意軟件經(jīng)常濫用此功能，在未經(jīng)用戶(hù)許可甚至不知情的情況下在設(shè)備上執(zhí)行操作。為此，谷歌的新政策對(duì)以下亂象做了進(jìn)一步限制：

• 未經(jīng)用戶(hù)許可改變用戶(hù)設(shè)置，或阻止用戶(hù)禁用、卸載任何應(yīng)用程序或服務(wù)，除非由家長(zhǎng)或監(jiān)護(hù)人通過(guò)家長(zhǎng)控制應(yīng)用程序授權(quán)，或由授權(quán)管理員通過(guò)企業(yè)管理軟件授權(quán)
• 繞過(guò)安卓?jī)?nèi)置的隱私控制和通知
• 以欺騙性或其他違反Google Play開(kāi)發(fā)者政策的方式改變或利用用戶(hù)界面

收緊取包策略

谷歌宣布的另一項(xiàng)關(guān)鍵政策變更收緊了“REQUEST_INSTALL_PACKAGES”權(quán)限。 一些惡意應(yīng)用在上傳至Google Play時(shí)會(huì)提交看似正常的代碼以通過(guò)審核，但卻隱藏了在安裝后會(huì)下載惡意模塊包的功能，用戶(hù)會(huì)誤以為是軟件更新從而批準(zhǔn)相應(yīng)操作，或者直接在后臺(tái)以不可見(jiàn)的方式下載。谷歌希望以此來(lái)彌補(bǔ)這個(gè)漏洞。

新的 REQUEST_INSTALL_PACKAGES 政策將于 2022 年 7 月 11 日生效，適用于所有使用 API 級(jí)別為 25 (Android 7.1) 及更高版本的應(yīng)用。屆時(shí)，使用此權(quán)限的應(yīng)用程序在安裝或更新時(shí)僅能獲取經(jīng)過(guò)數(shù)字簽名的數(shù)據(jù)包，且不得執(zhí)行自我更新、修改或在文件中捆綁其他 APK的操作。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/google-boosts-android-security-with-new-set-of-dev-policy-changes/?