4月6日，谷歌宣布了針對 Android 應(yīng)用程序開發(fā)人員的幾項關(guān)鍵政策更新，以提高用戶、Google Play 和相關(guān)應(yīng)用程序的安全性。

這些新的政策將在今年5 月 11 日至 11 月 1 日期間陸續(xù)推出并生效，讓開發(fā)者有足夠的時間來適應(yīng)這些新變化。其中與網(wǎng)絡(luò)安全和欺詐相關(guān)的更新成為重點，包括：

• 新的 API 級別目標要求
• 禁止年利率 (APR) 為 36% 及以上的貸款應(yīng)用程序
• 禁止濫用輔助功能 API
• 從外部來源安裝軟件包的權(quán)限策略更新

新的 API 級別要求

新的政策要求，自 2022 年 11 月 1 日起，所有新發(fā)布的應(yīng)用程序必須對標最新Android系統(tǒng)版本發(fā)布后一年之內(nèi)與之相匹配的API 級別，否則將不得上架Google Play;而現(xiàn)有應(yīng)用若兩年內(nèi)未對標相應(yīng)API級別，則會被Google Play移除。

新發(fā)布應(yīng)用的 API 級別定位要求

現(xiàn)有應(yīng)用的 API 級別定位要求

這一變化旨在要求應(yīng)用程序開發(fā)人員采用更嚴格的 API 策略來支持較新的 Android 版本，以針對目前的安全威脅，獲得更好的權(quán)限管理和撤銷、通知反劫持、數(shù)據(jù)隱私增強、網(wǎng)絡(luò)釣魚檢測、屏幕啟動限制等功能。

但這一政策也并不完美，這始終是面向開發(fā)人員的一項被動策略，對于需要更多時間遷移到當(dāng)前API水平的應(yīng)用程序，谷歌表示可提供最多6個月的延緩措施，但也無法保證一些應(yīng)用就此放棄Google Play，從而轉(zhuǎn)移到其它地方發(fā)布，當(dāng)用戶從這些“野外”渠道下載時往往會存在較大的安全風(fēng)險。

限制可訪問性 API 濫用

Android的可訪問性API(Accessibility API)允許開發(fā)人員創(chuàng)建可供殘障人士使用的應(yīng)用程序，從而允許創(chuàng)建不同的方式來控制設(shè)備和使用其應(yīng)用程序。但是，惡意軟件經(jīng)常濫用此功能，在未經(jīng)用戶許可甚至不知情的情況下在設(shè)備上執(zhí)行操作。為此，谷歌的新政策對以下亂象做了進一步限制：

• 未經(jīng)用戶許可改變用戶設(shè)置，或阻止用戶禁用、卸載任何應(yīng)用程序或服務(wù)，除非由家長或監(jiān)護人通過家長控制應(yīng)用程序授權(quán)，或由授權(quán)管理員通過企業(yè)管理軟件授權(quán)
• 繞過安卓內(nèi)置的隱私控制和通知
• 以欺騙性或其他違反Google Play開發(fā)者政策的方式改變或利用用戶界面

收緊取包策略

谷歌宣布的另一項關(guān)鍵政策變更收緊了“REQUEST_INSTALL_PACKAGES”權(quán)限。 一些惡意應(yīng)用在上傳至Google Play時會提交看似正常的代碼以通過審核，但卻隱藏了在安裝后會下載惡意模塊包的功能，用戶會誤以為是軟件更新從而批準相應(yīng)操作，或者直接在后臺以不可見的方式下載。谷歌希望以此來彌補這個漏洞。

新的 REQUEST_INSTALL_PACKAGES 政策將于 2022 年 7 月 11 日生效，適用于所有使用 API 級別為 25 (Android 7.1) 及更高版本的應(yīng)用。屆時，使用此權(quán)限的應(yīng)用程序在安裝或更新時僅能獲取經(jīng)過數(shù)字簽名的數(shù)據(jù)包，且不得執(zhí)行自我更新、修改或在文件中捆綁其他 APK的操作。

參考來源：https://www.bleepingcomputer.com/news/security/google-boosts-android-security-with-new-set-of-dev-policy-changes/?