谷歌宣布了針對(duì) Android 應(yīng)用程序開發(fā)人員的幾項(xiàng)關(guān)鍵策略變更，以提高用戶、Google Play 和該服務(wù)提供的應(yīng)用的安全性。將在 2022 年 5 月 11 日至 11 月 1 日之間生效，給開發(fā)者足夠的時(shí)間來適應(yīng)新的變化。

根據(jù) BleepingComputer 介紹，其中與網(wǎng)絡(luò)安全和欺詐相關(guān)重要的變化包括有：

• 新的 API level target requirements。
• 禁止年利率(APR)為 36% 或以上的貸款應(yīng)用程序。
• 禁止濫用 Accessibility API。
• 對(duì)從外部來源安裝包的權(quán)限進(jìn)行新的策略修改。

新的 API level targets

從 2022 年 11 月 1 日起，所有新 released/published 的應(yīng)用程序必須針對(duì)最新主要 Android 版本發(fā)布后一年內(nèi)發(fā)布的 Android API level。

對(duì)新發(fā)布的應(yīng)用程序的 API level targeting requirement

那些未能遵守這一要求的應(yīng)用將被拒絕列入 Android 的官方應(yīng)用商店 Play Store?，F(xiàn)有的應(yīng)用程序如果不以最新的主要 Android 版本兩年內(nèi)的 API level 為目標(biāo)，將會(huì)被從 Play Store 中刪除。

現(xiàn)有應(yīng)用程序的 API level targeting requirement

這一變化旨在迫使應(yīng)用程序開發(fā)人員采用更嚴(yán)格的 API 策略來支持較新的 Android 版本，通常是更好的權(quán)限管理和撤銷、通知反劫持、數(shù)據(jù)隱私增強(qiáng)、網(wǎng)絡(luò)釣魚檢測(cè)等。

谷歌方面在博客文章中解釋稱，背后的理由很簡(jiǎn)單：“擁有最新設(shè)備的用戶或完全關(guān)注 Android 更新的用戶希望充分發(fā)揮 Android 提供的所有隱私和安全保護(hù)的潛力。擴(kuò)展我們的 target level API requirements 將保護(hù)用戶免于安裝可能沒有這些保護(hù)措施的舊應(yīng)用程序”。需要更多時(shí)間進(jìn)行遷移的用戶可請(qǐng)申請(qǐng)延期 6 個(gè)月。

此舉預(yù)計(jì)將迫使一些過時(shí)的應(yīng)用程序采用更安全的做法，但也將不可避免地把一些不再積極開發(fā)的項(xiàng)目推向 Play Store 之外，從而導(dǎo)致用戶轉(zhuǎn)向不知名來源獲取想要的應(yīng)用程序的 APK，加大感染惡意軟件風(fēng)險(xiǎn)。

Accessibility API 濫用

Android 的 Accessibility API 允許開發(fā)人員創(chuàng)建可供殘障人士使用的應(yīng)用程序，從而允許創(chuàng)建不同的方式來控制設(shè)備和使用其應(yīng)用程序。但是，此功能經(jīng)常被惡意軟件濫用，在未經(jīng)用戶許可甚至不知情的情況下在 Android 設(shè)備上執(zhí)行操作。

因此，谷歌的新策略進(jìn)一步限制了其使用方式：

• 未經(jīng)用戶許可改變用戶設(shè)置，或阻止用戶禁用或卸載任何應(yīng)用程序或服務(wù)的能力;除非由家長(zhǎng)或監(jiān)護(hù)人通過家長(zhǎng)控制應(yīng)用程序授權(quán)，或由授權(quán)管理員通過企業(yè)管理軟件授權(quán)。
• 繞過 Android 內(nèi)置的隱私控制和通知;
• 以欺騙性或以其他方式違反 Google Play 開發(fā)者政策的方式更改或利用用戶界面。

Policy for package fetching

谷歌還收緊了“REQUEST_INSTALL_PACKAGES”權(quán)限。將于 2022 年 7 月 11 日生效，適用于所有使用 API level 25(Android 7.1)及以上的應(yīng)用程序。

許多惡意應(yīng)用發(fā)布者將無害的代碼提交到 Play Store 以使其提交獲得批準(zhǔn)，但用戶在下載安裝后卻會(huì)在不知情的情況下引入惡意模塊。谷歌希望通過執(zhí)行新的權(quán)限策略來加強(qiáng)監(jiān)管。要使用此權(quán)限，你的應(yīng)用程序的核心功能必須包括：發(fā)送或接收應(yīng)用包、啟用用戶發(fā)起的應(yīng)用包的安裝。

現(xiàn)在允許的功能將被限制在網(wǎng)頁(yè)瀏覽或搜索、支持附件的通信服務(wù)、文件共享、傳輸或管理、以及企業(yè)設(shè)備管理。

除非用于設(shè)備管理目的，否則 REQUEST_INSTALL_PACKAGES 權(quán)限不得用于執(zhí)行自我更新、修改或捆綁資產(chǎn)文件中的其他 APK。軟件包的所有更新或安裝都必須遵守 Google Play 的設(shè)備和網(wǎng)絡(luò)濫用策略，并且必須由用戶發(fā)起和推動(dòng)。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：谷歌通過新的開發(fā)策略，以提升 Android 安全性

本文地址：https://www.oschina.net/news/190791/google-dev-policy-changes-android-security