谷歌宣布了针对Android应用程序开发人员的几项关键政策变更,以提高用户、GooglePlay和该服务提供的应用程序的安全性。它将于2022年5月11日至11月1日生效,让开发者有足够的时间来适应新的变化。据BleepingComputer称,与网络安全和欺诈相关的重要变化包括:新的API级别目标要求。禁止年利率(APR)为36%或以上的贷款申请。禁止滥用辅助功能API。对从外部源安装包的权限进行了新的策略修改。新的API级别目标从2022年11月1日起,所有新发布/发布的应用程序必须以最新主要Android版本发布后一年内发布的AndroidAPI级别为目标。新发布应用的API级别定位要求不符合此要求的应用将被拒绝在Android官方应用商店PlayStore上架。在最新的主要Android版本发布两年内未针对API级别的现有应用将从Play商店中删除。现有应用程序的API级别目标要求此更改旨在强制应用程序开发人员采用更严格的API策略以支持更新的Android版本,通常更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测等。谷歌在一篇博客文章中解释说,其背后的理由很简单:“拥有最新设备或完全关注Android更新的用户希望充分利用Android提供的所有隐私和安全保护。扩展我们的目标级别API要求将防止用户安装可能没有这些保护的旧应用程序”。需要更多时间迁移的用户可以申请6个月的延期。预计此举将迫使一些过时的应用程序采用更安全的做法,但也不可避免地会将一些不再积极开发的项目推出Play商店,导致用户转向未知来源获取他们想要的应用程序APK,增加恶意软件感染的风险。辅助功能API滥用Android的辅助功能API允许开发人员创建可供残障人士使用的应用程序,允许创建不同的方式来控制设备和使用他们的应用程序。然而,此功能经常被恶意软件滥用,在未经用户许可甚至用户不知情的情况下在Android设备上执行操作。因此,谷歌的新政策进一步限制了它的使用方式:未经用户许可更改用户设置,或阻止用户禁用或卸载任何应用程序或服务;除非父母或监护人通过家长控制应用程序授权,或授权管理员通过企业管理软件授权。绕过Android的内置隐私控制和通知;以欺骗性或其他违反GooglePlay开发者政策的方式更改或利用用户界面。Google的包获取策略也收紧了“REQUEST_INSTALL_PACKAGES”权限。自2022年7月11日起,适用于使用API级别25(Android7.1)及更高版本的所有应用。许多恶意应用程序的发布者向Play商店提交无害代码以获得批准,只是让用户下载并安装它,然后在不知不觉中引入恶意模块。谷歌希望通过执行新的权限政策来加强监管。要使用此权限,您的应用程序的核心功能必须包括:发送或接收应用程序包,启用用户启动的应用程序包安装。现在允许的功能将仅限于网页浏览或搜索、支持附件的通信服务、文件共享、传输或管理以及企业设备管理。除非用于设备管理目的,否则REQUEST_INSTALL_PACKAGES权限不得用于执行自我更新、修改或捆绑资产文件中的其他APK。软件包的所有更新或安装都必须符合GooglePlay的设备和网络滥用政策,并且必须由用户启动和驱动。本文转自OSCHINA文章标题:谷歌采用新的开发策略提高Android安全性本文地址:https://www.oschina.net/news/190791/google-dev-policy-changes-android-security
