4月6日,谷歌宣布了针对Android应用开发者的几项关键政策更新,以提高用户、GooglePlay和相关应用的安全性。这些新政策将于今年5月11日至11月1日推出并生效,给开发者足够的时间来适应这些新变化。突出显示了与网络安全和欺诈相关的更新,包括:新的API级别目标要求禁止年利率(APR)为36%及以上的贷款应用程序禁止滥用可访问性API权限政策更新以从外部来源安装包新的API水平需要新的政策要求。2022年11月1日起,所有新发布的应用必须在最新Android系统版本发布后一年内匹配API级别,否则将无法上架GooglePlay;如果现有应用在两年内不满足相应的API级别,将被GooglePlay下架。新发布应用的APILevelTargetingRequirementsAPILevelTargetingRequirementsforExistingApp本次变更旨在要求应用开发者采用更严格的API策略来支持更新的Android版本,以更好地防范当今的安全威胁权限管理和撤销、通知反劫持、数据隐私增强、钓鱼检测、屏幕启动限制等功能。但这项政策并不完美。对于开发人员来说,这始终是一种被动策略。对于需要更多时间迁移到当前API级别的应用,谷歌表示可以提供最多6个月的延迟,但不能保证部分应用会放弃GooglePlay并在别处发布。当用户从这些“野”渠道下载时,往往会存在较大的安全隐患。限制辅助功能API滥用Android的辅助功能API(AccessibilityAPI)允许开发人员创建可供残障人士使用的应用程序,允许创建不同的方式来控制设备和使用他们的应用程序。但是,恶意软件经常会滥用此功能在未经用户许可甚至不知情的情况下在设备上执行操作。为此,谷歌的新政策进一步限制了以下乱象:未经用户许可更改用户设置,或阻止用户禁用、卸载任何应用程序或服务,除非父母或监护人通过家长控制应用程序授权,或获得家长授权或监护人。授权管理员通过企业管理软件授权绕过Android的内置隐私控制和通知更改或利用用户界面以欺骗性或其他违反GooglePlay开发者政策的方式收紧包获取政策“允许。一些恶意APP在上传到GooglePlay时,会提交看似正常的代码通过审核,但在安装后隐藏了下载恶意模块包的功能。用户会误以为是软件更新而批准相应的操作,或者直接在后台无形中下载。谷歌希望堵住这个漏洞。新的REQUEST_INSTALL_PACKAGES政策将于2022年7月11日生效,适用于使用API级别25(Android7.1)及更高版本的所有应用。届时,使用该权限的应用只能在安装或更新时获取经过数字签名的数据包,无法进行自更新、修改或捆绑其他APK文件等操作。参考来源:https://www.bleepingcomputer.com/news/security/google-boosts-android-security-with-new-set-of-dev-policy-changes/
