Android 應用安全性改進: 全面助力打造 "零漏洞" 應用

Android_開發者發表於2019-03-07

作者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隱私團隊

幫助 Android 應用開發者構建 "零漏洞" 的安全應用有助於推動整個生態系統的健康發展。所以,我們在 5 年前啟動了應用安全改進計劃,專案發展至今,收穫了許多成功,也讓我們更加堅定了繼續投入的決心。

Android 安全改進計劃介紹

當應用提交到 Google Play 商店後,我們會掃描並檢查應用是否存在安全漏洞。一旦發現應用存在潛在威脅,我們會立即通知開發人員,並協助他們修復這些問題。

Android 應用安全性改進: 全面助力打造 "零漏洞" 應用
您可以把這整個過程想象成一次 "例行健康檢查": 如果掃描未發現任何問題,應用便可進入接下來的常規測試及 Play Store 釋出環節;如果檢查出問題,我們便會提供診斷說明,並進行後續的修復工作。

迄今為止,安全改進計劃已幫助 30 多萬名開發者共修復了超過 100 萬個應用。僅在 2018 年,受益的開發者就達 3 萬餘人,修復的應用數量總計超過 75 萬。這意味著我們為使用者解決了至少 75 萬個安全隱患,對於我們而言確實是一場漂亮的勝仗。

計劃涵蓋的安全漏洞型別

應用安全改進計劃涵蓋了Android 應用中的各種安全威脅,小到某特定版本開發庫中的安全問題 (例如 CVE-2015-5256),大到 TLS/SSL 證書驗證漏洞。

我們一直在努力提升專案質量,在優化現有檢查功能的同時,針對新型別安全漏洞引入更多檢查專案。在 2018 年,我們為以下六類安全漏洞新增了警告:

  1. SQL 注入漏洞
  2. 基於檔案的跨站點指令碼漏洞
  3. 跨應用指令碼漏洞
  4. 第三方證書洩露漏洞
  5. 挾持漏洞
  6. 介面注入漏洞

我們的首要任務是將專案繼續推行下去,幫助開發者做好萬全準備,以應對新的安全威脅。這同樣也是我們在 2019 年的工作重點。

保障 Android 使用者安全是 Google 的重要使命。我們知道安全問題通常十分棘手,開發者在編寫應用的過程中也難免會犯錯。我們希望這個專案能在未來幾年內不斷髮展,助力全球開發者為使用者帶去值得信賴的應用。

點選這裡瞭解更多 P&E 相關產品內容

Android 應用安全性改進: 全面助力打造 "零漏洞" 應用

相關文章