作者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隱私團隊
幫助 Android 應用開發者構建 "零漏洞" 的安全應用有助於推動整個生態系統的健康發展。所以,我們在 5 年前啟動了應用安全改進計劃,專案發展至今,收穫了許多成功,也讓我們更加堅定了繼續投入的決心。
Android 安全改進計劃介紹
當應用提交到 Google Play 商店後,我們會掃描並檢查應用是否存在安全漏洞。一旦發現應用存在潛在威脅,我們會立即通知開發人員,並協助他們修復這些問題。
迄今為止,安全改進計劃已幫助 30 多萬名開發者共修復了超過 100 萬個應用。僅在 2018 年,受益的開發者就達 3 萬餘人,修復的應用數量總計超過 75 萬。這意味著我們為使用者解決了至少 75 萬個安全隱患,對於我們而言確實是一場漂亮的勝仗。
計劃涵蓋的安全漏洞型別
應用安全改進計劃涵蓋了Android 應用中的各種安全威脅,小到某特定版本開發庫中的安全問題 (例如 CVE-2015-5256),大到 TLS/SSL 證書驗證漏洞。
我們一直在努力提升專案質量,在優化現有檢查功能的同時,針對新型別安全漏洞引入更多檢查專案。在 2018 年,我們為以下六類安全漏洞新增了警告:
- SQL 注入漏洞
- 基於檔案的跨站點指令碼漏洞
- 跨應用指令碼漏洞
- 第三方證書洩露漏洞
- 挾持漏洞
- 介面注入漏洞
我們的首要任務是將專案繼續推行下去,幫助開發者做好萬全準備,以應對新的安全威脅。這同樣也是我們在 2019 年的工作重點。
保障 Android 使用者安全是 Google 的重要使命。我們知道安全問題通常十分棘手,開發者在編寫應用的過程中也難免會犯錯。我們希望這個專案能在未來幾年內不斷髮展,助力全球開發者為使用者帶去值得信賴的應用。
點選這裡瞭解更多 P&E 相關產品內容
