Android 应用安全性改进: 全面助力打造 "零漏洞" 应用
作者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隐私团队
帮助 Android 应用开发者构建 "零漏洞" 的安全应用有助于推动整个生态系统的健康发展。所以,我们在 5 年前启动了应用安全改进计划,项目发展至今,收获了许多成功,也让我们更加坚定了继续投入的决心。
Android 安全改进计划介绍
当应用提交到 Google Play 商店后,我们会扫描并检查应用是否存在安全漏洞。一旦发现应用存在潜在威胁,我们会立即通知开发人员,并协助他们修复这些问题。
您可以把这整个过程想象成一次 "例行健康检查": 如果扫描未发现任何问题,应用便可进入接下来的常规测试及 Play Store 发布环节;如果检查出问题,我们便会提供诊断说明,并进行后续的修复工作。
迄今为止,安全改进计划已帮助 30 多万名开发者共修复了超过 100 万个应用。仅在 2018 年,受益的开发者就达 3 万余人,修复的应用数量总计超过 75 万。这意味着我们为用户解决了至少 75 万个安全隐患,对于我们而言确实是一场漂亮的胜仗。
计划涵盖的安全漏洞类型
应用安全改进计划涵盖了Android 应用中的各种安全威胁,小到某特定版本开发库中的安全问题 (例如 CVE-2015-5256),大到 TLS/SSL 证书验证漏洞。
我们一直在努力提升项目质量,在优化现有检查功能的同时,针对新类型安全漏洞引入更多检查项目。在 2018 年,我们为以下六类安全漏洞添加了警告:
1. SQL 注入漏洞
2. 基于文件的跨站点脚本漏洞
3. 跨应用脚本漏洞
4. 第三方证书泄露漏洞
5. 挟持漏洞
6. 接口注入漏洞
我们的首要任务是将项目继续推行下去,帮助开发者做好万全准备,以应对新的安全威胁。这同样也是我们在 2019 年的工作重点。
保障 Android 用户安全是 Google 的重要使命。我们知道安全问题通常十分棘手,开发者在编写应用的过程中也难免会犯错。我们希望这个项目能在未来几年内不断发展,助力全球开发者为用户带去值得信赖的应用。
推荐阅读