应用安全改进计划

应用安全改进计划是为 Google Play 应用开发者提供的一项服务，旨在提高其应用的安全性。该计划提供有关构建更安全应用的提示和建议，并在您的应用上传到 Google Play 时识别潜在的安全增强功能。迄今为止，该计划已帮助开发者修复了 Google Play 上超过 1,000,000 个应用。

工作原理

在任何应用被 Google Play 接受之前，我们会扫描其安全性，包括潜在的安全问题。我们还会持续重新扫描 Google Play 上的超过一百万个应用，以防范其他威胁。

如果您的应用因潜在的安全问题而被标记，我们会立即通知您，以帮助您快速解决问题并帮助保护用户安全。我们将通过电子邮件和 Google Play Console 向您发送警报，并提供指向支持页面的链接，其中包含有关如何改进应用的详细信息。

通常，这些通知会包含一个时间线，以便尽快将改进提供给用户。对于某些类型的问题，我们可能要求您在应用中进行安全改进，然后才能发布任何其他更新。

您可以通过将应用的新版本上传到 Google Play Console 来确认您已完全解决了该问题。请务必增加已修复应用的版本号。几个小时后，检查 Play Console 中的安全警报；如果不再显示，则表示您已完成所有操作。

参与其中

该计划的成功取决于我们与您（Google Play 上应用的开发者）和安全社区的合作关系。我们都有责任为用户提供安全可靠的应用。如有反馈或问题，请通过Google Play 开发者帮助中心与我们联系。要报告应用中的潜在安全问题，请通过[email protected]与我们联系。

活动和补救措施

以下是最近在 Google Play 上标记给开发者的安全问题。每个活动的活动支持页面链接中提供了漏洞和补救详细信息。

表 1：包含相关补救截止日期的警告活动。

活动	开始日期	支持页面
公开的 Firebase Cloud Messaging 服务器密钥	10/12/2021	支持页面
意图重定向	5/16/2019	支持页面
JavaScript 接口注入	12/4/2018	支持页面
方案劫持	11/15/2018	支持页面
跨应用脚本	10/30/2018	支持页面
基于文件的跨站点脚本	6/5/2018	支持页面
SQL 注入	6/4/2018	支持页面
路径遍历	9/22/2017	支持页面
不安全的 Hostname 验证	11/29/2016	支持页面
碎片注入	11/29/2016	支持页面
Supersonic广告SDK	9/28/2016	支持页面
Libpng	6/16/2016	支持页面
Libjpeg-turbo	6/16/2016	支持页面
Vpon广告SDK	6/16/2016	支持页面
Airpush广告SDK	3/31/2016	支持页面
MoPub广告SDK	3/31/2016	支持页面
OpenSSL（“logjam”和CVE-2015-3194、CVE-2014-0224）	3/31/2016	支持页面
TrustManager	2/17/2016	支持页面
AdMarvel	2/8/2016	支持页面
Libupup (CVE-2015-8540)	2/8/2016	支持页面
Apache Cordova (CVE-2015-5256、CVE-2015-1835)	12/14/2015	支持页面
Vitamio广告SDK	12/14/2015	支持页面
GnuTLS	10/13/2015	支持页面
Webview SSLErrorHandler	7/17/2015	支持页面
Vungle广告SDK	6/29/2015	支持页面
Apache Cordova (CVE-2014-3500、CVE-2014-3501、CVE-2014-3502)	6/29/2015	支持页面

表2：仅警告活动（无修复截止日期）。

活动	开始日期	支持页面
隐式PendingIntent	2/22/2022	支持页面
隐式内部Intent	6/22/2021	支持页面
不安全的加密模式	10/13/2020	支持页面
不安全的加密	9/17/2019	支持页面
Zipfile路径遍历	5/21/2019	支持页面
嵌入式Foursquare OAuth令牌	9/28/2016	支持页面
嵌入式Facebook OAuth令牌	9/28/2016	支持页面
Google Play结算拦截	7/28/2016	支持页面
嵌入式Google刷新令牌OAuth	7/28/2016	支持页面
开发者URL泄露凭据	6/16/2016	支持页面
嵌入式密钥库文件	10/2/2014
Amazon Web Services嵌入式凭据	6/12/2014