应用安全改进计划

应用安全改进计划是一项面向 Google Play 应用开发者提供的服务,旨在提高其应用的安全性。该计划提供构建更安全应用的技巧和建议,并在您的应用上传到 Google Play 时识别潜在的安全增强功能。迄今为止,该计划已协助开发者修复了 Google Play 上超过 1,000,000 个应用。

工作原理

在任何应用被接受进入 Google Play 之前,我们会扫描其安全性和安全性,包括潜在的安全问题。我们还会持续重新扫描 Google Play 上超过一百万个应用,以查找其他威胁。

如果您的应用被标记出潜在的安全问题,我们会立即通知您,帮助您快速解决该问题,并帮助保护您的用户安全。我们将通过电子邮件和 Google Play 管理中心向您发送提醒,并提供支持页面的链接,其中包含有关如何改进应用的详细信息。

通常,这些通知会包含一个尽快向用户提供改进的时间表。对于某些类型的问题,我们可能要求您在发布任何后续更新之前,先在应用中进行安全改进。

您可以通过将新版本的应用上传到 Google Play 管理中心来确认您已完全解决该问题。请务必增加已修复应用的 Version Code。几个小时后,在 Play 管理中心检查安全提醒;如果提醒不再显示,则表示您已完成。

Play 管理中心中应用安全改进提醒示例。

参与其中

本计划的成功取决于我们与您(即 Google Play 应用开发者)以及安全社区的合作。我们都负责向用户提供安全可靠的应用。如果您有反馈或问题,请通过Google Play 开发者帮助中心与我们联系。如需报告应用中潜在的安全问题,请通过 security+asi@android.com 与我们联系。

活动和修复

以下是 Google Play 上向开发者标记出的最新安全问题。漏洞和修复详情可在每个活动的的支持页面链接中找到。

表 1:带有相应修复截止日期的警告活动。

活动 开始日期 支持页面
Firebase Cloud Messaging 服务器密钥泄露 10/12/2021 支持页面
Intent 重定向 5/16/2019 支持页面
JavaScript 接口注入 12/4/2018 支持页面
Scheme 劫持 11/15/2018 支持页面
跨应用脚本攻击 10/30/2018 支持页面
基于文件的跨站点脚本攻击 6/5/2018 支持页面
SQL 注入 6/4/2018 支持页面
路径遍历 9/22/2017 支持页面
不安全的主机名验证 11/29/2016 支持页面
Fragment 注入 11/29/2016 支持页面
Supersonic 广告 SDK 9/28/2016 支持页面
Libpng 6/16/2016 支持页面
Libjpeg-turbo 6/16/2016 支持页面
Vpon 广告 SDK 6/16/2016 支持页面
Airpush 广告 SDK 3/31/2016 支持页面
MoPub 广告 SDK 3/31/2016 支持页面
OpenSSL(“logjam” 和 CVE-2015-3194, CVE-2014-0224) 3/31/2016 支持页面
TrustManager 2/17/2016 支持页面
AdMarvel 2/8/2016 支持页面
Libupup (CVE-2015-8540) 2/8/2016 支持页面
Apache Cordova (CVE-2015-5256, CVE-2015-1835) 12/14/2015 支持页面
Vitamio 广告 SDK 12/14/2015 支持页面
GnuTLS 10/13/2015 支持页面
Webview SSLErrorHandler 7/17/2015 支持页面
Vungle 广告 SDK 6/29/2015 支持页面
Apache Cordova (CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) 6/29/2015 支持页面

表 2:仅警告活动(无修复截止日期)。

活动 开始日期 支持页面
隐式 PendingIntent 2/22/2022 支持页面
隐式内部 Intent 6/22/2021 支持页面
不安全的加密模式 10/13/2020 支持页面
不安全的加密 9/17/2019 支持页面
Zip 文件路径遍历 5/21/2019 支持页面
嵌入的 Foursquare OAuth 令牌 9/28/2016 支持页面
嵌入的 Facebook OAuth 令牌 9/28/2016 支持页面
Google Play 结算拦截 7/28/2016 支持页面
嵌入的 Google 刷新令牌 OAuth 7/28/2016 支持页面
开发者 URL 泄露的凭据 6/16/2016 支持页面
嵌入的 Keystore 文件 10/2/2014
Amazon Web Services 嵌入的凭据 6/12/2014