应用安全改进计划是一项面向 Google Play 应用开发者提供的服务,旨在提高其应用的安全性。该计划提供构建更安全应用的技巧和建议,并在您的应用上传到 Google Play 时识别潜在的安全增强功能。迄今为止,该计划已协助开发者修复了 Google Play 上超过 1,000,000 个应用。
工作原理
在任何应用被接受进入 Google Play 之前,我们会扫描其安全性和安全性,包括潜在的安全问题。我们还会持续重新扫描 Google Play 上超过一百万个应用,以查找其他威胁。
如果您的应用被标记出潜在的安全问题,我们会立即通知您,帮助您快速解决该问题,并帮助保护您的用户安全。我们将通过电子邮件和 Google Play 管理中心向您发送提醒,并提供支持页面的链接,其中包含有关如何改进应用的详细信息。
通常,这些通知会包含一个尽快向用户提供改进的时间表。对于某些类型的问题,我们可能要求您在发布任何后续更新之前,先在应用中进行安全改进。
您可以通过将新版本的应用上传到 Google Play 管理中心来确认您已完全解决该问题。请务必增加已修复应用的 Version Code。几个小时后,在 Play 管理中心检查安全提醒;如果提醒不再显示,则表示您已完成。

Play 管理中心中应用安全改进提醒示例。
参与其中
本计划的成功取决于我们与您(即 Google Play 应用开发者)以及安全社区的合作。我们都负责向用户提供安全可靠的应用。如果您有反馈或问题,请通过Google Play 开发者帮助中心与我们联系。如需报告应用中潜在的安全问题,请通过 security+asi@android.com
与我们联系。
活动和修复
以下是 Google Play 上向开发者标记出的最新安全问题。漏洞和修复详情可在每个活动的的支持页面链接中找到。
表 1:带有相应修复截止日期的警告活动。
活动 | 开始日期 | 支持页面 |
---|---|---|
Firebase Cloud Messaging 服务器密钥泄露 | 10/12/2021 | 支持页面 |
Intent 重定向 | 5/16/2019 | 支持页面 |
JavaScript 接口注入 | 12/4/2018 | 支持页面 |
Scheme 劫持 | 11/15/2018 | 支持页面 |
跨应用脚本攻击 | 10/30/2018 | 支持页面 |
基于文件的跨站点脚本攻击 | 6/5/2018 | 支持页面 |
SQL 注入 | 6/4/2018 | 支持页面 |
路径遍历 | 9/22/2017 | 支持页面 |
不安全的主机名验证 | 11/29/2016 | 支持页面 |
Fragment 注入 | 11/29/2016 | 支持页面 |
Supersonic 广告 SDK | 9/28/2016 | 支持页面 |
Libpng | 6/16/2016 | 支持页面 |
Libjpeg-turbo | 6/16/2016 | 支持页面 |
Vpon 广告 SDK | 6/16/2016 | 支持页面 |
Airpush 广告 SDK | 3/31/2016 | 支持页面 |
MoPub 广告 SDK | 3/31/2016 | 支持页面 |
OpenSSL(“logjam” 和 CVE-2015-3194, CVE-2014-0224) | 3/31/2016 | 支持页面 |
TrustManager | 2/17/2016 | 支持页面 |
AdMarvel | 2/8/2016 | 支持页面 |
Libupup (CVE-2015-8540) | 2/8/2016 | 支持页面 |
Apache Cordova (CVE-2015-5256, CVE-2015-1835) | 12/14/2015 | 支持页面 |
Vitamio 广告 SDK | 12/14/2015 | 支持页面 |
GnuTLS | 10/13/2015 | 支持页面 |
Webview SSLErrorHandler | 7/17/2015 | 支持页面 |
Vungle 广告 SDK | 6/29/2015 | 支持页面 |
Apache Cordova (CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) | 6/29/2015 | 支持页面 |
表 2:仅警告活动(无修复截止日期)。
活动 | 开始日期 | 支持页面 |
---|---|---|
隐式 PendingIntent | 2/22/2022 | 支持页面 |
隐式内部 Intent | 6/22/2021 | 支持页面 |
不安全的加密模式 | 10/13/2020 | 支持页面 |
不安全的加密 | 9/17/2019 | 支持页面 |
Zip 文件路径遍历 | 5/21/2019 | 支持页面 |
嵌入的 Foursquare OAuth 令牌 | 9/28/2016 | 支持页面 |
嵌入的 Facebook OAuth 令牌 | 9/28/2016 | 支持页面 |
Google Play 结算拦截 | 7/28/2016 | 支持页面 |
嵌入的 Google 刷新令牌 OAuth | 7/28/2016 | 支持页面 |
开发者 URL 泄露的凭据 | 6/16/2016 | 支持页面 |
嵌入的 Keystore 文件 | 10/2/2014 | |
Amazon Web Services 嵌入的凭据 | 6/12/2014 |