应用安全改进计划是一项面向 Google Play 应用开发者提供的服务,旨在提高其应用的安全性。该计划提供构建更安全应用的技巧和建议,并在您的应用上传到 Google Play 时识别潜在的安全增强功能。迄今为止,该计划已协助开发者修复了 Google Play 上超过 1,000,000 个应用。
工作原理
在任何应用被接受进入 Google Play 之前,我们会扫描其安全性和安全性,包括潜在的安全问题。我们还会持续重新扫描 Google Play 上超过一百万个应用,以查找其他威胁。
如果您的应用被标记出潜在的安全问题,我们会立即通知您,帮助您快速解决该问题,并帮助保护您的用户安全。我们将通过电子邮件和 Google Play 管理中心向您发送提醒,并提供支持页面的链接,其中包含有关如何改进应用的详细信息。
通常,这些通知会包含一个尽快向用户提供改进的时间表。对于某些类型的问题,我们可能要求您在发布任何后续更新之前,先在应用中进行安全改进。
您可以通过将新版本的应用上传到 Google Play 管理中心来确认您已完全解决该问题。请务必增加已修复应用的 Version Code。几个小时后,在 Play 管理中心检查安全提醒;如果提醒不再显示,则表示您已完成。
Play 管理中心中应用安全改进提醒示例。
参与其中
本计划的成功取决于我们与您(即 Google Play 应用开发者)以及安全社区的合作。我们都负责向用户提供安全可靠的应用。如果您有反馈或问题,请通过Google Play 开发者帮助中心与我们联系。如需报告应用中潜在的安全问题,请通过 security+asi@android.com 与我们联系。
活动和修复
以下是 Google Play 上向开发者标记出的最新安全问题。漏洞和修复详情可在每个活动的的支持页面链接中找到。
表 1:带有相应修复截止日期的警告活动。
| 活动 | 开始日期 | 支持页面 |
|---|---|---|
| Firebase Cloud Messaging 服务器密钥泄露 | 10/12/2021 | 支持页面 |
| Intent 重定向 | 5/16/2019 | 支持页面 |
| JavaScript 接口注入 | 12/4/2018 | 支持页面 |
| Scheme 劫持 | 11/15/2018 | 支持页面 |
| 跨应用脚本攻击 | 10/30/2018 | 支持页面 |
| 基于文件的跨站点脚本攻击 | 6/5/2018 | 支持页面 |
| SQL 注入 | 6/4/2018 | 支持页面 |
| 路径遍历 | 9/22/2017 | 支持页面 |
| 不安全的主机名验证 | 11/29/2016 | 支持页面 |
| Fragment 注入 | 11/29/2016 | 支持页面 |
| Supersonic 广告 SDK | 9/28/2016 | 支持页面 |
| Libpng | 6/16/2016 | 支持页面 |
| Libjpeg-turbo | 6/16/2016 | 支持页面 |
| Vpon 广告 SDK | 6/16/2016 | 支持页面 |
| Airpush 广告 SDK | 3/31/2016 | 支持页面 |
| MoPub 广告 SDK | 3/31/2016 | 支持页面 |
| OpenSSL(“logjam” 和 CVE-2015-3194, CVE-2014-0224) | 3/31/2016 | 支持页面 |
| TrustManager | 2/17/2016 | 支持页面 |
| AdMarvel | 2/8/2016 | 支持页面 |
| Libupup (CVE-2015-8540) | 2/8/2016 | 支持页面 |
| Apache Cordova (CVE-2015-5256, CVE-2015-1835) | 12/14/2015 | 支持页面 |
| Vitamio 广告 SDK | 12/14/2015 | 支持页面 |
| GnuTLS | 10/13/2015 | 支持页面 |
| Webview SSLErrorHandler | 7/17/2015 | 支持页面 |
| Vungle 广告 SDK | 6/29/2015 | 支持页面 |
| Apache Cordova (CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) | 6/29/2015 | 支持页面 |
表 2:仅警告活动(无修复截止日期)。
| 活动 | 开始日期 | 支持页面 |
|---|---|---|
| 隐式 PendingIntent | 2/22/2022 | 支持页面 |
| 隐式内部 Intent | 6/22/2021 | 支持页面 |
| 不安全的加密模式 | 10/13/2020 | 支持页面 |
| 不安全的加密 | 9/17/2019 | 支持页面 |
| Zip 文件路径遍历 | 5/21/2019 | 支持页面 |
| 嵌入的 Foursquare OAuth 令牌 | 9/28/2016 | 支持页面 |
| 嵌入的 Facebook OAuth 令牌 | 9/28/2016 | 支持页面 |
| Google Play 结算拦截 | 7/28/2016 | 支持页面 |
| 嵌入的 Google 刷新令牌 OAuth | 7/28/2016 | 支持页面 |
| 开发者 URL 泄露的凭据 | 6/16/2016 | 支持页面 |
| 嵌入的 Keystore 文件 | 10/2/2014 | |
| Amazon Web Services 嵌入的凭据 | 6/12/2014 |