应用安全改进计划

应用安全改进计划是为 Google Play 应用开发者提供的一项服务，旨在提高其应用的安全性。该计划提供构建更安全应用的提示和建议，并在您的应用上传到 Google Play 时识别潜在的安全增强功能。迄今为止，该计划已帮助开发者修复了 Google Play 上超过 1,000,000 个应用。

工作原理

在任何应用被接受到 Google Play 之前，我们都会扫描其安全性，包括潜在的安全问题。我们还持续重新扫描 Google Play 上的超过一百万个应用以查找其他威胁。

如果您的应用被标记为存在潜在的安全问题，我们会立即通知您，以帮助您快速解决问题并帮助保护用户安全。我们将通过电子邮件和 Google Play Console 向您发送警报，并提供指向支持页面的链接，其中包含有关如何改进应用的详细信息。

通常，这些通知将包括尽快向用户提供改进的时间表。对于某些类型的问题，我们可能要求您在发布任何更多更新之前对应用进行安全改进。

您可以通过将应用的新版本上传到 Google Play Console 来确认您已完全解决了问题。请务必增加已修复应用的版本号。几个小时后，检查 Play Console 中的安全警报；如果警报不再存在，则表示您已完成设置。

参与进来

本项目的成功依赖于我们与您的合作——Google Play 上应用的开发者以及安全社区。我们都有责任为用户提供安全可靠的应用。如需反馈或疑问，请通过Google Play 开发者帮助中心联系我们。如需报告应用中潜在的安全问题，请发送邮件至security+asi@android.com。

活动和修复

以下是 Google Play 最近向开发者标记的安全问题。每个活动的支持页面链接中都提供了漏洞和修复详细信息。

表 1：包含相关修复截止日期的警告活动。

活动	开始时间	支持页面
暴露的 Firebase Cloud Messaging 服务器密钥	10/12/2021	支持页面
意图重定向	5/16/2019	支持页面
JavaScript 接口注入	12/4/2018	支持页面
方案劫持	11/15/2018	支持页面
跨应用脚本	10/30/2018	支持页面
基于文件的跨站点脚本	6/5/2018	支持页面
SQL 注入	6/4/2018	支持页面
路径遍历	9/22/2017	支持页面
不安全的域名验证	11/29/2016	支持页面
片段注入	11/29/2016	支持页面
Supersonic 广告 SDK	9/28/2016	支持页面
Libpng	6/16/2016	支持页面
Libjpeg-turbo	6/16/2016	支持页面
Vpon 广告 SDK	6/16/2016	支持页面
Airpush 广告 SDK	3/31/2016	支持页面
MoPub 广告 SDK	3/31/2016	支持页面
OpenSSL（“logjam” 和 CVE-2015-3194、CVE-2014-0224）	3/31/2016	支持页面
TrustManager	2/17/2016	支持页面
AdMarvel	2/8/2016	支持页面
Libupup (CVE-2015-8540)	2/8/2016	支持页面
Apache Cordova (CVE-2015-5256、CVE-2015-1835)	12/14/2015	支持页面
Vitamio 广告 SDK	12/14/2015	支持页面
GnuTLS	10/13/2015	支持页面
Webview SSLErrorHandler	7/17/2015	支持页面
Vungle 广告 SDK	6/29/2015	支持页面
Apache Cordova (CVE-2014-3500、CVE-2014-3501、CVE-2014-3502)	6/29/2015	支持页面

表 2：仅警告活动（无修复截止日期）。

活动	开始时间	支持页面
隐式 PendingIntent	2/22/2022	支持页面
隐式内部意图	6/22/2021	支持页面
不安全的加密模式	10/13/2020	支持页面
不安全的加密	9/17/2019	支持页面
Zipfile 路径遍历	5/21/2019	支持页面
嵌入的 Foursquare OAuth 令牌	9/28/2016	支持页面
嵌入的 Facebook OAuth 令牌	9/28/2016	支持页面
Google Play 计费拦截	7/28/2016	支持页面
嵌入的 Google 刷新令牌 OAuth	7/28/2016	支持页面
开发者 URL 泄露的凭据	6/16/2016	支持页面
嵌入的 Keystore 文件	10/2/2014
Amazon Web Services 嵌入的凭据	6/12/2014