確保 Google Play 上面的使用者和開發人員都安全,一直是 Google 的首要任務。「Google Play 安全防護」每天在數十億台的 Android 裝置上,持續掃描數十億個被安裝的應用程式,來保護使用者不會受到惡意軟體和垃圾軟體這樣的威脅侵害。
因為我們的安全功能和政策有更新、改良,加上我們持續投入資源,加強機器學習系統還有應用程式的審查流程,2022 年,我們成功阻止了 143 萬個違反政策的應用程式在 Google Play 上發布。我們也持續打擊惡意開發人員和詐騙集團,封鎖了 17.3 萬個不良帳號,並阻止超過 20 億美元的欺詐和違規交易。透過電話、電子郵件和其他身分驗證的方法,我們提高了新進開發人員加入 Play 生態系統的門檻,有助於減少發布違規應用程式的帳號。我們也繼續與軟體開發套件(SDK)的提供商合作,降低敏感資料的存取與分享,改善了 Google Play 上面超過一百萬個應用程式的隱私安全。
透過強化的 Android 平台保護措施和政策,以及對開發人員進行推廣和教育,我們在過去 3 年中,防止了大約 50 萬個應用程式在提交發布時,存取不必要的敏感權限。
開發人員的支持和協作能協助確保應用程式安全
隨著 Android 生態系統擴展,我們必須和開發人員的社群密切合作,確保大家擁有所需的工具、知識和支援,打造出尊重使用者資料安全和隱私、安全又可靠的應用程式。
2022 年,應用程式安全性提升計畫幫助開發人員修復了大約 50 萬個安全漏洞問題,這些問題涉及約 30 萬個應用程式,加總的安裝基數約為 2,500 億。我們還推出了 Google Play SDK 索引,來幫助開發人員評估 SDK 是否可靠和安全,並協助他們決定 SDK 是否適合自己的業務和使用者。我們將繼續和 SDK 提供商密切合作,提高應用程式和 SDK 的安全性、限制使用者資料的分享方式,並改善與應用程式開發人員的溝通管道。
我們最近還推出了新的功能和資源,讓開發人員能夠更順利配合政策。我們擴大支援熱線前導計畫,提供直接的電話支援給開發人員,解決政策上的問題。而我們嘗試推出 Google Play 開發人員社群,讓更多開發人員可以討論政策問題,並且彼此交流,了解打造安全的應用程式最好的作法。
更嚴格的應用程式要求和規範
要確保大家在使用過程中都很安全,除了重要的 Google Play 的功能和政策之外,每次 Android 作業系統的更新也都會提升隱私、安全和使用者體驗。為確保使用者充分得到這些改進帶來的好處,並且維護大家期待在 Google Play 上擁有的信賴體驗,我們和開發人員合作,確保應用程式可以在比較新的 Android 版本上流暢運行。透過新的目標 API 級別政策,我們保護使用者不去安裝那些不具備最新版本 Android 全套隱私和安全功能的應用程式,來加強使用者的安全和隱私。
過去一年,我們在肯亞、奈及利亞和菲律賓等主要地區針對個人信貸應用程式推出了新的授權要求,也對印度的貸款服務商應用程式提出了更嚴格的要求,來打擊詐騙行為。同時,我們也表明,我們的政策禁止任何單位或組織假冒他人身分,讓使用者在下載他們在找的應用程式時,能夠更加安心。
我們也致力於協助打擊 Google Play 上的詐騙和惡意廣告。隨著開發人員的廣告政策更新,我們提供了關鍵指南,改善應用程式內使用體驗,並參考了《行動應用程式體驗 - 更優質的廣告標準》,禁止無預警的全螢幕插頁式廣告。
改善資訊透明度、安全控制選項以及相關工具
我們去年在 Google Play 中推出了資料安全性專區,讓使用者更清楚瞭解他們的應用程式資料是如何被收集、分享和保護的。我們很高興能和開發人員合作改善資料安全性專區,讓他們向使用者分享他們對於資料收集、分享以及安全的作法。
自 2022 年起,Google Play 成為第一家商業應用程式商店,承認應用程式防禦聯盟推出的標章,會標記通過行動應用程式安全評估 (MASA) 獨立安全審查的應用程式。這個標章會顯示在應用程式各自的資料安全性專區中。MASA 使用的是 OWASP 的行動應用程式安全驗證標準,這個標準也是所有針對應用程式的安全要求裡,最廣泛被採用的一種。我們發現開發人員對 MASA 有濃厚的興趣,尤其是在主要應用程式類別中被廣泛使用的應用程式,例如 Roblox、Uber、PayPal、Threema、YouTube 等等。
過去一年,我們也擴大了應用程式防護聯盟(App Defense Alliance);聯盟裡的夥伴有共同的任務,要透過共享的情報還有合作的偵測機制,保護 Android 的使用者不受到惡意程式的侵害。McAfee 和趨勢科技也加入我們與 ESET、Lookout,以及 Zimperium 一起合作,降低以應用程式為基礎的惡意程式所造成的風險,來加強對 Android 使用者的保護。
我們也持續加強保護開發人員還有他們的應用程式,例如使用 KeyMint 和遠端密鑰配置來強化 Play 完整性的應用程式介面(Play Integrity API)。
持續為 Pixel 使用者強化安全和隱私
我們為 Pixel 裝置的使用者加上了更強大的功能,來保護他們的安全。新的安全和隱私設定已經在所有安裝 Android 13 系統的 Pixel 裝置上推出,每個月都能改善全球數百萬使用者的安全和隱私狀態。Private Compute Core 也能讓 Pixel 手機能在確保隱私的前提下,偵測有害的應用程式。
放眼未來
我們將持續努力確保 Google Play 以及由使用者和開發人員共同構成的生態系統都能安全,並期待在 2023 年發布更多有關安全性的公告。
以上內容來自 [ Google Blog ] taiwan.googleblog.com/2023/04/HowWeFoughtBadApps2022.html