谷歌通过新的开发策略,以提升 Android 安全性

谷歌宣布了针对 Android 应用程序开发人员的几项关键策略变更,以提高用户、Google Play 和该服务提供的应用的安全性。将在 2022 年 5 月 11 日至 11 月 1 日之间生效,给开发者足够的时间来适应新的变化。

根据 BleepingComputer 介绍,其中与网络安全和欺诈相关重要的变化包括有:

  • 新的 API level target requirements。
  • 禁止年利率(APR)为 36% 或以上的贷款应用程序。
  • 禁止滥用 Accessibility API。
  • 对从外部来源安装包的权限进行新的策略修改。

新的 API level targets

从 2022 年 11 月 1 日起,所有新 released/published 的应用程序必须针对最新主要 Android 版本发布后一年内发布的 Android API level。

对新发布的应用程序的 API level targeting requirement

那些未能遵守这一要求的应用将被拒绝列入 Android 的官方应用商店 Play Store。现有的应用程序如果不以最新的主要 Android 版本两年内的 API level 为目标,将会被从 Play Store 中删除。

现有应用程序的 API level targeting requirement

这一变化旨在迫使应用程序开发人员采用更严格的 API 策略来支持较新的 Android 版本,通常是更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测等。

谷歌方面在博客文章中解释称,背后的理由很简单:“拥有最新设备的用户或完全关注 Android 更新的用户希望充分发挥 Android 提供的所有隐私和安全保护的潜力。扩展我们的 target level API requirements 将保护用户免于安装可能没有这些保护措施的旧应用程序”。需要更多时间进行迁移的用户可请申请延期 6 个月。

此举预计将迫使一些过时的应用程序采用更安全的做法,但也将不可避免地把一些不再积极开发的项目推向 Play Store 之外,从而导致用户转向不知名来源获取想要的应用程序的 APK,加大感染恶意软件风险。

Accessibility API 滥用

Android 的 Accessibility API 允许开发人员创建可供残障人士使用的应用程序,从而允许创建不同的方式来控制设备和使用其应用程序。但是,此功能经常被恶意软件滥用,在未经用户许可甚至不知情的情况下在 Android 设备上执行操作。

因此,谷歌的新策略进一步限制了其使用方式:

  • 未经用户许可改变用户设置,或阻止用户禁用或卸载任何应用程序或服务的能力;除非由家长或监护人通过家长控制应用程序授权,或由授权管理员通过企业管理软件授权。
  • 绕过 Android 内置的隐私控制和通知;
  • 以欺骗性或以其他方式违反 Google Play 开发者政策的方式更改或利用用户界面。

Policy for package fetching

谷歌还收紧了“REQUEST_INSTALL_PACKAGES”权限。将于 2022 年 7 月 11 日生效,适用于所有使用 API level 25(Android 7.1)及以上的应用程序。

许多恶意应用发布者将无害的代码提交到 Play Store 以使其提交获得批准,但用户在下载安装后却会在不知情的情况下引入恶意模块。谷歌希望通过执行新的权限策略来加强监管。要使用此权限,你的应用程序的核心功能必须包括:发送或接收应用包、启用用户发起的应用包的安装。

现在允许的功能将被限制在网页浏览或搜索、支持附件的通信服务、文件共享、传输或管理、以及企业设备管理。

除非用于设备管理目的,否则 REQUEST_INSTALL_PACKAGES 权限不得用于执行自我更新、修改或捆绑资产文件中的其他 APK。软件包的所有更新或安装都必须遵守 Google Play 的设备和网络滥用策略,并且必须由用户发起和推动。

本文转自OSCHINA

本文标题:谷歌通过新的开发策略,以提升 Android 安全性

本文地址:https://www.oschina.net/news/190791/google-dev-policy-changes-android-security

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/150106.html<

(0)
管理的头像管理
上一篇2025-03-12 22:27
下一篇 2025-03-12 22:29

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注