谷歌推动开发人员在275,000个Android应用程序中修复安全漏洞
在过去的两年中,谷歌已经将开发人员迫使开发人员在其官方App Store上托管的超过275,000个Android应用程序中修补安全问题。在许多情况下,这是根据阻止未来更新的威胁到不安全的应用程序的威胁。
自2014年以来,谷歌一直扫描在Google Play上发布的应用程序,以获取已知漏洞,作为其应用安全改进(ASI)程序的一部分。每当应用程序中发现已知的安全问题时,开发人员通过电子邮件和Google Play Developer控制台通过电子邮件接收警报。
启动时,该程序仅扫描嵌入式Amazon Web服务(AWS)凭据的应用程序,这是当时的常见问题。AWS凭据的曝光可能导致应用程序使用的云服务器的严重妥协以存储用户数据和内容。
那年晚些时候,谷歌还开始扫描嵌入的密钥库文件。这些文件通常包含用于加密数据或安全连接的密码键,公共和私有。
在ASI计划的早期,开发人员只收到通知,但没有压力要做任何事情。在2015年发生变化,当谷歌扩展了它扫描的问题类型并开始执行截止日期来修复其中许多问题时。
该公司提供有关其检测到的缺陷的详细信息以及如何修复它们的指导。但是,未能解决谷歌提供的时间范围内问题的开发人员可能会失去通过Google Play释放受影响应用程序的未来更新的能力。
Google在2015年添加了六次新漏洞的检查,所有这些漏洞都有一个补丁截止日期,2016年17岁,其中12个,其中12个对修复有时限。这些问题范围从第三方库,开发框架和广告SDK的安全漏洞到不安全实现Android Java类和接口。
例如,在其应用程序中使用超音速SDK的开发人员才有于1月26日将SDK升级到6.3.5版或更新版本。此SDK的旧版本通过群体易受中间攻击的JavaScript公开敏感函数。
直到2016年4月,Google Play应用程序安全改进计划帮助开发人员修补程序100,000应用程序。从那以来,几乎增加了两倍,大约90,000名开发人员修补了超过275,000个应用程序的安全问题,该博士在周四的博客帖子中的Android安全计划经理。
