Chương trình Cải thiện tính bảo mật của ứng dụng là một dịch vụ được cung cấp cho các nhà phát triển ứng dụng trên Google Play để cải thiện độ bảo mật cho ứng dụng của họ. Chương trình này cung cấp các mẹo và đề xuất để tạo ra các ứng dụng an toàn hơn, đồng thời xác định các tính năng bảo mật có thể cải thiện khi ứng dụng của bạn được tải lên Google Play. Đến nay, chương trình này đã hỗ trợ các nhà phát triển khắc phục hơn 1.000.000 ứng dụng trên Google Play.
Cách thức hoạt động
Trước khi chấp nhận đưa bất kỳ ứng dụng nào lên Google Play, chúng tôi quét ứng dụng đó để đảm bảo tính an toàn và bảo mật, kể cả các vấn đề bảo mật tiềm ẩn. Chúng tôi cũng liên tục quét lại hơn một triệu ứng dụng trên Google Play để phát hiện thêm các mối đe doạ.
Nếu ứng dụng của bạn bị gắn cờ vì tiềm ẩn vấn đề bảo mật, chúng tôi sẽ thông báo ngay để giúp bạn nhanh chóng giải quyết vấn đề và đảm bảo an toàn cho người dùng. Chúng tôi sẽ gửi cho bạn thông báo qua cả email và Google Play Console, kèm theo đường liên kết đến trang hỗ trợ có thông tin chi tiết về cách cải thiện ứng dụng.
Thông thường, các thông báo này sẽ cho bạn biết về tiến trình để phân phối các biện pháp cải thiện đến người dùng nhanh nhất có thể. Đối với một số loại vấn đề, chúng tôi có thể sẽ yêu cầu bạn thực hiện các biện pháp cải thiện bảo mật trong ứng dụng trước khi bạn phát hành bất kỳ bản cập nhật nào cho ứng dụng đó.
Bạn có thể xác nhận rằng vấn đề đã được giải quyết hoàn toàn bằng cách tải phiên bản mới của ứng dụng lên Google Play Console. Hãy nhớ tăng số phiên bản của ứng dụng đã sửa lỗi. Sau đó vài giờ, vui lòng truy cập Play Console để xem thông báo bảo mật. Nếu thông báo đó không còn nữa thì bạn đã hoàn tất mọi việc.
Ví dụ về cảnh báo cải thiện bảo mật cho một ứng dụng trong Play Console.
Tham gia
Thành công của chương trình này phụ thuộc vào sự hợp tác giữa chúng tôi và bạn – các nhà phát triển ứng dụng trên Google Play – và cộng đồng bảo mật. Chúng tôi chịu trách nhiệm cung cấp các ứng dụng an toàn, bảo mật cho người dùng của mình. Nếu có phản hồi hoặc câu hỏi, vui lòng liên hệ với chúng tôi qua Trung tâm trợ giúp dành cho nhà phát triển trên Google Play. Để báo cáo các vấn đề bảo mật tiềm ẩn trong ứng dụng, vui lòng liên hệ với chúng tôi theo địa chỉ security+asi@android.com.
Chiến dịch và biện pháp khắc phục
Dưới đây là các vấn đề bảo mật mới nhất được gắn cờ dành cho các nhà phát triển trên Google Play. Bạn có thể tìm hiểu thêm thông tin chi tiết về lỗ hổng và biện pháp khắc phục bằng cách truy cập đường liên kết đến trang hỗ trợ có trong mỗi chiến dịch.
Bảng 1: Các chiến dịch cảnh báo kèm với thời hạn dành cho việc khắc phục.
| Chiến dịch | Đã bắt đầu | Trang hỗ trợ |
|---|---|---|
| Lộ khoá máy chủ gửi thông báo qua đám mây của Firebase | 12/10/2021 | Trang hỗ trợ |
| Chuyển hướng Intent | 16/5/2019 | Trang hỗ trợ |
| Chèn đối tượng vào giao diện JavaScript | 4/12/2018 | Trang hỗ trợ |
| Xâm nhập hệ thống | 15/11/2018 | Trang hỗ trợ |
| Cross App Scripting | 30/10/2018 | Trang hỗ trợ |
| Tập lệnh trên nhiều trang web (Cross-Site Scripting) dựa trên tệp | 5/6/2018 | Trang hỗ trợ |
| Chèn SQL | 4/6/2018 | Trang hỗ trợ |
| Truyền tải qua đường dẫn | 22/9/2017 | Trang hỗ trợ |
| Quá trình xác minh tên máy chủ không an toàn | 29/11/2016 | Trang hỗ trợ |
| Fragment Injection | 29/11/2016 | Trang hỗ trợ |
| SDK quảng cáo Supersonic | 28/9/2016 | Trang hỗ trợ |
| Libpng | 16/6/2016 | Trang hỗ trợ |
| Libjpeg-turbo | 16/6/2016 | Trang hỗ trợ |
| SDK quảng cáo Vpon | 16/6/2016 | Trang hỗ trợ |
| SDK quảng cáo Airpush | 31/3/2016 | Trang hỗ trợ |
| SDK quảng cáo MoPub | 31/3/2016 | Trang hỗ trợ |
| OpenSSL (“logjam” và CVE-2015-3194, CVE-2014-0224) | 31/3/2016 | Trang hỗ trợ |
| TrustManager | 17/2/2016 | Trang hỗ trợ |
| AdMarvel | 8/2/2016 | Trang hỗ trợ |
| Libupup (CVE-2015-8540) | 8/2/2016 | Trang hỗ trợ |
| Apache Cordova (CVE-2015-5256, CVE-2015-1835) | 14/12/2015 | Trang hỗ trợ |
| SDK quảng cáo Vitamio | 14/12/2015 | Trang hỗ trợ |
| GnuTLS | 13/10/2015 | Trang hỗ trợ |
| Webview SSLErrorHandler | 17/7/2015 | Trang hỗ trợ |
| SDK quảng cáo Vungle | 29/6/2015 | Trang hỗ trợ |
| Apache Cordova (CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) | 29/6/2015 | Trang hỗ trợ |
Bảng 2: Các chiến dịch chỉ có cảnh báo (không có thời hạn khắc phục).
| Chiến dịch | Đã bắt đầu | Trang hỗ trợ |
|---|---|---|
| PendingIntent ngầm | 22/2/2022 | Trang hỗ trợ |
| Ý định ngầm nội bộ | 22/6/2021 | Trang hỗ trợ |
| Chế độ mã hoá không an toàn | 13/10/2020 | Trang hỗ trợ |
| Mã hoá không an toàn | 17/9/2019 | Trang hỗ trợ |
| Truyền tải qua đường dẫn Zipfile | 21/5/2019 | Trang hỗ trợ |
| Mã thông báo Foursquare OAuth đã nhúng | 28/9/2016 | Trang hỗ trợ |
| Mã thông báo Facebook OAuth đã nhúng | 28/9/2016 | Trang hỗ trợ |
| Sự cố gián đoạn Google Play Billing | 28/7/2016 | Trang hỗ trợ |
| Mã làm mới OAuth của Google đã nhúng | 28/7/2016 | Trang hỗ trợ |
| Thông tin xác thực bị rò rỉ trong URL dành cho nhà phát triển | 16/6/2016 | Trang hỗ trợ |
| Tệp kho khoá đã nhúng | 2/10/2014 | |
| Thông tin xác thực được nhúng trong Amazon Web Services | 12/6/2014 |