โปรแกรมปรับปรุงความปลอดภัยของแอป

โปรแกรมปรับปรุงความปลอดภัยของแอปเป็นบริการที่มอบให้แก่นักพัฒนาแอปใน Google Play เพื่อปรับปรุงความปลอดภัยของแอป โปรแกรมนี้มี เคล็ดลับและคำแนะนำในการสร้างแอปที่ปลอดภัยยิ่งขึ้น รวมถึงระบุ การปรับปรุงด้านความปลอดภัยที่อาจเกิดขึ้นเมื่อคุณอัปโหลดแอปไปยัง Google Play จนถึงปัจจุบัน โปรแกรมนี้ช่วยให้นักพัฒนาแอปแก้ไขแอปกว่า 1,000,000 แอปใน Google Play

วิธีการทำงาน

ก่อนที่จะยอมรับแอปใดๆ ลงใน Google Play เราจะสแกนแอปเพื่อหาความปลอดภัย รวมถึงปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น นอกจากนี้ เรายังสแกนแอปกว่า 1 ล้านแอปใน Google Play อีกครั้งอย่างต่อเนื่องเพื่อหาภัยคุกคามเพิ่มเติม

หากแอปของคุณถูกแจ้งว่าอาจมีปัญหาด้านความปลอดภัย เราจะแจ้งให้คุณทราบ ทันทีเพื่อช่วยให้คุณแก้ไขปัญหาได้อย่างรวดเร็วและช่วยรักษาความปลอดภัยของผู้ใช้ เราจะส่งการแจ้งเตือนให้คุณทางอีเมลและ Google Play Console พร้อมลิงก์ไปยังหน้าสนับสนุนที่มีรายละเอียดเกี่ยวกับวิธี ปรับปรุงแอป

โดยปกติแล้ว การแจ้งเตือนเหล่านี้จะมีไทม์ไลน์สำหรับการปรับปรุง เพื่อส่งมอบให้ผู้ใช้โดยเร็วที่สุด สำหรับปัญหาบางประเภท เราอาจกำหนดให้คุณปรับปรุงความปลอดภัยในแอปก่อนจึงจะเผยแพร่การอัปเดตเพิ่มเติมได้

คุณยืนยันว่าได้แก้ไขปัญหาอย่างครบถ้วนแล้วได้โดยอัปโหลดแอปเวอร์ชันใหม่ไปยัง Google Play Console โปรดเพิ่มหมายเลขเวอร์ชันของแอปที่แก้ไขแล้ว หลังจากผ่านไป 2-3 ชั่วโมง ให้ตรวจสอบการแจ้งเตือนด้านความปลอดภัยใน Play Console หากไม่พบการแจ้งเตือนแล้ว แสดงว่าคุณพร้อมใช้งาน

มาร่วมกับเรา

ความสำเร็จของโปรแกรมนี้ขึ้นอยู่กับการเป็นพาร์ทเนอร์กับคุณ ซึ่งเป็นนักพัฒนาแอปใน Google Play และชุมชนด้านความปลอดภัย เราทุกคนมีหน้าที่รับผิดชอบในการ มอบแอปที่ปลอดภัยให้แก่ผู้ใช้ หากมีข้อเสนอแนะหรือคำถาม โปรด ติดต่อเราผ่านศูนย์ช่วยเหลือสำหรับนักพัฒนาแอป Google Play หากต้องการรายงานปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นในแอป โปรดติดต่อเราที่ security+asi@android.com

แคมเปญและการแก้ไข

ด้านล่างนี้คือปัญหาด้านความปลอดภัยล่าสุดที่แจ้งให้นักพัฒนาแอปใน Google Play ทราบ คุณดูรายละเอียดเกี่ยวกับช่องโหว่และวิธีแก้ไขได้ ในลิงก์สำหรับหน้าการสนับสนุนของแต่ละแคมเปญ

ตารางที่ 1: แคมเปญที่ได้รับคำเตือนพร้อมกำหนดเวลาที่เกี่ยวข้องสำหรับการแก้ไข

แคมเปญ	เริ่มต้นแล้ว	หน้าการสนับสนุน
คีย์เซิร์ฟเวอร์ Firebase Cloud Messaging ที่เปิดเผย	12/10/2021	หน้าการสนับสนุน
Intent Redirection	16/5/2019	หน้าการสนับสนุน
การแทรกอินเทอร์เฟซ JavaScript	4/12/2018	หน้าการสนับสนุน
การลักลอบใช้รูปแบบ	15/11/2018	หน้าการสนับสนุน
การเขียนสคริปต์ข้ามแอป	30/10/2018	หน้าการสนับสนุน
การเขียนสคริปต์ข้ามเว็บไซต์ตามประเภทไฟล์	5/6/2018	หน้าการสนับสนุน
การแทรก SQL	4/6/2018	หน้าการสนับสนุน
Path Traversal	22/9/2017	หน้าการสนับสนุน
การยืนยันชื่อโฮสต์ที่ไม่ปลอดภัย	29/11/2016	หน้าการสนับสนุน
การแทรก Fragment	29/11/2016	หน้าการสนับสนุน
SDK โฆษณา Supersonic	28/9/2016	หน้าการสนับสนุน
Libpng	16/6/2016	หน้าการสนับสนุน
Libjpeg-turbo	16/6/2016	หน้าการสนับสนุน
Vpon Ad SDK	16/6/2016	หน้าการสนับสนุน
Airpush Ad SDK	31/3/2016	หน้าการสนับสนุน
MoPub Ad SDK	31/3/2016	หน้าการสนับสนุน
OpenSSL ("logjam" และ CVE-2015-3194, CVE-2014-0224)	31/3/2016	หน้าการสนับสนุน
TrustManager	17/2/2016	หน้าการสนับสนุน
AdMarvel	8/2/2016	หน้าการสนับสนุน
Libupup (CVE-2015-8540)	8/2/2016	หน้าการสนับสนุน
Apache Cordova (CVE-2015-5256, CVE-2015-1835)	14/12/2015	หน้าการสนับสนุน
SDK โฆษณา Vitamio	14/12/2015	หน้าการสนับสนุน
GnuTLS	13/10/2015	หน้าการสนับสนุน
WebView SSLErrorHandler	17/7/2015	หน้าการสนับสนุน
SDK โฆษณา Vungle	29/6/2015	หน้าการสนับสนุน
Apache Cordova (CVE-2014-3500, CVE-2014-3501, CVE-2014-3502)	29/6/2015	หน้าการสนับสนุน

ตารางที่ 2: แคมเปญที่ได้รับคำเตือนเท่านั้น (ไม่มีกำหนดเวลาในการแก้ไข)

แคมเปญ	เริ่มต้นแล้ว	หน้าการสนับสนุน
PendingIntent ที่ชัดแจ้ง	22/2/2022	หน้าการสนับสนุน
Intent ภายในที่ชัดแจ้ง	22/6/2021	หน้าการสนับสนุน
โหมดการเข้ารหัสที่ไม่ปลอดภัย	13/10/2020	หน้าการสนับสนุน
การเข้ารหัสที่ปลอดภัย	17/9/2019	หน้าการสนับสนุน
Zipfile Path Traversal	21/5/2019	หน้าการสนับสนุน
โทเค็น OAuth ของ Foursquare ที่ฝังอยู่	28/9/2016	หน้าการสนับสนุน
โทเค็น OAuth ของ Facebook ที่ฝัง	28/9/2016	หน้าการสนับสนุน
การสกัดกั้น Google Play Billing	28/7/2016	หน้าการสนับสนุน
OAuth ของโทเค็นการรีเฟรช Google ที่ฝัง	28/7/2016	หน้าการสนับสนุน
ข้อมูลเข้าสู่ระบบของ URL นักพัฒนาแอปที่รั่วไหล	16/6/2016	หน้าการสนับสนุน
ไฟล์คีย์สโตร์ที่ฝัง	2/10/2014
ข้อมูลเข้าสู่ระบบที่ฝังไว้ของ Amazon Web Services	12/6/2014