谷歌宣布了針對 Android 應用程序開發人員的幾項關鍵策略變更，以提高用戶、Google Play 和該服務提供的應用的安全性。將在 2022 年 5 月 11 日至 11 月 1 日之間生效，給開發者足夠的時間來適應新的變化。

根據 BleepingComputer 介紹，其中與網絡安全和欺詐相關重要的變化包括有：

• 新的 API level target requirements。
• 禁止年利率(APR)為 36% 或以上的貸款應用程序。
• 禁止濫用 Accessibility API。
• 對從外部來源安裝包的權限進行新的策略修改。

新的 API level targets

從 2022 年 11 月 1 日起，所有新 released/published 的應用程序必須針對最新主要 Android 版本發布后一年內發布的 Android API level。

對新發布的應用程序的 API level targeting requirement

那些未能遵守這一要求的應用將被拒絕列入 Android 的官方應用商店 Play Store。現有的應用程序如果不以最新的主要 Android 版本兩年內的 API level 為目標，將會被從 Play Store 中刪除。

現有應用程序的 API level targeting requirement

這一變化旨在迫使應用程序開發人員采用更嚴格的 API 策略來支持較新的 Android 版本，通常是更好的權限管理和撤銷、通知反劫持、數據隱私增強、網絡釣魚檢測等。

谷歌方面在博客文章中解釋稱，背后的理由很簡單：“擁有最新設備的用戶或完全關注 Android 更新的用戶希望充分發揮 Android 提供的所有隱私和安全保護的潛力。擴展我們的 target level API requirements 將保護用戶免于安裝可能沒有這些保護措施的舊應用程序”。需要更多時間進行遷移的用戶可請申請延期 6 個月。

此舉預計將迫使一些過時的應用程序采用更安全的做法，但也將不可避免地把一些不再積極開發的項目推向 Play Store 之外，從而導致用戶轉向不知名來源獲取想要的應用程序的 APK，加大感染惡意軟件風險。

Accessibility API 濫用

Android 的 Accessibility API 允許開發人員創建可供殘障人士使用的應用程序，從而允許創建不同的方式來控制設備和使用其應用程序。但是，此功能經常被惡意軟件濫用，在未經用戶許可甚至不知情的情況下在 Android 設備上執行操作。

因此，谷歌的新策略進一步限制了其使用方式：

• 未經用戶許可改變用戶設置，或阻止用戶禁用或卸載任何應用程序或服務的能力;除非由家長或監護人通過家長控制應用程序授權，或由授權管理員通過企業管理軟件授權。
• 繞過 Android 內置的隱私控制和通知;
• 以欺騙性或以其他方式違反 Google Play 開發者政策的方式更改或利用用戶界面。

Policy for package fetching

谷歌還收緊了“REQUEST_INSTALL_PACKAGES”權限。將于 2022 年 7 月 11 日生效，適用于所有使用 API level 25(Android 7.1)及以上的應用程序。

許多惡意應用發布者將無害的代碼提交到 Play Store 以使其提交獲得批準，但用戶在下載安裝后卻會在不知情的情況下引入惡意模塊。谷歌希望通過執行新的權限策略來加強監管。要使用此權限，你的應用程序的核心功能必須包括：發送或接收應用包、啟用用戶發起的應用包的安裝。

現在允許的功能將被限制在網頁瀏覽或搜索、支持附件的通信服務、文件共享、傳輸或管理、以及企業設備管理。

除非用于設備管理目的，否則 REQUEST_INSTALL_PACKAGES 權限不得用于執行自我更新、修改或捆綁資產文件中的其他 APK。軟件包的所有更新或安裝都必須遵守 Google Play 的設備和網絡濫用策略，并且必須由用戶發起和推動。

本文轉自OSCHINA

本文標題：谷歌通過新的開發策略，以提升 Android 安全性

本文地址：https://www.oschina.net/news/190791/google-dev-policy-changes-android-security