Google công bố chính sách mới tăng cường bảo mật cho các ứng dụng Android

15:11 | 15/04/2022

Google đã công bố một số thay đổi chính sách quan trọng dành cho các nhà phát triển ứng dụng Android nhằm tăng cường bảo mật cho người dùng Google Play và các ứng dụng do kho dịch vụ này cung cấp.

Các yêu cầu mới dành cho nhà phát triển này sẽ có hiệu lực từ ngày 11/5 đến hết ngày 01/11/2022, giúp các nhà phát triển có đủ thời gian để điều chỉnh các thay đổi theo quy định mới.

Trong số danh sách các thay đổi về chính sách sẽ được đưa ra, những thay đổi quan trọng nhất liên quan đến an ninh mạng và gian lận bao gồm:

- Các yêu cầu ứng dụng cấp API mới.

- Cấm các ứng dụng cho vay có Tỷ lệ phần trăm hàng năm (APR) là 36% trở lên.

- Nghiêm cấm việc lạm dụng API trợ năng.

- Thay đổi chính sách mới cho quyền cài đặt ứng dụng từ các nguồn bên ngoài.

Mục tiêu cấp API mới

Bắt đầu từ ngày 01/11/2022, tất cả các ứng dụng mới được phát hành/xuất bản phải có mục tiêu cấp API Android trong vòng một năm kể từ khi phát hành phiên bản ứng dụng Android chính mới nhất.

Yêu cầu có mục tiêu cấp API cho các ứng dụng mới xuất bản của ứng dụng Android

Những ứng dụng không tuân thủ yêu cầu này sẽ bị từ chối đưa vào Cửa hàng GooglePlay. Các ứng dụng hiện có không nhắm mục tiêu đến việc cấp API trong vòng hai năm kể từ phiên bản Android chính mới nhất sẽ bị xóa khỏi Cửa hàng GooglePlay.

Yêu cầu nhắm mục tiêu cấp API cho các ứng dụng hiện có của ứng dụng Android

Thay đổi mới này nhằm mục đích buộc các nhà phát triển ứng dụng áp dụng các chính sách API chặt chẽ hơn để củng cố các bản phát hành Android mới hơn, thường nhắm đến việc quản lý và thu hồi quyền tốt hơn, chống chiếm quyền điều khiển, cải tiến quyền riêng tư dữ liệu, phát hiện lừa đảo,…

Trong một bài đăng trên blog về chính sách mới này, Google đã nói rằng: "Người dùng có thiết bị mới hoặc những người đã cập nhật đầy đủ các bản cập nhật Android mong đợi nhận ra tiềm năng đầy đủ của tất cả các biện pháp bảo vệ quyền riêng tư và bảo mật mà hệ điều hành Android cung cấp".

Các nhà phát triển ứng dụng nếu cần thêm thời gian để có thể cấp API theo chính sách hiện tại thì có thể yêu cầu gia hạn thêm thời gian 6 tháng. Tuy nhiên, đề nghị này phía Google sẽ không đảm bảo sẽ chấp thuận cho tất cả các nhà phát hành ứng dụng khi có yêu cầu.

Thay đổi chính sách này dự kiến ​​sẽ buộc nhiều ứng dụng lỗi thời phải áp dụng nhiều hơn các phương pháp bảo mật và chắc chắn cũng sẽ loại bỏ một số ứng dụng không còn được phát triển ra ngoài Cửa hàng GooglePlay.

Một tác dụng phụ của việc áp dụng chính sách mới này là sẽ khiến người dùng có thể phải tải các ứng dụng ưa thích của mình bằng các file APK từ các nguồn không rõ ràng bên ngoài dẫn đến khả năng bị lừa và lây nhiễm phần mềm độc hại.

Lạm dụng API trợ năng

API trợ năng của Android cho phép các nhà phát triển tạo ứng dụng có thể được sử dụng bởi những người khuyết tật, cho phép tạo ra các cách khác nhau để điều khiển thiết bị và sử dụng các ứng dụng của nó. Tuy nhiên, tính năng này thường bị phần mềm độc hại lạm dụng để thực hiện các mục đích xấu trên thiết bị Android mà người dùng không được phép hoặc thậm chí không biết.

Các chính sách mới của Google giúp hạn chế việc sử dụng sai chính sách này, cụ thể như:

- Thay đổi cài đặt người dùng mà không có sự đồng ý hoặc ngăn cản người dùng có thể tắt hoặc gỡ cài đặt bất kỳ ứng dụng hoặc dịch vụ nào trừ khi được cha mẹ hoặc người giám hộ cho phép thông qua ứng dụng kiểm soát của phụ huynh hoặc bởi quản trị viên được ủy quyền thông qua phần mềm quản lý doanh nghiệp;

- Làm việc xung quanh các thông báo và kiểm soát quyền riêng tư được tích hợp sẵn trên thiết bị Android;

- Thay đổi hoặc tận dụng giao diện người dùng theo cách lừa đảo hoặc vi phạm Chính sách dành cho nhà phát triển của Google Play.

Chính sách cho việc trả phí ứng dụng

Một thay đổi chính sách quan trọng khác do Google công bố sẽ thắt chặt quyền REQUEST_INSTALL_PACKAGES.

Nhiều nhà xuất bản ứng dụng độc hại gửi yêu cầu lên Cửa hàng GooglePlay để được chấp thuận, nhưng ẩn chức năng trả phí các gói tải xuống các mô-đun độc hại sau khi cài đặt. Người dùng nghĩ rằng các yêu cầu này là "cập nhật ứng dụng" hoặc "tải xuống nội dung bổ sung", vì vậy họ chấp thuận khi được thông báo hoặc không nhìn thấy bất kỳ điều gì vì nó diễn ra ẩn.

Google muốn đóng lỗ hổng này bằng cách thực thi các chính sách mới về quyền, làm rõ các thông tin và chức năng được quản lý lỏng lẻo trước đây.

Các chức năng được phép bây giờ sẽ bị giới hạn ở trình duyệt web, tìm kiếm, giao tiếp, chia sẻ tệp, truyền tệp, quản lý tệp và quản lý thiết bị doanh nghiệp. Các ứng dụng sử dụng quyền này hiện chỉ phải thanh toán các gói được ký kỹ thuật số, trong khi có sự đồng ý của người dùng sẽ vẫn không cho phép tự cập nhật, sửa đổi mã hoặc gói APK trong tệp nội dung.

REQUEST_INSTALL_PACKAGES - chính sách mới này sẽ có hiệu lực vào ngày 11/7/2022, đối với tất cả các ứng dụng sử dụng API cấp 25 (Android 7.1) trở lên.