近日,谷歌重申了中国电信终端行业协会需要要求华为、Oppo、Vivo、小米、百度、阿里巴巴、腾讯等第三方厂商的主要应用商店中的Android应用在2019年达到API级别26 (Android 8.0)或更高,以“提升app生态系统的安全性”。谷歌还表示,将要求所有新应用到2019年8月达到API级别28 (Android 9)或更高,并要求到2019年11月升级到现有应用的API级别28或更高。
谷歌表示,目标API级别将“每年提高”,未接受更新的现有应用程序不会受到这些变化的影响。
“多亏了成千上万的应用程序开发者的努力,Android用户现在比以往任何时候都更喜欢使用现代API的应用程序,这带来了显著的安全和隐私方面的好处。例如,在2018年期间,超过15万个应用程序增加了对运行时权限的支持,让用户可以对他们共享的数据进行细粒度控制,”Android安全和隐私团队的产品经理Edward Cunningham在一篇博客文章中写道。“我们在Play Store之外检测到的95%以上的间谍软件都是故意针对API级别22或更低的,即使在最近的Android版本上安装,也会避免运行时权限。”
除了这些新政策,谷歌表示,设备上启用开发人员选项后,Google Play Protect——一个自动安全保护解决方案,扫描超过500亿每天数以十亿美元计的设备上的应用程序——在用户试图从任何不针对最近API级别的源安装应用程序时,将对他们发出警告。
Cunningham解释道,“例如,一个拥有Android 6.0 (Marshmallow)设备的用户在安装任何目标API等级为22或更低的新应用时,就会被警告。而运行Android 8.0 (Oreo)或更高版本的设备在安装目标API为25或更低的新APK时同样也会被警告。”
在谷歌表示,它将继续提高自动化系统,帮助根除Google Play Store中肆无忌惮的开发商,以及安全公司Eset 和Trend Micro的研究人员在Play Store上发现了恶意的Android应用程序,这些程序的目的是窃取加密货币,诱使用户下载并安装木马之后,谷歌发布了上述通告。在最近的一篇博客文章中,该公司透露,2018年Play Store拒绝和暂停的APP数量分别增长超过55%和66%,同时成千上万不遵守Play Store用户数据和隐私政策的应用程序被拒绝或删除。
谷歌去年年底宣布,自2010年11月推出bug赏金计划以来,该公司已经支付了超过1500万美元。它还表示,会定期对内容不当、冒名顶替者和PHAs的应用程序进行“静态”和“动态”分析,并“智能地”利用用户参与和反馈数据,以“更高的准确性和效率”帮助找到不良应用程序。