โปรแกรมปรับปรุงความปลอดภัยของแอปเป็นบริการที่มอบให้แก่นักพัฒนาแอปใน Google Play เพื่อปรับปรุงความปลอดภัยของแอป โปรแกรมนี้มี เคล็ดลับและคำแนะนำในการสร้างแอปที่ปลอดภัยยิ่งขึ้น รวมถึงระบุ การปรับปรุงด้านความปลอดภัยที่อาจเกิดขึ้นเมื่อคุณอัปโหลดแอปไปยัง Google Play จนถึงปัจจุบัน โปรแกรมนี้ช่วยให้นักพัฒนาแอปแก้ไขแอปกว่า 1,000,000 แอปใน Google Play
วิธีการทำงาน
ก่อนที่จะยอมรับแอปใดๆ ลงใน Google Play เราจะสแกนแอปเพื่อหาความปลอดภัย รวมถึงปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น นอกจากนี้ เรายังสแกนแอปกว่า 1 ล้านแอปใน Google Play อีกครั้งอย่างต่อเนื่องเพื่อหาภัยคุกคามเพิ่มเติม
หากแอปของคุณถูกแจ้งว่าอาจมีปัญหาด้านความปลอดภัย เราจะแจ้งให้คุณทราบ ทันทีเพื่อช่วยให้คุณแก้ไขปัญหาได้อย่างรวดเร็วและช่วยรักษาความปลอดภัยของผู้ใช้ เราจะส่งการแจ้งเตือนให้คุณทางอีเมลและ Google Play Console พร้อมลิงก์ไปยังหน้าสนับสนุนที่มีรายละเอียดเกี่ยวกับวิธี ปรับปรุงแอป
โดยปกติแล้ว การแจ้งเตือนเหล่านี้จะมีไทม์ไลน์สำหรับการปรับปรุง เพื่อส่งมอบให้ผู้ใช้โดยเร็วที่สุด สำหรับปัญหาบางประเภท เราอาจกำหนดให้คุณปรับปรุงความปลอดภัยในแอปก่อนจึงจะเผยแพร่การอัปเดตเพิ่มเติมได้
คุณยืนยันว่าได้แก้ไขปัญหาอย่างครบถ้วนแล้วได้โดยอัปโหลดแอปเวอร์ชันใหม่ไปยัง Google Play Console โปรดเพิ่มหมายเลขเวอร์ชันของแอปที่แก้ไขแล้ว หลังจากผ่านไป 2-3 ชั่วโมง ให้ตรวจสอบการแจ้งเตือนด้านความปลอดภัยใน Play Console หากไม่พบการแจ้งเตือนแล้ว แสดงว่าคุณพร้อมใช้งาน
ตัวอย่างการแจ้งเตือนการปรับปรุงความปลอดภัยสำหรับ แอปใน Play Console
มาร่วมกับเรา
ความสำเร็จของโปรแกรมนี้ขึ้นอยู่กับการเป็นพาร์ทเนอร์กับคุณ ซึ่งเป็นนักพัฒนาแอปใน Google Play และชุมชนด้านความปลอดภัย เราทุกคนมีหน้าที่รับผิดชอบในการ
มอบแอปที่ปลอดภัยให้แก่ผู้ใช้ หากมีข้อเสนอแนะหรือคำถาม โปรด
ติดต่อเราผ่านศูนย์ช่วยเหลือสำหรับนักพัฒนาแอป
Google Play หากต้องการรายงานปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นในแอป
โปรดติดต่อเราที่ security+asi@android.com
แคมเปญและการแก้ไข
ด้านล่างนี้คือปัญหาด้านความปลอดภัยล่าสุดที่แจ้งให้นักพัฒนาแอปใน Google Play ทราบ คุณดูรายละเอียดเกี่ยวกับช่องโหว่และวิธีแก้ไขได้ ในลิงก์สำหรับหน้าการสนับสนุนของแต่ละแคมเปญ
ตารางที่ 1: แคมเปญที่ได้รับคำเตือนพร้อมกำหนดเวลาที่เกี่ยวข้องสำหรับการแก้ไข
| แคมเปญ | เริ่มต้นแล้ว | หน้าการสนับสนุน |
|---|---|---|
| คีย์เซิร์ฟเวอร์ Firebase Cloud Messaging ที่เปิดเผย | 12/10/2021 | หน้าการสนับสนุน |
| Intent Redirection | 16/5/2019 | หน้าการสนับสนุน |
| การแทรกอินเทอร์เฟซ JavaScript | 4/12/2018 | หน้าการสนับสนุน |
| การลักลอบใช้รูปแบบ | 15/11/2018 | หน้าการสนับสนุน |
| การเขียนสคริปต์ข้ามแอป | 30/10/2018 | หน้าการสนับสนุน |
| การเขียนสคริปต์ข้ามเว็บไซต์ตามประเภทไฟล์ | 5/6/2018 | หน้าการสนับสนุน |
| การแทรก SQL | 4/6/2018 | หน้าการสนับสนุน |
| Path Traversal | 22/9/2017 | หน้าการสนับสนุน |
| การยืนยันชื่อโฮสต์ที่ไม่ปลอดภัย | 29/11/2016 | หน้าการสนับสนุน |
| การแทรก Fragment | 29/11/2016 | หน้าการสนับสนุน |
| SDK โฆษณา Supersonic | 28/9/2016 | หน้าการสนับสนุน |
| Libpng | 16/6/2016 | หน้าการสนับสนุน |
| Libjpeg-turbo | 16/6/2016 | หน้าการสนับสนุน |
| Vpon Ad SDK | 16/6/2016 | หน้าการสนับสนุน |
| Airpush Ad SDK | 31/3/2016 | หน้าการสนับสนุน |
| MoPub Ad SDK | 31/3/2016 | หน้าการสนับสนุน |
| OpenSSL ("logjam" และ CVE-2015-3194, CVE-2014-0224) | 31/3/2016 | หน้าการสนับสนุน |
| TrustManager | 17/2/2016 | หน้าการสนับสนุน |
| AdMarvel | 8/2/2016 | หน้าการสนับสนุน |
| Libupup (CVE-2015-8540) | 8/2/2016 | หน้าการสนับสนุน |
| Apache Cordova (CVE-2015-5256, CVE-2015-1835) | 14/12/2015 | หน้าการสนับสนุน |
| SDK โฆษณา Vitamio | 14/12/2015 | หน้าการสนับสนุน |
| GnuTLS | 13/10/2015 | หน้าการสนับสนุน |
| WebView SSLErrorHandler | 17/7/2015 | หน้าการสนับสนุน |
| SDK โฆษณา Vungle | 29/6/2015 | หน้าการสนับสนุน |
| Apache Cordova (CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) | 29/6/2015 | หน้าการสนับสนุน |
ตารางที่ 2: แคมเปญที่ได้รับคำเตือนเท่านั้น (ไม่มีกำหนดเวลาในการแก้ไข)
| แคมเปญ | เริ่มต้นแล้ว | หน้าการสนับสนุน |
|---|---|---|
| PendingIntent ที่ชัดแจ้ง | 22/2/2022 | หน้าการสนับสนุน |
| Intent ภายในที่ชัดแจ้ง | 22/6/2021 | หน้าการสนับสนุน |
| โหมดการเข้ารหัสที่ไม่ปลอดภัย | 13/10/2020 | หน้าการสนับสนุน |
| การเข้ารหัสที่ปลอดภัย | 17/9/2019 | หน้าการสนับสนุน |
| Zipfile Path Traversal | 21/5/2019 | หน้าการสนับสนุน |
| โทเค็น OAuth ของ Foursquare ที่ฝังอยู่ | 28/9/2016 | หน้าการสนับสนุน |
| โทเค็น OAuth ของ Facebook ที่ฝัง | 28/9/2016 | หน้าการสนับสนุน |
| การสกัดกั้น Google Play Billing | 28/7/2016 | หน้าการสนับสนุน |
| OAuth ของโทเค็นการรีเฟรช Google ที่ฝัง | 28/7/2016 | หน้าการสนับสนุน |
| ข้อมูลเข้าสู่ระบบของ URL นักพัฒนาแอปที่รั่วไหล | 16/6/2016 | หน้าการสนับสนุน |
| ไฟล์คีย์สโตร์ที่ฝัง | 2/10/2014 | |
| ข้อมูลเข้าสู่ระบบที่ฝังไว้ของ Amazon Web Services | 12/6/2014 |