برنامه بهبود امنیت برنامه سرویسی است که به توسعه دهندگان برنامه Google Play ارائه می شود تا امنیت برنامه های خود را بهبود بخشد. این برنامه نکات و توصیه هایی را برای ساختن برنامه های ایمن تر ارائه می دهد و هنگامی که برنامه های شما در Google Play آپلود می شوند، پیشرفت های امنیتی احتمالی را شناسایی می کند. تا به امروز، این برنامه توسعه دهندگان را برای تعمیر بیش از 1000000 برنامه در Google Play تسهیل کرده است.
چگونه کار می کند
قبل از اینکه هر برنامه ای در Google Play پذیرفته شود، آن را از نظر ایمنی و امنیت، از جمله مسائل امنیتی احتمالی، اسکن می کنیم. همچنین به طور مداوم بیش از یک میلیون برنامه در Google Play را برای تهدیدهای اضافی دوباره اسکن می کنیم.
اگر برنامه شما برای یک مشکل امنیتی بالقوه پرچمگذاری شده است، فوراً به شما اطلاع میدهیم تا به شما در رسیدگی سریع به مشکل کمک کرده و به حفظ امنیت کاربرانتان کمک کند. ما هشدارها را با استفاده از ایمیل و کنسول Google Play با پیوندهایی به یک صفحه پشتیبانی با جزئیات در مورد نحوه بهبود برنامه به شما ارائه خواهیم کرد.
به طور معمول، این اعلانها شامل یک جدول زمانی برای ارائه بهبود در سریعترین زمان ممکن به کاربران است. برای برخی از مشکلات، ممکن است از شما بخواهیم قبل از اینکه بتوانید بهروزرسانیهای بیشتری را در برنامه منتشر کنید، بهبودهای امنیتی را در برنامه انجام دهید.
میتوانید با آپلود نسخه جدید برنامه خود در کنسول Google Play تأیید کنید که به طور کامل به مشکل رسیدگی کردهاید. حتماً شماره نسخه برنامه ثابت را افزایش دهید . پس از چند ساعت، کنسول Play را برای هشدار امنیتی بررسی کنید. اگر دیگر آنجا نیست، همه چیز آماده است.
نمونه ای از هشدار بهبود امنیت برای یک برنامه در کنسول Play.
درگیر شوید
موفقیت این برنامه به مشارکت ما با شما - توسعه دهندگان برنامه ها در Google Play - و جامعه امنیتی بستگی دارد. همه ما مسئول ارائه برنامه های ایمن و ایمن برای کاربران خود هستیم. برای بازخورد یا سؤال، لطفاً از طریق مرکز راهنمای برنامهنویس Google Play با ما تماس بگیرید. برای گزارش مشکلات امنیتی احتمالی در برنامهها، لطفاً با ما در security+asi@android.com تماس بگیرید.
کمپین ها و اصلاحات
در زیر جدیدترین مسائل امنیتی پرچمگذاری شده برای توسعهدهندگان در Google Play آمده است. جزئیات آسیبپذیری و اصلاح در پیوند صفحه پشتیبانی هر کمپین موجود است.
جدول 1 : کمپین های هشدار با مهلت مربوط به اصلاح.
| کمپین | شروع شد | صفحه پشتیبانی |
|---|---|---|
| کلیدهای سرور پیامرسانی ابری Firebase آشکار شد | 10/12/2021 | صفحه پشتیبانی |
| تغییر مسیر قصد | 2019/5/16 | صفحه پشتیبانی |
| تزریق رابط جاوا اسکریپت | 12/4/2018 | صفحه پشتیبانی |
| طرح ربودن | 2018/11/15 | صفحه پشتیبانی |
| برنامه نویسی متقابل | 10/30/2018 | صفحه پشتیبانی |
| اسکریپت بین سایتی مبتنی بر فایل | 6/5/2018 | صفحه پشتیبانی |
| SQL Injection | 6/4/2018 | صفحه پشتیبانی |
| پیمایش مسیر | 2017/9/22 | صفحه پشتیبانی |
| تأیید نام میزبان ناامن | 1395/11/29 | صفحه پشتیبانی |
| تزریق قطعه | 1395/11/29 | صفحه پشتیبانی |
| SDK آگهی مافوق صوت | 2016/9/28 | صفحه پشتیبانی |
| Libpng | 1395/6/16 | صفحه پشتیبانی |
| Libjpeg-turbo | 1395/6/16 | صفحه پشتیبانی |
| Vpon Ad SDK | 1395/6/16 | صفحه پشتیبانی |
| Airpush Ad SDK | 31/3/2016 | صفحه پشتیبانی |
| MoPub Ad SDK | 31/3/2016 | صفحه پشتیبانی |
| OpenSSL ("logjam" و CVE-2015-3194، CVE-2014-0224) | 31/3/2016 | صفحه پشتیبانی |
| TrustManager | 1395/2/17 | صفحه پشتیبانی |
| AdMarvel | 2/8/2016 | صفحه پشتیبانی |
| Libupup (CVE-2015-8540) | 2/8/2016 | صفحه پشتیبانی |
| آپاچی کوردووا (CVE-2015-5256، CVE-2015-1835) | 1394/12/14 | صفحه پشتیبانی |
| Vitamio Ad SDK | 1394/12/14 | صفحه پشتیبانی |
| GnuTLS | 1394/10/13 | صفحه پشتیبانی |
| Webview SSLErrorHandler | 1394/07/17 | صفحه پشتیبانی |
| Vungle Ad SDK | 2015/6/29 | صفحه پشتیبانی |
| آپاچی کوردووا (CVE-2014-3500، CVE-2014-3501، CVE-2014-3502) | 2015/6/29 | صفحه پشتیبانی |
جدول 2 : کمپین های فقط هشدار دهنده (بدون مهلت اصلاح).
| کمپین | شروع شد | صفحه پشتیبانی |
|---|---|---|
| Implicit Pending Intent | 2022/2/22 | صفحه پشتیبانی |
| هدف درونی ضمنی | 2021/6/22 | صفحه پشتیبانی |
| حالت رمزگذاری ناامن | 10/13/2020 | صفحه پشتیبانی |
| رمزگذاری ناامن | 2019/9/17 | صفحه پشتیبانی |
| پیمایش مسیر فایل فشرده | 2019/5/21 | صفحه پشتیبانی |
| توکن OAuth Foursquare جاسازی شده | 2016/9/28 | صفحه پشتیبانی |
| توکن OAuth فیس بوک جاسازی شده | 2016/9/28 | صفحه پشتیبانی |
| رهگیری صورتحساب Google Play | 2016/07/28 | صفحه پشتیبانی |
| Google Refresh Token OAuth جاسازی شده | 2016/07/28 | صفحه پشتیبانی |
| نشانی اینترنتی برنامهنویس اعتبارنامههای لو رفته | 1395/6/16 | صفحه پشتیبانی |
| فایل های جاسازی شده Keystore | 10/2/2014 | |
| اعتبارنامه های تعبیه شده خدمات وب آمازون | 6/12/2014 |