ऐप्लिकेशन की सुरक्षा को बेहतर बनाने वाला प्रोग्राम, Google Play पर ऐप्लिकेशन डेवलपर को दी जाने वाली एक सेवा है. इससे उन्हें अपने ऐप्लिकेशन की सुरक्षा को बेहतर बनाने में मदद मिलती है. इस प्रोग्राम में, ज़्यादा सुरक्षित ऐप्लिकेशन बनाने के लिए सुझाव और सलाह दी जाती है. साथ ही, Google Play पर ऐप्लिकेशन अपलोड करने पर, सुरक्षा को बेहतर बनाने के संभावित तरीकों की पहचान की जाती है. इस प्रोग्राम की मदद से, अब तक डेवलपर ने Google Play पर मौजूद 10 लाख से ज़्यादा ऐप्लिकेशन की समस्याओं को ठीक किया है.
यह कैसे काम करता है
Google Play में किसी भी ऐप्लिकेशन को स्वीकार करने से पहले, हम उसे सुरक्षा के लिहाज़ से स्कैन करते हैं. इसमें सुरक्षा से जुड़ी संभावित समस्याएं भी शामिल हैं. हम Google Play पर मौजूद 10 लाख से ज़्यादा ऐप्लिकेशन को, अन्य खतरों का पता लगाने के लिए लगातार फिर से स्कैन करते हैं.
अगर आपके ऐप्लिकेशन को सुरक्षा से जुड़ी किसी संभावित समस्या के लिए फ़्लैग किया जाता है, तो हम आपको तुरंत इसकी सूचना देंगे. इससे आपको समस्या को तुरंत ठीक करने और अपने उपयोगकर्ताओं को सुरक्षित रखने में मदद मिलेगी. हम आपको ईमेल और Google Play Console, दोनों के ज़रिए सूचनाएं भेजेंगे. साथ ही, हम आपको सहायता पेज के लिंक भी देंगे. इस पेज पर, ऐप्लिकेशन को बेहतर बनाने के तरीके के बारे में जानकारी दी गई होगी.
आम तौर पर, इन सूचनाओं में उपयोगकर्ताओं को जल्द से जल्द बेहतर अनुभव देने के लिए, एक टाइमलाइन शामिल होगी. कुछ तरह की समस्याओं के लिए, हम आपसे ऐप्लिकेशन में सुरक्षा से जुड़े सुधार करने के लिए कह सकते हैं. ऐसा तब किया जाता है, जब आपको ऐप्लिकेशन के और अपडेट पब्लिश करने हों.
Google Play Console पर अपने ऐप्लिकेशन का नया वर्शन अपलोड करके, यह पुष्टि की जा सकती है कि आपने समस्या को पूरी तरह से ठीक कर दिया है. समस्या ठीक करने के बाद, ऐप्लिकेशन के वर्शन नंबर को बढ़ाना न भूलें. कुछ घंटों बाद, Play Console में जाकर सुरक्षा से जुड़ी सूचना देखें. अगर वह सूचना अब नहीं दिख रही है, तो इसका मतलब है कि समस्या ठीक हो गई है.
Play Console में किसी ऐप्लिकेशन के लिए, सुरक्षा से जुड़ी समस्या को ठीक करने के बारे में सूचना का उदाहरण.
शामिल हों
इस प्रोग्राम की सफलता, Google Play पर ऐप्लिकेशन बनाने वाले डेवलपर और सुरक्षा समुदाय के साथ हमारी पार्टनरशिप पर निर्भर करती है. हम सभी की यह ज़िम्मेदारी है कि हम अपने उपयोगकर्ताओं को सुरक्षित ऐप्लिकेशन उपलब्ध कराएं. अगर आपको कोई सुझाव/राय देनी है या कोई सवाल पूछना है, तो कृपया Google Play डेवलपर सहायता केंद्र के ज़रिए हमसे संपर्क करें. ऐप्लिकेशन में सुरक्षा से जुड़ी संभावित समस्याओं की शिकायत करने के लिए, कृपया security+asi@android.com पर हमसे संपर्क करें.
कैंपेन और समस्याएं ठीक करना
यहां Google Play पर डेवलपर के लिए हाल ही में फ़्लैग की गई सुरक्षा से जुड़ी समस्याएं दी गई हैं. जोखिम की संभावना और उससे निपटने के बारे में जानकारी, हर कैंपेन के सहायता पेज के लिंक पर उपलब्ध है.
पहली टेबल: चेतावनियों वाले कैंपेन और उन्हें ठीक करने की समयसीमा.
| कैंपेन | शुरू किया गया | सहायता पृष्ठ |
|---|---|---|
| Firebase क्लाउड से मैसेज भेजने के लिए इस्तेमाल की जाने वाली ऐसी सर्वर कुंजियां जो बिना अनुमति के सार्वजनिक की गई हैं | 12/10/2021 | सहायता पेज |
| इंटेंट रीडायरेक्शन | 16/5/2019 | सहायता पेज |
| JavaScript इंटरफ़ेस इंजेक्शन | 12/4/2018 | सहायता पेज |
| स्कीम हाइजैकिंग | 15/11/2018 | सहायता पेज |
| क्रॉस ऐप्लिकेशन स्क्रिप्टिंग | 30/10/2018 | सहायता पेज |
| फ़ाइल-आधारित क्रॉस-साइट स्क्रिप्टिंग | 6/5/2018 | सहायता पेज |
| SQL इंजेक्शन | 6/4/2018 | सहायता पेज |
| पाथ ट्रैवर्सल | 22/9/2017 | सहायता पेज |
| असुरक्षित होस्टनेम की पुष्टि | 29/11/2016 | सहायता पेज |
| फ़्रैगमेंट इंजेक्शन | 29/11/2016 | सहायता पेज |
| Supersonic Ad SDK | 28/9/2016 | सहायता पेज |
| Libpng | 6/16/2016 | सहायता पेज |
| Libjpeg-turbo | 6/16/2016 | सहायता पेज |
| Vpon Ad SDK | 6/16/2016 | सहायता पेज |
| Airpush Ad SDK | 3/31/2016 | सहायता पेज |
| MoPub Ad SDK | 3/31/2016 | सहायता पेज |
| OpenSSL (“logjam” और CVE-2015-3194, CVE-2014-0224) | 3/31/2016 | सहायता पेज |
| TrustManager | 2/17/2016 | सहायता पेज |
| AdMarvel | 2/8/2016 | सहायता पेज |
| Libupup (CVE-2015-8540) | 2/8/2016 | सहायता पेज |
| Apache Cordova (CVE-2015-5256, CVE-2015-1835) | 12/14/2015 | सहायता पेज |
| Vitamio Ad SDK | 12/14/2015 | सहायता पेज |
| GnuTLS | 13/10/2015 | सहायता पेज |
| Webview SSLErrorHandler | 17/7/2015 | सहायता पेज |
| Vungle Ad SDK | 29/6/2015 | सहायता पेज |
| Apache Cordova (CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) | 29/6/2015 | सहायता पेज |
दूसरी टेबल: सिर्फ़ चेतावनी वाले कैंपेन (समस्या ठीक करने की कोई समयसीमा नहीं).
| कैंपेन | शुरू किया गया | सहायता पृष्ठ |
|---|---|---|
| Implicit PendingIntent | 22/2/2022 | सहायता पेज |
| Implicit Internal Intent | 22/6/2021 | सहायता पेज |
| असुरक्षित एन्क्रिप्शन मोड | 13/10/2020 | सहायता पेज |
| असुरक्षित एन्क्रिप्शन | 17/9/2019 | सहायता पेज |
| ज़िप फ़ाइल पाथ ट्रैवर्सल | 21/5/2019 | सहायता पेज |
| एम्बेड किया गया Foursquare OAuth टोकन | 28/9/2016 | सहायता पेज |
| एम्बेड किया गया Facebook OAuth टोकन | 28/9/2016 | सहायता पेज |
| Google Play Billing को इंटरसेप्ट करना | 7/28/2016 | सहायता पेज |
| Google रीफ़्रेश टोकन OAuth को एम्बेड किया गया है | 7/28/2016 | सहायता पेज |
| डेवलपर के यूआरएल से क्रेडेंशियल लीक होना | 6/16/2016 | सहायता पेज |
| एम्बेड की गई कीस्टोर फ़ाइलें | 2/10/2014 | |
| Amazon Web Services के एम्बेड किए गए क्रेडेंशियल | 6/12/2014 |