Chương trình cải thiện tính bảo mật của ứng dụng

Chương trình Cải thiện tính bảo mật của ứng dụng là một dịch vụ được cung cấp cho các nhà phát triển ứng dụng trên Google Play để cải thiện độ bảo mật cho ứng dụng của họ. Chương trình này cung cấp các mẹo và đề xuất để tạo ra các ứng dụng an toàn hơn, đồng thời xác định các tính năng bảo mật có thể cải thiện khi ứng dụng của bạn được tải lên Google Play. Đến nay, chương trình này đã hỗ trợ các nhà phát triển khắc phục hơn 1.000.000 ứng dụng trên Google Play.

Cách thức hoạt động

Trước khi chấp nhận đưa bất kỳ ứng dụng nào lên Google Play, chúng tôi quét ứng dụng đó để đảm bảo tính an toàn và bảo mật, kể cả các vấn đề bảo mật tiềm ẩn. Chúng tôi cũng liên tục quét lại hơn một triệu ứng dụng trên Google Play để phát hiện thêm các mối đe doạ.

Nếu ứng dụng của bạn bị gắn cờ vì tiềm ẩn vấn đề bảo mật, chúng tôi sẽ thông báo ngay để giúp bạn nhanh chóng giải quyết vấn đề và đảm bảo an toàn cho người dùng. Chúng tôi sẽ gửi cho bạn thông báo qua cả email và Google Play Console, kèm theo đường liên kết đến trang hỗ trợ có thông tin chi tiết về cách cải thiện ứng dụng.

Thông thường, các thông báo này sẽ cho bạn biết về tiến trình để phân phối các biện pháp cải thiện đến người dùng nhanh nhất có thể. Đối với một số loại vấn đề, chúng tôi có thể sẽ yêu cầu bạn thực hiện các biện pháp cải thiện bảo mật trong ứng dụng trước khi bạn phát hành bất kỳ bản cập nhật nào cho ứng dụng đó.

Bạn có thể xác nhận rằng vấn đề đã được giải quyết hoàn toàn bằng cách tải phiên bản mới của ứng dụng lên Google Play Console. Hãy nhớ tăng số phiên bản của ứng dụng đã sửa lỗi. Sau đó vài giờ, vui lòng truy cập Play Console để xem thông báo bảo mật. Nếu thông báo đó không còn nữa thì bạn đã hoàn tất mọi việc.

Ví dụ về cảnh báo cải thiện bảo mật cho một ứng dụng trong Play Console.

Tham gia

Thành công của chương trình này phụ thuộc vào sự hợp tác giữa chúng tôi và bạn – các nhà phát triển ứng dụng trên Google Play – và cộng đồng bảo mật. Chúng tôi chịu trách nhiệm cung cấp các ứng dụng an toàn, bảo mật cho người dùng của mình. Nếu có phản hồi hoặc câu hỏi, vui lòng liên hệ với chúng tôi qua Trung tâm trợ giúp dành cho nhà phát triển trên Google Play. Để báo cáo các vấn đề bảo mật tiềm ẩn trong ứng dụng, vui lòng liên hệ với chúng tôi theo địa chỉ security+asi@android.com.

Chiến dịch và biện pháp khắc phục

Dưới đây là các vấn đề bảo mật mới nhất được gắn cờ dành cho các nhà phát triển trên Google Play. Bạn có thể tìm hiểu thêm thông tin chi tiết về lỗ hổng và biện pháp khắc phục bằng cách truy cập đường liên kết đến trang hỗ trợ có trong mỗi chiến dịch.

Bảng 1: Các chiến dịch cảnh báo kèm với thời hạn dành cho việc khắc phục.

Chiến dịch Đã bắt đầu Trang hỗ trợ
Lộ khoá máy chủ gửi thông báo qua đám mây của Firebase 12/10/2021 Trang hỗ trợ
Chuyển hướng Intent 16/5/2019 Trang hỗ trợ
Chèn đối tượng vào giao diện JavaScript 4/12/2018 Trang hỗ trợ
Xâm nhập hệ thống 15/11/2018 Trang hỗ trợ
Cross App Scripting 30/10/2018 Trang hỗ trợ
Tập lệnh trên nhiều trang web (Cross-Site Scripting) dựa trên tệp 5/6/2018 Trang hỗ trợ
Chèn SQL 4/6/2018 Trang hỗ trợ
Truyền tải qua đường dẫn 22/9/2017 Trang hỗ trợ
Quá trình xác minh tên máy chủ không an toàn 29/11/2016 Trang hỗ trợ
Fragment Injection 29/11/2016 Trang hỗ trợ
SDK quảng cáo Supersonic 28/9/2016 Trang hỗ trợ
Libpng 16/6/2016 Trang hỗ trợ
Libjpeg-turbo 16/6/2016 Trang hỗ trợ
SDK quảng cáo Vpon 16/6/2016 Trang hỗ trợ
SDK quảng cáo Airpush 31/3/2016 Trang hỗ trợ
SDK quảng cáo MoPub 31/3/2016 Trang hỗ trợ
OpenSSL (“logjam” và CVE-2015-3194, CVE-2014-0224) 31/3/2016 Trang hỗ trợ
TrustManager 17/2/2016 Trang hỗ trợ
AdMarvel 8/2/2016 Trang hỗ trợ
Libupup (CVE-2015-8540) 8/2/2016 Trang hỗ trợ
Apache Cordova (CVE-2015-5256, CVE-2015-1835) 14/12/2015 Trang hỗ trợ
SDK quảng cáo Vitamio 14/12/2015 Trang hỗ trợ
GnuTLS 13/10/2015 Trang hỗ trợ
Webview SSLErrorHandler 17/7/2015 Trang hỗ trợ
SDK quảng cáo Vungle 29/6/2015 Trang hỗ trợ
Apache Cordova (CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) 29/6/2015 Trang hỗ trợ

Bảng 2: Các chiến dịch chỉ có cảnh báo (không có thời hạn khắc phục).

Chiến dịch Đã bắt đầu Trang hỗ trợ
PendingIntent ngầm 22/2/2022 Trang hỗ trợ
Ý định ngầm nội bộ 22/6/2021 Trang hỗ trợ
Chế độ mã hoá không an toàn 13/10/2020 Trang hỗ trợ
Mã hoá không an toàn 17/9/2019 Trang hỗ trợ
Truyền tải qua đường dẫn Zipfile 21/5/2019 Trang hỗ trợ
Mã thông báo Foursquare OAuth đã nhúng 28/9/2016 Trang hỗ trợ
Mã thông báo Facebook OAuth đã nhúng 28/9/2016 Trang hỗ trợ
Sự cố gián đoạn Google Play Billing 28/7/2016 Trang hỗ trợ
Mã làm mới OAuth của Google đã nhúng 28/7/2016 Trang hỗ trợ
Thông tin xác thực bị rò rỉ trong URL dành cho nhà phát triển 16/6/2016 Trang hỗ trợ
Tệp kho khoá đã nhúng 2/10/2014
Thông tin xác thực được nhúng trong Amazon Web Services 12/6/2014