2023 年,我们如何应对恶意应用和恶意行为

作者:Steve Kafka and Khawaja Shams, Android 安全与隐私团队, Mohet Saxena, Google Play 信任与安全团队

为用户提供安全和可信的 Google Play 体验是我们的首要任务。我们依据 SAFE (见下文) 原则创建了一个框架,旨在为用户和开发者营造一个安全的环境。以下是我们将这些原则付诸实践的几个关键方式:

  • (S )afeguard our Users. 保护我们的用户。帮助他们探索值得信赖的优质应用程序。
  • (A)dvocate for Developer Protection. 倡导开发者保护。构建平台保障措施,使开发者能够专注于自身发展。
  • (F)oster Responsible Innovation. 促进负责任的创新。在不损害用户安全的前提下,为所有人挖掘价值。
  • (E)volve Platform Defenses. 优化平台防范措施。通过不断改进我们的政策、工具和技术,确保其领先于新出现的威胁。

基于以上原则,我们最近进行了改善并推出了新的措施,以应对不断演变的安全威胁,继续确保 Google Play 用户的安全。2023 年,我们通过持续投资全新且更完善的安全功能、政策更新、先进的机器学习系统和应用审查程序,成功阻止了 228 万个违反政策的应用在 Google Play¹ 上发布。同时,我们也增强了开发者入驻及审查程序,要求开发者创建 Google Play 账号时提供更多的身份信息。得益于我们对审查工具和流程的持续投入,2023 年我们更快地识别了 Google Play 平台上的恶意行为和欺诈团伙,封禁了 33.3 万个违规账户。

此外,我们驳回或修正了约 20 万个应用的上架申请,确保敏感权限,如后台位置访问和短信使用,得到正确和合理的使用。为了在更大范围内帮助用户保护隐私,我们已经与 SDK 提供方展开合作,限制敏感数据的访问和共享,增强了超过 31 个 SDK 79 万个应用的隐私保护。另外,我们还扩大了 Google Play SDK 索引,目前该资源已覆盖 Android 生态系统中超过 600 万个应用。帮助开发者做出更明智的 SDK 选择,从而提高应用的质量并降低整体风险。

保护 Android 生态系统

在与 App Defense Alliance (ADA) 合作取得成功的基础上,我们与微软和 Meta 公司合作,成为联合开发基金会旗下新重组的应用防范联盟 (ADA) 指导委员会成员,隶属于 Linux 基金会家族。联盟将支持全行业采纳应用安全最佳实践和指导方针,并采取措施应对新的安全风险。

此外,我们发布了一项新的 Google Play 商店透明度标签功能,突出显示那些通过 ADA 的移动应用安全评估 (Mobile App Security Assessment) 完成了独立安全审查的 VPN 应用。当用户搜索 VPN 应用时,他们会在 Google Play 顶部看到一条横幅,该横幅向他们介绍数据安全模板的 “独立安全审查” 徽章。这有助于用户一目了然地看到开发者已经优先考虑安全和隐私的最佳实践,致力于保障用户安全。

为了更好的保护在 Google Play 商店之外安装应用的用户,我们通过代码层的实时扫描增强了 Google Play 保护机制的安全能力,以对抗新型的恶意应用。我们的安全保护和机器学习算法会从提交给谷歌审查的每个应用程序中学习,分析数千个信号并比较应用程序的行为。该功能已经检测到超过 500 万款新型恶意应用,有助于保护全球的 Android 用户。

实施更加严格的开发者要求和准则

去年,我们更新了 Google Play 中有关生成式 AI 应用、干扰性通知和扩大隐私保护的政策。我们还在提高新的个人开发者账户的门槛,新账户需要达到特定的测试要求,才能在 Google Play 平台上架应用。他们会在发布前通过测试应用程序、收集反馈,确保能够为 Google Play 用户提供高质量的内容。为了提高用户信任和透明度,我们引入了扩展版开发者验证要求 (expanded developer verification requirements),包括组织开发者使用的邓氏编码 (D-U-N-S) 和新的 “关于开发者” 板块。

为了让您能够更自主有效的控制自己的个人数据,支持创建帐户的应用程序现在需要提供一个选项,使用户能够在应用程序内启动帐户和数据的删除。这项网络要求尤为重要,它确保用户无需重新安装应用即可直接申请删除账户和数据。为了简化这一用户体验,我们还将其整合到了 Google Play Store 数据安全模块中。

Android 操作系统 (包括其强大的 APIs) 的每次迭代,都会引入无数的功能改进和完善,旨在提升用户体验,加强安全协议,并优化 Android 平台的整体性能。为了进一步保护用户安全,约 150 万个未按照最新 API 进行更新的应用程序将不再在 Google Play 商店上向已将设备更新至最新版本的新用户开放。

展望未来

保护 Google Play 上的用户和开发者至关重要,也是一个持续发展的过程。我们将在 2024 年推出新的安全举措,包括从 Google Play 中移除隐私保护不透明的应用。

最近,我们向联邦法院起诉了两名欺诈者,他们在 Google Play 平台上发布具有欺骗性质的投资及加密货币交易应用程序,诱骗用户上当。这起诉讼是追责这些不良行为者的关键一步,同时传递出明确信息:我们将坚决打击任何企图利用我们用户的欺诈行为。

我们一直在探索新的方法来保护用户在 Google Play 和整个 Android 生态系统中的体验,我们期待着在未来分享更多的更新和进展,以继续提升我们的服务和安全措施。

¹根据欧盟的《数字服务法案》(DSA) 报告要求,Google Play 现在根据与开发者的沟通情况来计算政策违规情况。