Google ได้ประกาศการเปลี่ยนแปลงนโยบายที่สำคัญหลายประการ สำหรับนักพัฒนาแอปพลิเคชัน Android ซึ่งจะเพิ่มความปลอดภัยให้กับผู้ใช้ Google Play และแอปที่นำเสนอโดยบริการ
ข้อกำหนดของนักพัฒนาซอฟต์แวร์ใหม่เหล่านี้จะมีผลระหว่างวันที่ 11 พฤษภาคมถึงวันที่ 1 พฤศจิกายน 2022 ซึ่งจะทำให้นักพัฒนามีเวลาเพียงพอในการปรับให้เข้ากับการเปลี่ยนแปลงใหม่
ในบรรดารายการการเปลี่ยนแปลงนโยบายที่จะนำมาใช้ สิ่งที่สำคัญที่สุดที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์และการฉ้อโกง ได้แก่:
- ข้อกำหนดเป้าหมายระดับ API ใหม่
- การแบนแอปสินเชื่อที่มีอัตราร้อยละต่อปี (APR) เท่ากับ 36% ขึ้นไป
- ห้ามมิให้มีการละเมิดการเข้าถึง API
- การเปลี่ยนแปลงนโยบายใหม่สำหรับสิทธิ์ในการติดตั้งแพ็คเกจจากแหล่งภายนอก
เป้าหมายระดับ API ใหม่
ตั้งแต่วันที่ 1 พฤศจิกายน 2022 เป็นต้นไป แอปที่ออกใหม่/เผยแพร่ทั้งหมดจะต้องกำหนดเป้าหมายระดับ Android API ที่เผยแพร่ภายในหนึ่งปีนับจากเวอร์ชันหลักของ Android รุ่นล่าสุด
.png)
ผู้ที่ไม่ปฏิบัติตามข้อกำหนดนี้จะถูกปฏิเสธไม่ให้รวมอยู่ใน Play Store ซึ่งเป็นร้านแอปอย่างเป็นทางการของ Android
แอปที่มีอยู่ซึ่งไม่ได้กำหนดเป้าหมายระดับ API ภายในสองปีของ Android เวอร์ชันหลักล่าสุดจะถูกลบออกจาก Play Store และจะไม่สามารถค้นพบได้อีก
การเปลี่ยนแปลงนี้มีจุดมุ่งหมายเพื่อบังคับให้นักพัฒนาแอปนำนโยบาย API ที่เข้มงวดขึ้นซึ่งสนับสนุน Android รุ่นใหม่ โดยทั่วไปการจัดการและเพิกถอนการอนุญาตที่ดีขึ้น การแจ้งเตือนการป้องกันการหักหลัง การปรับปรุงความเป็นส่วนตัวของข้อมูล การตรวจจับฟิชชิง การจำกัดหน้าจอเริ่มต้น และอื่นๆ
ตามที่ Google อธิบายในบล็อกโพสต์เกี่ยวกับนโยบายใหม่: "ผู้ใช้ที่มีอุปกรณ์ล่าสุดหรือผู้ที่ติดตามการอัปเดต Android อย่างเต็มที่คาดว่าจะตระหนักถึงศักยภาพของการปกป้องความเป็นส่วนตัวและความปลอดภัยทั้งหมดที่ Android มีให้" นักพัฒนาแอปที่ต้องการเวลามากขึ้นในการย้ายไปยังระดับ API ที่เป็นปัจจุบันมากขึ้น อาจขอขยายเวลาหกเดือน แม้ว่าจะไม่รับประกันสำหรับทุกคนก็ตาม
การเปลี่ยนแปลงนโยบายนี้คาดว่าจะบังคับให้แอปที่ล้าสมัยจำนวนมากใช้แนวทางปฏิบัติที่ปลอดภัยมากขึ้น แต่จะผลักดันโครงการหลายโครงการที่ไม่ได้พัฒนาอย่างจริงจังอีกต่อไปนอก Play Store อย่างหลีกเลี่ยงไม่ได้
ผลข้างเคียงอย่างหนึ่งของอย่างหลังอาจเป็นเพราะผู้คนหันไปหาแหล่งที่ไม่ชัดเจนเพื่อรับ APK ของแอพที่พวกเขาชื่นชอบ เพียงเพื่อจะโดนหลอกลวงและติดมัลแวร์เอง
การละเมิดการเข้าถึง API
API การเข้าถึงของ Android ช่วยให้นักพัฒนาสามารถสร้างแอพที่สามารถใช้ได้โดยผู้ทุพพลภาพ ทำให้สามารถสร้างวิธีต่างๆ ในการควบคุมอุปกรณ์และใช้แอพพลิเคชั่นของอุปกรณ์ได้
อย่างไรก็ตาม คุณลักษณะนี้มักถูกใช้ในทางที่ผิดโดยมัลแวร์ [1, 2] เพื่อดำเนินการบนอุปกรณ์ Android โดยไม่ได้รับอนุญาตจากผู้ใช้หรือแม้แต่ความรู้
นโยบายใหม่ของ Google ยังจำกัดวิธีการใช้นโยบายนี้ตามรายการด้านล่าง
- เปลี่ยนการตั้งค่าผู้ใช้โดยไม่ได้รับอนุญาต หรือป้องกันไม่ให้ผู้ใช้ปิดใช้งานหรือถอนการติดตั้งแอปหรือบริการใดๆ เว้นแต่ได้รับอนุญาตจากพ่อแม่หรือผู้ปกครองผ่านแอปควบคุมโดยผู้ปกครองหรือโดยผู้ดูแลระบบที่ได้รับอนุญาตผ่านซอฟต์แวร์การจัดการองค์กร
- หลีกเลี่ยงการควบคุมความเป็นส่วนตัวและการแจ้งเตือนในตัวของ Android
- เปลี่ยนหรือใช้ประโยชน์จากอินเทอร์เฟซผู้ใช้ในลักษณะที่เป็นการหลอกลวงหรือละเมิดนโยบายนักพัฒนาซอฟต์แวร์ของ Google Play
นโยบายการดึงข้อมูล
การเปลี่ยนแปลงนโยบายที่สำคัญอีกประการหนึ่งที่ประกาศโดย Google ทำให้การอนุญาต "REQUEST_INSTALL_PACKAGES" เข้มงวดขึ้น ผู้เผยแพร่แอปที่เป็นอันตรายหลายรายส่งโค้ดที่ไม่เป็นอันตรายไปยัง Play Store เพื่อให้ได้รับการอนุมัติ แต่ซ่อนฟังก์ชันการดึงข้อมูลแพ็กเกจที่ดาวน์โหลดโมดูลที่เป็นอันตรายหลังการติดตั้ง ผู้ใช้เห็นการกระทำเหล่านี้เป็น "ขออัปเดต" หรือ "ดาวน์โหลดเนื้อหาเพิ่มเติม" ดังนั้นพวกเขาจึงอนุมัติการดำเนินการเมื่อได้รับข้อความแจ้งที่เกี่ยวข้องหรือไม่เห็นสิ่งใดเนื่องจากเกิดขึ้นในเบื้องหลัง
Google ต้องการปิดช่องโหว่นี้โดยบังคับใช้นโยบายใหม่สำหรับการอนุญาต ซึ่งทำให้เห็นความกระจ่างเกี่ยวกับพื้นที่ซึ่งก่อนหน้านี้มีการควบคุมไม่ดี
ฟังก์ชันที่อนุญาตในขณะนี้จะจำกัดเฉพาะเว็บเบราว์เซอร์ การค้นหา การสื่อสาร การแชร์ไฟล์ การถ่ายโอนไฟล์ การจัดการไฟล์ และการจัดการอุปกรณ์ขององค์กร แอปที่ใช้การอนุญาตนี้จะต้องดึงเฉพาะแพ็คเกจที่เซ็นชื่อแบบดิจิทัลเท่านั้น ในขณะที่ความยินยอมของผู้ใช้จะยังไม่อนุญาตให้อัปเดตตนเอง การแก้ไขโค้ด หรือการรวม APK ในไฟล์เนื้อหา
นโยบาย REQUEST_INSTALL_PACKAGES ใหม่จะมีผลบังคับใช้ในวันที่ 11 กรกฎาคม 2022 สำหรับแอปทั้งหมดที่ใช้ API ระดับ 25 (Android 7.1) ขึ้นไป
ที่มา - GooglePlay