Nyomást gyakorolt a Google a fejlesztőkre az utóbbi két évben, hogy javítsák ki a hivatalos alkalmazásboltjában elérhető, több mint 275 ezer Android applikáció sérülékenységeit. Sok esetben a figyelmeztetést azzal is nyomatékosította, hogy kilátásba helyezte, a nem biztonságos appok jövőbeni frissítését meg fogja akadályozni.
App Security Improvement (ASI) programjának részeként az internet óriása 2014 óta keres ismert sérülékenységeket a Google Playen közzétett alkalmazásokban. Ha egy applikációról bebizonyosodik, hogy ilyen sérülékenységet tartalmaz, arról fejlesztője e-mailben és a Google Play Developer Console-on keresztül is értesítést kap.
Indulásakor a program még csupán beágyazott Amazon Web Services (AWS) azonosítókat keresett az alkalmazásokban, amelyek akkoriban gyakran okoztak problémát. Ha illetéktelenek férnek hozzá az AWS azonosítókhoz, akkor azok a szerverek is kiszolgáltatottá válnak, amelyeket az appok a felhasználói adatok és tartalom tárolására használnak.
A biztonsági figyelmeztetések 90 ezer fejlesztőt segítettek sérülékeny alkalmazásaik javításában
Még az indulás évében a Google a Keystore fájlokra is kiterjesztette a biztonsági ellenőrzést. Titkosító kulcsokat tartalmaznak jellemzően ezek a fájlok - nyilvános és magánkulcsokat egyaránt -, amelyek az adatok vagy a biztonságos kapcsolatok védelmében jutnak szerephez.
Az ASI program korai szakaszában a fejlesztők értesítést kaptak ugyan, de ezenfelül semmi sem késztette őket arra, hogy tegyenek is valamit a sérülékenységek megszüntetéséért. Két éve, 2015-ben azonban mindez megváltozott, amikor a Google kiszélesítette az alkalmazásokban keresett sérülékenységtípusok körét, és a legtöbbjük javításához határidőt is megszabott.
Részletes sérülékenységleírás mellett a cég útmutatót is küld a fejlesztőknek a javításhoz. Ha a fejlesztő ennek ellenére nem tudja megoldani a problémát a megadott határidőn belül, akkor a Google Playen keresztül már nem bocsáthat ki újabb frissítéseket az érintett apphoz.
Hat új sérülékenység ellenőrzését kezdte meg a Google 2015-ben, amelyek javítását kivétel nélkül határidőhöz kötötte. További 17-tel nőtt a keresett sérülékenységek száma 2016-ban, és közülük 12 javítása szintén határidős lett. Az ASI programmal lefedett biztonsági problémák köre ma már igen széles, a harmadik féltől származó könyvtárak, fejlesztői keretrendszerek és hirdetési SDK-k sérülékenységeitől az Android Java osztályok és interfészek nem biztonságos implementációjáig terjed.
A Supersonic SDK-t használó fejlesztőknek például január 26-ig kell a 6.3.5-ös vagy újabb verzióra frissíteniük. Az SDK korábbi verziói ugyanis a Javascripten keresztül olyan érzékeny funkciókat fednek fel, amelyek sérülékenyek a közbülső ember (man-in-the-middle) típusú támadásokkal szemben.
Tavaly áprilisig a Google Play App Security Improvement program 100 ezer alkalmazás javításához segítette hozzá a fejlesztőket. Közel megháromszorozódott azóta ez a szám, Rahul Mishra, az Android biztonsági programját vezető menedzser szerint mostanáig mintegy 90 ezer fejlesztő több mint 275 ezer applikáció sérülékenységét szüntette meg.
