2023 年 Google Play 如何打擊惡意應用程式和不肖人士
讓大家在 Google Play 上面有安全、值得信賴的體驗,是我們的首要任務。我們利用 SAFE (詳見下文) 原則提供框架,為使用者和開發人員打造這樣的體驗。這些原則在實踐中代表的意義是:
- (S)afeguard our Users (保障我們使用者的安全)。協助他們找到可信賴、高品質的應用程式。
- (A)dvocate for Developer Protection (維護開發者的權益)。打造平台防護措施,使開發者能專注在成長。
- (F)oster Responsible Innovation (促進負責任的創新)。深思熟慮地為所有人創造價值,同時不影響使用者的安全。
- (E)volve Platform Defenses (演進平台的防禦能力)。透過政策、工具和技術的演進,在威脅出現之前搶先一步。
秉持這些原則,我們最近有做出改善、並推出新的措施,在威脅的情勢不斷變化的情況下,持續保護 Google Play 使用者的安全。2023 年,我們阻止了 228 萬個違反政策的應用程式在 Google Play 上架(註),靠的是我們投資了新的、改良的安全功能、政策更新,以及先進的機器學習和應用程式的審核流程。我們也強化了我們開發者的註冊和審核的流程,要求開發者在第一次建立 Play 帳號時提供更多的身分資訊。加上我們投入更多資源在審核工具和流程上,我們更有效地識別不肖人士和詐騙集團,封鎖了 33 萬 3 千個不良帳號,原因包括確認的惡意軟體和一再嚴重地違反政策。
此外,將近 20 萬個提交的應用程式,遭到拒絕或是要求修正,以確保他們有適當使用背景位置或是簡訊存取等敏感的權限。為了大規模保障使用者的隱私,我們也和 SDK 供應商合作,限制存取和分享敏感的資料,提升了超過 31 個 SDK 的隱私保護,影響 79 萬多個應用程式。我們也大幅擴展 Google Play SDK 的索引,目前涵蓋 Android 生態系統中將近 6 百萬個應用程式所使用的 SDK。這個寶貴的資源,協助開發者在選擇 SDK 的時候有更好的參考指標,提升應用程式的品質,並且把整合的風險降到最低。
保護 Android 生態系統
延續我們透過「應用程式防禦聯盟」(App Defense Alliance,ADA)取得的成功經驗,我們與 Microsoft 和 Meta 合作,擔任新改組 ADA 的指導委員會成員;ADA 現在隸屬於 Linux 基金會旗下的聯合發展基金會。這個聯盟將會支持整個產業採用最佳的作法和指南、確保應用程式的安全,並且採用應對新興安全風險的對策。
此外,我們宣布新的 Play 商店透明標示,標記有透過 ADA 的行動應用程式安全評估(Mobile App Security Assessment, MASA)完成獨立安全性審核的 VPN 應用程式。使用者搜尋 VPN 應用程式的時候,現在 Google Play 頂部會顯示橫幅,在「資料安全」專區裡,向他們介紹「獨立安全性審核」徽章的意義。這有助於讓使用者一眼就看出開發者有優先考慮安全和隱私的最佳作法,並致力於使用者的安全。
為了更妥善保護在 Play 商店外安裝應用程式的使用者,我們透過程式碼層級的即時掃描來打擊新型惡意應用程式,讓 Google Play 安全防護的安全功能變得更加強大。我們的安全保護和機器學習演算法會從提交給 Google 審核的每個應用程式中學習,查看數千個訊號並比較應用程式行為。這項新的功能已經偵測出超過 5 百萬個來自 Google Play 以外新的惡意程式,協助保護全球 Android 的使用者。
更嚴格的應用程式規定和指引
去年我們更新了 Play 政策,涵蓋生成式 AI 應用程式、干擾性通知,並擴大隱私保護。我們也提高了個人開發者帳號的門檻,要求開發者在應用程式上架到 Google Play 之前必須進行新的測試。透過測試應用程式、取得回饋並確保一切就緒後再推出,開發者能為 Play 使用者帶來更多高品質的內容。為了提高信任度和透明度,我們推出更多的開發者驗證要求,包括組織的 D-U-N-S 編碼和新的「關於開發者」的專區。
為了讓使用者能更妥善管控個人數據,被允許建立帳號的應用程式,現在必須要提供選項,讓使用者可以從應用程式內和線上刪除帳號和資料。這個網站要求特別重要,讓使用者不需要重新安裝應用程式,即可要求刪除帳號和資料。為了簡化使用者的體驗,我們也會把這項功能整合到 Play 商店的「資料安全性」專區。
每個 Android 作業系統版本(包括上面完善的 API)都會帶來各種強化功能,目標是在提升使用者體驗、強化安全協定,並且改善 Android 平台的整體效能。為了進一步保護用戶,有將近 150 萬個未採用最新 API 版本的應用程式,將無法透過 Play 商店觸及那些已經將裝置升級到最新 Android 版本的新用戶。
展望未來
保護 Google Play 上面的使用者和開發者,對我們來說至關重要,而且這項工作時刻在進化。我們會在 2024 年推出新的安全措施,包括移除 Play 商店上對隱私作法不透明的應用程式。
我們近期也向聯邦法院提起訴訟,控告兩名詐欺犯多次做出不實陳述,將詐騙投資和加密貨幣交易的應用程式上架到 Play 商店,詐騙使用者。這起訴訟是很重要的一步,去追究這些不肖人士的責任,並且傳達明確的訊息:我們會積極搜查試圖欺騙我們使用者的人。
我們持續致力於尋找新方法,保護大家在 Google Play 還有整個 Android 生態系統中的體驗,我們期待未來可以分享更多資訊。
本文作者:Android 安全與隱私團隊 Steve Kafka 與 Khawaja Shams、Google Play 信任與安全團隊 Mohet Saxena
註:根據歐盟《數位服務法》(Digital Services Act) 的報告要求,Google Play 現在根據發送給開發人員的通知來計算政策違規次數。