Google vừa công bố một số thay đổi với các chính sách quan trọng dành cho nhà phát triển ứng dụng Android. Những thay đổi này được đưa ra với mục đích tăng cường bảo mật cho người dùng, Google Play và các ứng dụng được cung cấp bởi Google Play. Các yêu cầu mới dành cho nhà phát triển sẽ có hiệu lực từ ngày 11/5 đến hết ngày 01/11/2022.
Để giúp các nhà phát triển có thời gian điều chỉnh ứng dụng cho phù hợp với những thay đổi.
Trong số danh sahcs các thay đổi về chính sách sẽ được đưa ra, những thay đổi quan trọng nhất liên quan tới an ninh mạng và gian lận bao gồm:
- Yêu cầu mục tiêu cấp API mới
- Cấm các ứng dụng cho vay với Tỷ lệ phần trăm hàng năm (APR) là 36% trở lên
- Cấm việc lạm dụng API trợ năng
- Thay đổi chính sách mới cho quyền cài đặt gói từ các nguồn bên ngoài
Mục tiêu cấp API mới
Bắt đầu từ ngày 01/11/2022, tất cả ứng dụng mới được phát hành/xuất bản cần phải nhắm mục tiêu đến một cấp Android API phát hành trong vòng một năm kể từ khi phiên bản Android chính mới nhất được tung ra. Những ứng dụng không tuân thủ yêu cầu này sẽ bị từ chối đưa vào Play Store.
Các ứng dụng hiện tại không nhắm mục tiêu vào một cấp API trong vòng 2 năm kể từ khi phiên bản Android chính mới nhất được phát hành cũng sẽ bị xóa khỏi Play Store và không thể tìm thấy được nữa.
Thay đổi này được tung ra để buộc các nhà phát triển ứng dụng áp dụng các chính sách API chặt chẽ hơn nhằm củng cố các phản phát hành Android mới. Mục tiêu là để quản lý và thu hồi các quyền tốt hơn, chống việc chiếm quyền điều khiển thông báo, cải tiến quyền riêng tư dữ liệu, phát hiện lừa đạo, hạn chế hiển thị màn hình lừa đảo…
Các nhà phát triển cần thêm thời gian để chuyển sang các cấp API mới hơn có thể gia hạn thêm 6 tháng. Tuy nhiên, khả năng này sẽ không áp dụng cho tất cả các nhà phát triển.
Dự kiến, chính sách này sẽ buộc nhiều ứng dụng lỗi thời phải áp dụng các phương pháp bảo mật mạnh hơn. Tuy nhiên, nó đồng thời cũng thúc đẩy các nhà phát triển đẩy mạnh trở lại các dự án bên ngoài Play Store. Điều này dẫn tới việc tỷ lệ người dùng tìm tới các nguồn bên ngoài để tải file APK về cài ứng dụng tăng lên. Từ đó, nguy cơ bị lừa, bị mã độc xâm nhập cũng sẽ tăng thêm.
Lạm dụng API trợ năng
API trợ năng của Android cho phép các nhà phát triển tạo ra các ứng dụng dành cho người khuyết tật. Nhờ API trợ năng, nhà phát triển có thể tạo ra các cách điều khiển thiết bị và các sử dụng ứng dụng khác với bình thường.
Tuy nhiên, API trợ năng cũng thường bị phần mềm độc hại lạm dụng để thực hiện các hành động trên thiết bị Android mà không được sự cho phép của người dùng hoặc người dùng không hề hay biết.
Chính sách mới của Google sẽ hạn chế việc lạm dụng API trợ năng bằng cách phương pháp:
- Cấm thay đổi cài đặt của người dùng mà không có sự cho phép của họ hoặc ngăn người dùng có thể tắt hoặc gỡ bất kỳ ứng dụng hay dịch vụ nào trừ khi được cha mẹ hoặc người giám hộ cho phép thông qua ứng dụng kiểm soát hoặc bởi quản trị viên được ủy quyền thông qua phần mềm quản lý doanh nghiệp.
- Cấm những hoạt động liên quan tới các thông báo và kiểm soát riêng tư được tích hợp sẵn trên Android hoặc thay đổi hay nâng quyền giao diện người dùng theo cách lừa đảo hoặc vi phạm các chính sách dành cho nhà phát triển của Google.
Chính sách tìm nạp gói
Một thay đổi chính sách quan trọng khác mà Google công bố sẽ thắt chặt quyền “REQUEST_INSTALL_PACKAGES”.
Nhiều kẻ xấu xuất bản ứng dụng độc hại lên Play Store bằng cách ban đầu chúng gửi ứng dụng không chứa mã độc. Sau khi được cài đặt trên máy của nạn nhân, chức năng ẩn của ứng dụng sẽ tìm và nạp gói tải xuống các mô-đun độc hại.
Chúng lừa người dùng bằng cách thủ thuật như hiển thị yêu cầu cập nhật hoặc yêu cầu tải xuống các gói phần mềm bổ sung. Do vậy, người dùng dễ dàng chấp thuận và tiến hành cài đặt.
Google muốn giải quyết triệt để lỗ hổng này bằng cách thực thi các chính sách mới về quyền, làm sáng tỏ một không gian mà trước đây họ quản lý quá kém cỏi.
Bây giờ, các chức năng được phép sẽ bị giới hạn trong trình duyệt web, tìm kiếm, giao tiếp, chia sẻ tệp, truyền tệp, quản lý tệp và quản lý thiết bị doanh nghiệp.
Các ứng dụng sử dụng quyền này sẽ chỉ được tìm nạp các gói đã được ký duyệt kỹ thuật số và kể cả khi được sự đồng ý của người dùng vẫn không thể tự cập nhật, sửa đỗi code hoặc gói APK trong tệp nội dung.
Chính sách “REQUEST_INSTALL_PACKAGES” mới sẽ có hiệu lực vào ngày 11/7/2022 đối với tất cả ứng dụng sử dụng API cấp 25 trở lên (Android 7.1).