A Google öt évvel ezelőtt indította el az Application Security Improvement nevű programot, amelynek keretei között a Play áruház fejlesztőinek segít az alkalmazások biztonsági átvilágításában. Ennek során egyrészt tippekkel és ajánlásokkal látják el őket, másrészt azonosítják azokat a lehetséges pontokat, amelyek tényleges vagy feltételezhető biztonsági problémát jelenthetnek, és amelyek átalakításával maguk az appok is biztonságosabbá tehetők. A javítások egy részére a Google határidőt is szab, más esetekben csak következmények nélkül figyelmeztet.
A sérülékenységeket csoportokba sorolják (az előbbiek alapján rendre 24 és 7 ilyen kategória van, amelyek közül 6 típushoz az előző év során rendeltek figyelmeztetéseket), ezek esetenként valamilyen könyvtárhoz, máskor egy általánosabb validációs problémához kapcsolják. Mielőtt egy alkalmazást felvennének a Play áruházba, automatikusan átmegy a vizsgálaton, a már elfogadott applikációkat pedig rendszeresen újra szkennelik az időközben meghatározott biztonsági problémák után kutatva, szükség esetén diagnózist és megoldási javaslatokat is biztosítva.
Egyre jobban működnek a Google szűrői
A vállalat az Android Developers Blog tegnapi bejegyzésében újabb statisztikát közölt az Application Security Improvement programról. Eszerint az elmúlt öt évben 300 ezer alkalmazásfejlesztő több mint egymillió programjának javításában segédkeztek, ezek közül 30 ezer fejlesztő több mint 75 ezer appját az előző év során pofozták helyre. Ez praktikusan azt jelenti, hogy egyedül 2018-ban 75 ezer olyan alkalmazás vált elérhetővé a felhasználók számára, amelyben már javítva voltak a Google által kifogásolt problémák.
A program egyébként nem osztályozza, hogy a programok figyelmetlenségből vagy előre megfontolt szándékkal tartalmaznak egy-egy kifogásolt elemet. A vállalat jövőbeni tervei alapján továbbra is komolyan invesztál a rendszerbe, és a tavaly felállított új osztályok (SQL befecskendezés, fájl alapú XSS, cross-app scripting, harmadik féltől származó tanúsítványok, scheme hijacking vagy JavaScript interfész befecskendezés) mellé ebben az évben is továbbiak kerülnek.
Az Android Developers Blog február közepén számolt be róla, hogy a Google ma már naponta 50 milliárd alkalmazást vizsgál a felhasználók eszközein, a telepített appok ártalmas viselkedését kutatva. A bejegyzésből az is kiderült, hogy tavaly a Play alkalmazásáruház több mint másfélszer annyi applikációt utasított vissza, mint egy évvel korábban. A nagyságrendre itt abból következtethetünk, 2017-ben 700 ezer ilyen alkalmazásról számoltak be, ehhez képest pedig 2018-ra 55 százalékos növekedést jeleztek.
Ugynacsak az idén tették közzé az eddigi bug bounty, vagyis a hibakeresést díjazó programok néhány eredményét. Kiderült, hogy a Google eddig összesen 15 millió dollárnál is többet fizetett ki a hasznos felfedezésekért, amiből 3,4 milliót 2018 során utaltak át a biztonsági réseket felfedező 317 szakembernek. A tavalyi összeg fele a Chrome és az Android hibáinak bejelentéséért járt. Az egyes jutalmak összege eddig 100 dollártól 200 ezer dollárig terjedt, az előző évben kiutalt legmagasabb díj 41 ezer dollár volt.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak