4月6日，谷歌宣布了針對 Android 應用程序開發人員的幾項關鍵政策更新，以提高用戶、Google Play 和相關應用程序的安全性。

這些新的政策將在今年5 月 11 日至 11 月 1 日期間陸續推出并生效，讓開發者有足夠的時間來適應這些新變化。其中與網絡安全和欺詐相關的更新成為重點，包括：

• 新的 API 級別目標要求
• 禁止年利率 (APR) 為 36% 及以上的貸款應用程序
• 禁止濫用輔助功能 API
• 從外部來源安裝軟件包的權限策略更新

新的 API 級別要求

新的政策要求，自 2022 年 11 月 1 日起，所有新發布的應用程序必須對標最新Android系統版本發布后一年之內與之相匹配的API 級別，否則將不得上架Google Play;而現有應用若兩年內未對標相應API級別，則會被Google Play移除。

新發布應用的 API 級別定位要求

現有應用的 API 級別定位要求

這一變化旨在要求應用程序開發人員采用更嚴格的 API 策略來支持較新的 Android 版本，以針對目前的安全威脅，獲得更好的權限管理和撤銷、通知反劫持、數據隱私增強、網絡釣魚檢測、屏幕啟動限制等功能。

但這一政策也并不完美，這始終是面向開發人員的一項被動策略，對于需要更多時間遷移到當前API水平的應用程序，谷歌表示可提供最多6個月的延緩措施，但也無法保證一些應用就此放棄Google Play，從而轉移到其它地方發布，當用戶從這些“野外”渠道下載時往往會存在較大的安全風險。

限制可訪問性 API 濫用

Android的可訪問性API(Accessibility API)允許開發人員創建可供殘障人士使用的應用程序，從而允許創建不同的方式來控制設備和使用其應用程序。但是，惡意軟件經常濫用此功能，在未經用戶許可甚至不知情的情況下在設備上執行操作。為此，谷歌的新政策對以下亂象做了進一步限制：

• 未經用戶許可改變用戶設置，或阻止用戶禁用、卸載任何應用程序或服務，除非由家長或監護人通過家長控制應用程序授權，或由授權管理員通過企業管理軟件授權
• 繞過安卓內置的隱私控制和通知
• 以欺騙性或其他違反Google Play開發者政策的方式改變或利用用戶界面

收緊取包策略

谷歌宣布的另一項關鍵政策變更收緊了“REQUEST_INSTALL_PACKAGES”權限。 一些惡意應用在上傳至Google Play時會提交看似正常的代碼以通過審核，但卻隱藏了在安裝后會下載惡意模塊包的功能，用戶會誤以為是軟件更新從而批準相應操作，或者直接在后臺以不可見的方式下載。谷歌希望以此來彌補這個漏洞。

新的 REQUEST_INSTALL_PACKAGES 政策將于 2022 年 7 月 11 日生效，適用于所有使用 API 級別為 25 (Android 7.1) 及更高版本的應用。屆時，使用此權限的應用程序在安裝或更新時僅能獲取經過數字簽名的數據包，且不得執行自我更新、修改或在文件中捆綁其他 APK的操作。

參考來源：https://www.bleepingcomputer.com/news/security/google-boosts-android-security-with-new-set-of-dev-policy-changes/?