Od roku 2014 vyhledává Google v aplikacích zveřejněných na Google Play známé zranitelnosti v rámci programu App Security Improvement (ASI). Kdykoliv je v aplikaci nalezen známý bezpečnostní problém, obdrží vývojář e-mailem a prostřednictvím vývojářské konzole Google Play upozornění.
V době, kdy program začínal, vyhledával v aplikacích integrované přihlašovací údaje k Amazon Web Services (AWS), což byl v té době běžný problém. Prozrazení těchto údajů může vést k vážným zneužitím cloudových serverů používaných aplikacemi k ukládání uživatelských dat a obsahu.
Ještě v tom roce ale Google začal hledat taktéž integrované soubory typu Keystore, které v sobě běžně obsahují kryptografické klíče, jak veřejné, tak soukromé, které jsou využívány k šifrování dat nebo zabezpečení připojení.
V době po zavedení ASI programu obdržovali vývojáři pouze oznámení, nicméně nebyl na ně vyvíjen žádný tlak na to, aby na ně jakkoliv reagovali. To se změnilo roku 2015, kdy Google rozšířil typy vyhledávaných problémů a začal vynucovat nejzazší termíny pro opravy mnoha z nich.
Společnost poskytuje detailní informace o chybách, které detekuje, společně s radami na jejich opravu. Nicméně vývojáři, kterým se nepodaří problémy vyřešit do doby, kterou určuje Google, mohou přijít o možnost vydávání budoucích aktualizací pro dané aplikace skrze Google Play.
Do dubna 2016 pomohl App Security Improvement program v Google Play vývojářům opravit 100 tisíc aplikací. Od té doby se toto číslo téměř ztrojnásobilo – asi 90 tisíc vývojářů opravilo bezpečnostní chyby ve více než 275 tisících aplikací, řekl Rahul Mishra, manažer bezpečnostního programu Androidu, ve svém blogovém příspěvku.
Zdroj: CIO.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU