No Code SaaS Seguridad para Apps Móviles. 

Pida Demo

Actualización de la política de Google Play: Información sensible

Actualización de la política del Programa para Desarrolladores de Google Play: Permisos y API que acceden a información sensible

 

 

Actualización de la política de Google Play: Información sensible

Actualización de la política del Programa para Desarrolladores de Google Play: Permisos y API que acceden a información sensible

 

Las aplicaciones móviles en los dispositivos móviles son habilitadas por el usuario según sus funciones y roles únicos. Por ejemplo, las aplicaciones de mapas piden permiso para recopilar información de ubicación, las aplicaciones de grabación de voz piden acceso al micrófono y las aplicaciones de llamadas solicitan permiso para acceder a la información de contactos. Sin embargo, si el usuario otorga incorrectamente estos permisos, es peligroso porque existe el riesgo de exposición de información personal y convertirse en un objetivo para los hackers.

Para obtener más información sobre los "permisos" de la aplicación, incluyendo este QUERY_ALL_PACKAGES, cubriremos la política de "permisos" con respecto a las API y los derechos de acceso a información sensible dentro de las políticas del Programa para Desarrolladores de Google Play. Primero, echemos un vistazo más de cerca a los permisos que Google restringe y los requisitos necesarios para usarlos.

Google Play ha publicado una actualización de la política del Programa para Desarrolladores que entra en vigor el 11 de mayo de 2022. A menos que se indique lo contrario, se aplicará un período de gracia para todas las aplicaciones nuevas y existentes de al menos 30 días a partir del 11 de mayo para garantizar el cumplimiento de los cambios (excepto para políticas con una fecha de entrada en vigor distinta). Las aplicaciones que no cumplan con los requisitos de la política o no presenten el formulario de solicitud de permiso pueden ser eliminadas de Google Play. Así que echemos un vistazo más de cerca a los permisos restringidos por Google y los requisitos necesarios para utilizarlos.

 

Permisos de SMS y registro de llamadas

No se puede adquirir el permiso de SMS y registro de llamadas a menos que la aplicación tenga como función principal realizar llamadas o enviar mensajes de texto. Esto se debe a que existe la posibilidad de que se abuse de la autorización para realizar llamadas de voz o acceder a los registros telefónicos, lo que permitiría espiar las llamadas de los usuarios o hacer llamadas sin control. Por lo tanto, los derechos de SMS y registro de llamadas se consideran datos personales y sensibles de los usuarios y están sujetos a las siguientes restricciones.




  • Si ya no necesitas las funciones o servicios actuales de la aplicación, la aplicación no debe acceder a datos (por ejemplo: ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) protegidos por el acceso a la información de ubicación.

     
  • No pidas a los usuarios que accedan a la información de ubicación solo con fines publicitarios o de análisis. Si tu aplicación amplía el uso aceptable de los datos de ubicación para la publicidad, debes cumplir con la política publicitaria de Google.

     
  • La aplicación debe solicitar el rango mínimo (es decir, el acceso en primer plano en lugar de en segundo plano, etc.) necesario para proporcionar la función o servicio actual que requiere la ubicación. El usuario debe esperar razonablemente el nivel de ubicación solicitado para la función o servicio. Por ejemplo, Google puede solicitar la ubicación en segundo plano sin pruebas sólidas o rechazar una aplicación que acceda a ella.
  • El acceso a la ubicación en segundo plano es útil para los usuarios y solo se puede utilizar para proporcionar funciones relevantes para la funcionalidad principal de la aplicación.

     

Una aplicación puede acceder a una ubicación utilizando un servicio en primer plano (si la aplicación solo tiene acceso en primer plano, por ejemplo: 'Solo durante el uso') para acceder a la ubicación.


  • El uso de la ubicación comienza como una extensión de la operación iniciada por el usuario dentro de la aplicación.
  • El uso de la ubicación termina inmediatamente después de que la acción iniciada por el usuario en la aplicación haya sido completada para su propósito previsto.

     

 

 
 
Permiso de acceso a todos los archivos 

Su acceso a archivos y directorios contiene información personal sensible. Es necesario establecer permisos subdividiendo permisos como control de aplicaciones y READ_EXTERNAL_STORAGE y WRITE_EXTERNAL_STRAGE para acceder a fotos, vídeos y audios.
  • Las aplicaciones sólo deben solicitar acceso al almacenamiento de dispositivos, que es esencial para el funcionamiento, y no pueden solicitar acceso al almacenamiento de dispositivos en nombre de terceros para fines que no sean relevantes para las características críticas mostradas a los usuarios.
  • Para gestionar el acceso al almacenamiento compartido, los dispositivos Android que ejecutan R (Android 11, API nivel 30) o más requieren el permiso MANAGE_EXTERNAL_STORAGE. Cualquier aplicación que apunte a R y solicite un amplio acceso al almacenamiento compartido («Todo el acceso a archivos») debe pasar la revisión de acceso apropiada antes de publicar. Las aplicaciones que se permiten utilizar este privilegio deben inducir claramente a los usuarios a habilitar 'Todo el acceso a archivos' para la aplicación de acuerdo con la configuración 'Acceso especial a aplicaciones'.
 
API de accesibilidad
 
 
La API de Accesibilidad es una aplicación que proporciona una interfaz de usuario mejorada para apoyar a usuarios que tienen un fallo o que no pueden interactuar temporalmente con el dispositivo por completo. Por ejemplo, los usuarios que conducen, cuidan a un niño pequeño o asisten a una fiesta muy ruidosa pueden necesitar interfaces adicionales o alternativas.

A continuación se describe cuándo no se puede utilizar la API de Accesibilidad.

Bloquear características que permitan a los usuarios cambiar la configuración del usuario o deshabilitar o eliminar aplicaciones o servicios sin su permiso (excepto cuando sea aprobado por los padres o tutores a través de una aplicación de protección infantil o por un administrador autorizado a través de un software de gestión corporativa).

Eludir la configuración de privacidad y las notificaciones integradas de Android.

Cambiar o usar la interfaz de usuario de una manera engañosa o que viole las políticas del desarrollador de Google Play.

 

Además, la API de Accesibilidad no está creada para la grabación remota de llamadas y no se puede solicitar con este propósito, y el uso de la API de Accesibilidad debe especificarse en las propiedades de Google Play.

Si una aplicación con soporte directo para personas con discapacidad es una característica clave, puedes usar la herramienta IsAccessibility para especificar que es una aplicación de accesibilidad directa utilizando un método abierto y adecuado. Si puedes proporcionar las funciones necesarias sin usar la API de Accesibilidad, debes restringir y usar APIs y permisos limitados. (Fecha de vigencia: 11 de julio de 2022)

Paquete (App) Permiso de visibilidad (QUERY_ALL_PACKAGES)
 
Comenzando con Android 11, un nuevo permiso llamado 'Wide App Visibility (QUERY_)Se ha añadido ALL_PACKAGES)''. Esta es la autoridad para ver una lista de todas las aplicaciones instaladas en su dispositivo. Por lo general, si ejecuta una aplicación y necesita que otras aplicaciones interactúen entre sí, se le concederá este privilegio para asegurarse de que otras aplicaciones estén instaladas. Por ejemplo, cuando ejecuta una aplicación bancaria, la vacuna contra el virus se activa juntos.
 
Sin embargo, estas autoridades pueden tener que incluirse en función de la solicitud. Sin embargo, si la función central de la aplicación no requiere estos privilegios, debe limitar la capacidad de verificar las aplicaciones instaladas en el dispositivo.
 
La siguiente es una lista de permisos que Google Play permite.

Aplicaciones que buscan dispositivos
Una vacuna contra el virus
Aplicación de gestión de archivos
Un navegador de Internet


También se han dado excepciones temporales a las aplicaciones financieras relacionadas con bancos y carteras digitales, lo que permite comprobar la instalación sólo en una lista de aplicaciones instaladas con fines de seguridad, como las vacunas. Esto se debe a que la aplicación financiera sólo puede usarse normalmente cuando la vacuna se instala en el dispositivo y luego se ejecuta.

Esta autoridad debe presentar una declaración de derechos de uso de la aplicación como se indica a continuación, o no podrá presentar una actualización de la aplicación a partir del 12 de julio. Por lo tanto, tenemos que actualizar la aplicación antes del 12 de julio.

 

Acceda a información sensible al aplicar LIAPP

 

Mirando a esta política de actualización de 'Permisiones', usted podría pensar que LIAPP debe ser declarado para utilizar el permiso para detectar amenazas de seguridad de las aplicaciones. Recientemente, los servicios que ofrecen la mayoría de las funciones de seguridad de las aplicaciones han anunciado el uso de derechos a través de la Consola de reproducción debido a los cambios en las políticas de Google. Recomendan el uso de QUERY_ALL_PACKAGES permiso para evitar que las aplicaciones funcionen en entornos peligrosos detectando la instalación de aplicaciones trampa en la lista negra como una de las maneras de bloquear la manipulación/ataque de aplicaciones.

Sin embargo, desde el QUERY_El permiso ALL_PACKAGES contiene información bastante sensible, limita la capacidad de comprobar las aplicaciones instaladas en el dispositivo a menos que la función central de la aplicación requiera este permiso. Además, incluso si usted solicita utilizar este permiso, si Google lo rechaza, la aplicación no se registrará, o la aplicación existente será eliminada.

Para utilizar este permiso, se requieren procedimientos de seguridad tales como relleno de formularios, detección y denegación de la inscripción en el sitio de la solicitud. Sin embargo, a diferencia de estas aplicaciones de seguridad existentes, LIAPP puede detectar y bloquear el hacking de aplicaciones, manipulación y amenazas por adelantado sin utilizar permisos limitados, de acuerdo con la política de Google Play. Actualmente, LIAPP detecta comportamientos de amenaza que no están en la forma de preguntar acerca de aplicaciones instaladas y responde de modo que la seguridad no se vea amenazada incluso si el QUERY_Se elimina el permiso ALL_PACKAGES.

 

LIAPP detecta aplicaciones basadas en comportamiento de amenazas en lugar de comprobar aplicaciones instaladas, por lo que las protege sin usar el QUERY_TODO PACKAGES permiso.

Es hora de conocer las características avanzadas de seguridad de LIAPP que funcionan basadas en el comportamiento. LIAPP se adhiere a las políticas restrictivas de Google Play para proteger las aplicaciones móviles de los hackers.

Si está pensando en implementar un servicio de seguridad a su aplicación móvil, o si tiene dificultades para utilizar permisos relacionados con funciones de seguridad debido a actualizaciones de políticas de Google, por favor no dude en contactar con el TEAM LIAPP y le guiaremos adecuadamente con detalles.



LIAPP, ofrecemos el mejor servicio posible.