Actualización de la política de Google Play: Información sensible
Actualización de la política del Programa para Desarrolladores de Google Play: Permisos y API que acceden a información sensible
Las aplicaciones móviles en los dispositivos móviles son habilitadas por el usuario según sus funciones y roles únicos. Por ejemplo, las aplicaciones de mapas piden permiso para recopilar información de ubicación, las aplicaciones de grabación de voz piden acceso al micrófono y las aplicaciones de llamadas solicitan permiso para acceder a la información de contactos. Sin embargo, si el usuario otorga incorrectamente estos permisos, es peligroso porque existe el riesgo de exposición de información personal y convertirse en un objetivo para los hackers.
Para obtener más información sobre los "permisos" de la aplicación, incluyendo este QUERY_ALL_PACKAGES, cubriremos la política de "permisos" con respecto a las API y los derechos de acceso a información sensible dentro de las políticas del Programa para Desarrolladores de Google Play. Primero, echemos un vistazo más de cerca a los permisos que Google restringe y los requisitos necesarios para usarlos.
Google Play ha publicado una actualización de la política del Programa para Desarrolladores que entra en vigor el 11 de mayo de 2022. A menos que se indique lo contrario, se aplicará un período de gracia para todas las aplicaciones nuevas y existentes de al menos 30 días a partir del 11 de mayo para garantizar el cumplimiento de los cambios (excepto para políticas con una fecha de entrada en vigor distinta). Las aplicaciones que no cumplan con los requisitos de la política o no presenten el formulario de solicitud de permiso pueden ser eliminadas de Google Play. Así que echemos un vistazo más de cerca a los permisos restringidos por Google y los requisitos necesarios para utilizarlos.
Permisos de SMS y registro de llamadas
Permisos de ubicación
- La aplicación debe solicitar el rango mínimo (es decir, el acceso en primer plano en lugar de en segundo plano, etc.) necesario para proporcionar la función o servicio actual que requiere la ubicación. El usuario debe esperar razonablemente el nivel de ubicación solicitado para la función o servicio. Por ejemplo, Google puede solicitar la ubicación en segundo plano sin pruebas sólidas o rechazar una aplicación que acceda a ella.
Una aplicación puede acceder a una ubicación utilizando un servicio en primer plano (si la aplicación solo tiene acceso en primer plano, por ejemplo: 'Solo durante el uso') para acceder a la ubicación.
- El uso de la ubicación comienza como una extensión de la operación iniciada por el usuario dentro de la aplicación.
- Las aplicaciones sólo deben solicitar acceso al almacenamiento de dispositivos, que es esencial para el funcionamiento, y no pueden solicitar acceso al almacenamiento de dispositivos en nombre de terceros para fines que no sean relevantes para las características críticas mostradas a los usuarios.
- Para gestionar el acceso al almacenamiento compartido, los dispositivos Android que ejecutan R (Android 11, API nivel 30) o más requieren el permiso MANAGE_EXTERNAL_STORAGE. Cualquier aplicación que apunte a R y solicite un amplio acceso al almacenamiento compartido («Todo el acceso a archivos») debe pasar la revisión de acceso apropiada antes de publicar. Las aplicaciones que se permiten utilizar este privilegio deben inducir claramente a los usuarios a habilitar 'Todo el acceso a archivos' para la aplicación de acuerdo con la configuración 'Acceso especial a aplicaciones'.
A continuación se describe cuándo no se puede utilizar la API de Accesibilidad.
Bloquear características que permitan a los usuarios cambiar la configuración del usuario o deshabilitar o eliminar aplicaciones o servicios sin su permiso (excepto cuando sea aprobado por los padres o tutores a través de una aplicación de protección infantil o por un administrador autorizado a través de un software de gestión corporativa).
Eludir la configuración de privacidad y las notificaciones integradas de Android.
Cambiar o usar la interfaz de usuario de una manera engañosa o que viole las políticas del desarrollador de Google Play.
Además, la API de Accesibilidad no está creada para la grabación remota de llamadas y no se puede solicitar con este propósito, y el uso de la API de Accesibilidad debe especificarse en las propiedades de Google Play.
Si una aplicación con soporte directo para personas con discapacidad es una característica clave, puedes usar la herramienta IsAccessibility para especificar que es una aplicación de accesibilidad directa utilizando un método abierto y adecuado. Si puedes proporcionar las funciones necesarias sin usar la API de Accesibilidad, debes restringir y usar APIs y permisos limitados. (Fecha de vigencia: 11 de julio de 2022)
Aplicaciones que buscan dispositivos
Una vacuna contra el virus
Aplicación de gestión de archivos
Un navegador de Internet
También se han dado excepciones temporales a las aplicaciones financieras relacionadas con bancos y carteras digitales, lo que permite comprobar la instalación sólo en una lista de aplicaciones instaladas con fines de seguridad, como las vacunas. Esto se debe a que la aplicación financiera sólo puede usarse normalmente cuando la vacuna se instala en el dispositivo y luego se ejecuta.
Esta autoridad debe presentar una declaración de derechos de uso de la aplicación como se indica a continuación, o no podrá presentar una actualización de la aplicación a partir del 12 de julio. Por lo tanto, tenemos que actualizar la aplicación antes del 12 de julio.
Acceda a información sensible al aplicar LIAPP
Mirando a esta política de actualización de 'Permisiones', usted podría pensar que LIAPP debe ser declarado para utilizar el permiso para detectar amenazas de seguridad de las aplicaciones. Recientemente, los servicios que ofrecen la mayoría de las funciones de seguridad de las aplicaciones han anunciado el uso de derechos a través de la Consola de reproducción debido a los cambios en las políticas de Google. Recomendan el uso de QUERY_ALL_PACKAGES permiso para evitar que las aplicaciones funcionen en entornos peligrosos detectando la instalación de aplicaciones trampa en la lista negra como una de las maneras de bloquear la manipulación/ataque de aplicaciones.
Sin embargo, desde el QUERY_El permiso ALL_PACKAGES contiene información bastante sensible, limita la capacidad de comprobar las aplicaciones instaladas en el dispositivo a menos que la función central de la aplicación requiera este permiso. Además, incluso si usted solicita utilizar este permiso, si Google lo rechaza, la aplicación no se registrará, o la aplicación existente será eliminada.
Para utilizar este permiso, se requieren procedimientos de seguridad tales como relleno de formularios, detección y denegación de la inscripción en el sitio de la solicitud. Sin embargo, a diferencia de estas aplicaciones de seguridad existentes, LIAPP puede detectar y bloquear el hacking de aplicaciones, manipulación y amenazas por adelantado sin utilizar permisos limitados, de acuerdo con la política de Google Play. Actualmente, LIAPP detecta comportamientos de amenaza que no están en la forma de preguntar acerca de aplicaciones instaladas y responde de modo que la seguridad no se vea amenazada incluso si el QUERY_Se elimina el permiso ALL_PACKAGES.
LIAPP detecta aplicaciones basadas en comportamiento de amenazas en lugar de comprobar aplicaciones instaladas, por lo que las protege sin usar el QUERY_TODO PACKAGES permiso.
Es hora de conocer las características avanzadas de seguridad de LIAPP que funcionan basadas en el comportamiento. LIAPP se adhiere a las políticas restrictivas de Google Play para proteger las aplicaciones móviles de los hackers.
Si está pensando en implementar un servicio de seguridad a su aplicación móvil, o si tiene dificultades para utilizar permisos relacionados con funciones de seguridad debido a actualizaciones de políticas de Google, por favor no dude en contactar con el TEAM LIAPP y le guiaremos adecuadamente con detalles.
LIAPP, ofrecemos el mejor servicio posible.
