谷歌将限制Android14安装旧级别API应用程序,避免敏感权限被滥用

2023年02月13日 13:22   21世纪经济报道 21财经APP   实习生谭砚文,吴立洋
从Android 14开始,API级别过旧的应用将无法安装。

南方财经全媒体 实习生谭砚文 记者吴立洋 上海报道

近日,谷歌发布了Android14首个开发预览版本,并同步公开了应用克隆功能、提升续航等系统改进。

值得注意的是,新开发预览版本显示,谷歌将严格限制Android14安装API版本过低的应用程序,以保障设备的隐私和安全性。

对此,谷歌表示,“恶意软件通常以较旧的API级别为目标,以绕过较新Android版本中引入的安全和隐私保护”,为防止这种情况,从Android 14开始,API级别过旧的应用将无法安装。

旧版本安全问题亟需解决

据悉,Android曾多次遭受旧版本漏洞造成安全事故。其中产生较大影响的有2016年一款名为“Gooligan”的特洛伊木马程序,该程序利用旧版本Android系统的已知漏洞入侵Android设备,在未经用户许可的前提下安装其他一些应用和广告软件,其中一些未授权应用还使用受害者的用户名和密码发布一些虚假的评论消息。据了解,该病毒在四个月内入侵了100多万个谷歌账号。

此外,在Android8.0到9.0版本中,一种名为BlueFrag的漏洞能使得黑客能够不经用户允许,通过蓝牙向设备发送恶意软件,进而窃取用户信息,甚至进一步入侵其他Android8.0到9.0设备。

近年来,谷歌一直在为打击接口滥用做出努力。如Android13曾限制侧载应用的相关权限,不允许侧载应用使用Accessibility API。这是因为许多恶意软件诱使用户从非官方渠道下载安装APK,并利用Accessibility API来窃取用户隐私数据。

再如,2018年10月,谷歌曾开启加强对 Chrome 和Google Drive上第三方插件的隐私审计,旨在通过审查第三方开发者对用户数据的访问来提高谷歌和Android设备上的用户隐私和安全性。据了解,谷歌给予插件开发者90天的时间来更正权限,如果没有满足相关的要求,开发者的插件将面临被禁用的风险。

针对低版本API带来的安全问题,行业也进行过多方面努力。2018年,电信终端产业协会(TAF)发布《移动应用软件高API等级预置与分发自律公约》(以下简称《公约》),该公约由OPPO、华为、百度、360、阿里、小米、vivo、腾讯共同发起并签署。

硬件方面,《公约》自律条款规定,分别自2019年5月1日和8月1日起,新上市Android 9.0及以上版本智能手机预置应用与预置应用的更新,应基于Android 8.0(API等级26)及以上开发。软件方面则要求自2019年5月1日和8月1日起,新上架应用和现有应用更新应基于Android8.0 (API等级26)及以上开发。

谷歌出手

本次对Android14限制API级别的举措更体现出谷歌提升Android设备安全性的决心。因为Android14将会多方位阻止安装API级别过低的应用程序。

首先,谷歌在Android14将会对Google Play应用商城进行升级,用户将无法通过官方渠道安装API版本过旧的应用程序。其次,这项规则还将限制用户侧载特定的APK安装包,并阻止应用商店安装这些相同的应用。

此外,新的权限保护系统还将使用户无法安装长期未更新的应用程序。但是,谷歌表示,升级到Android 14的设备上已经安装的旧应用程序将继续运行。

在API限制级别的设置上,谷歌将采取“逐步提升”的机制。据了解,这项规则在上线初期,主要针对特别陈旧的Android应用程序。到后期,谷歌将会把限制等级设置为Android 6.0,API级别为23。

关于将级别设置为Android 6.0的原因,记者了解到,Android 6.0(2015)中,谷歌引入了运行时权限模型,要求应用在应用启动时请求用户授予对敏感操作(如设备的相机、麦克风、GPS传感器、电话呼叫和SMS访问)的权限访问请求。针对该版本的恶意软件可能在清单XML文件中指定,并在安装时请求访问敏感权限,这容易导致用户敏感数据的泄露。

可见,Android14只会阻止有滥用用户敏感权限风险的级别过低的APP安装,而这个限制在未来随着Android系统的更新,可能会进一步收紧。

加强隐私权管理

对于本次谷歌官方传达出限制API等级的做法,业内反映普遍较为积极。

广州某软件行业从业者在接受南方财经全媒体记者采访时指出,限制API级别“整体上是正面的,有助于解决Android碎片化问题。”

其正面影响首先体现在设备安全性上:“高API等级带来的直接好处,是隐私权限得到有效得管理,用户的安全性得到提高。”由于许多侵犯隐私权限的恶意软件只能运作在较低版本的设备中,限制API级别能够有效帮助用户规避恶意软件,避免敏感权限被滥用

此外,限制API级别能有效促进开发者进行产品更新迭代。浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林表示,“本次限制侧载范围主要为了鼓励开发者开发更高版本的应用来适配新的Android系统,一方面促进应用升级,另一方面也促进智能手机设备迭代。”

尽管限制API级别可能会对用户使用低版本或者停止更新的应用造成一定的问题,但是并不会产生太大影响。

首当其冲的是旧版本手机不兼容的问题。对此,上述广州互联网行业从业者表示,“目前主流用户使用低版本系统的手机占比已经很少了,所以实际上影响也不太大。”而这主要与谷歌限制级别门槛不高有关,目前主流的Android 12的API级别为31,远高于限制级别23。

其次,限制API规则必然会影响到软件的开发者和运营者,导致其更新产品的压力上升。上述从业者指出,每次应用市场从下发通知到实施,都会有几个月甚至半年的过渡期,这个时间已足够企业进行更新。”

除此之外,Android系统以开源作为一大卖点,而此次限制侧载范围,是否有悖于Android开源的初衷,进而影响到Android相对苹果等其他操作系统的竞争力?

对此,盘和林表示,限制侧载范围并不会影响Android和其他操作系统间的竞争格局。“苹果出于安全性的考虑是不支持侧载APP的,所以限制侧载范围实际上说明Android也在靠近苹果的做法,实际上两家在很多方面在相互看齐。但这些做法可能不会对Android和苹果之间的竞争格局产生影响,市场份额将保持稳定。”

关注我们