گوگل کار را برای سازندگان برنامه‌های سرکش به‌منظور ورود به Android Play Store بسیار سخت کرده است.

حتی پس از نظارت امنیتی گوگل روی اکوسیستم  اندروید که در طول سال‌ها نیز تکامل یافته است، برنامه‌های از نوع دژافزار همچنان به فروشگاه Google Play ورود پیدا می‌کنند.

گاهی اوقات فقط پست مجدد یک دژافزار که قبلاً شناسایی‌شده توسط یک حساب کاربری Play Store تازه ایجادشده یا با استفاده از دیگر حساب‌های موجود توسعه‌دهندگان، برای توسعه‌دهندگان با نیت شوم کافی است که Play Store را به‌منظور توزیع برنامه‌های ناامن برای کاربران اندرویدی فریب دهد.

ازآنجاکه پلت فرم دستگاه تلفن همراه به‌سرعت در حال رشد است، هر تلاش جدید گوگل در این زمینه به نظر می‌رسد با شکست مواجه می‌شود.

به‌عنوان‌مثال، گوگل اخیراً برخی تغییرات را در سیاست‌های Play Store خود انجام داده و محدودیت‌های جدیدی را در API های Android اضافه کرده است که اکنون برای هر برنامه جدید اجباری است که قبل از نمایش در فروشگاه Google Play مورد آزمایش امنیتی دقیق و بررسی فرآیند[۱] قرار گیرد.

این تلاش‌ها عبارت‌اند از:

• محدود کردن توسعه‌دهندگان به‌منظور سوءاستفاده از خدمات دسترسی به اندروید[۲]
• محدود کردن برنامه‌ها به مجوزهای خاص مانند logهای مربوط به تماس و مجوزهای پیامک[۳]
• اضافه کردن جستجوگر دژافزار مبتنی بر رفتار^(۱) [۴]
• به‌کارگیری افراد برای بررسی برنامه‌های اندرویدی قبل از بارگذاری آن‌ها در فروشگاه رسمی گوگل[۵]
• راه‌اندازی مسابقات برای برنامه‌های اندرویدی و موارد دیگر[۶]

متأسفانه، بسیاری از توسعه‌دهندگان از این فرآیند راضی نیستند. زیرا بررسی دژ افزارها به‌صورت دستی و توسط گروهی از متخصصان در گوگل و شناسایی نقض policy های این شرکت، بسیار زمان‌بر بوده و پاسخ‌دهی به توسعه‌دهندگان در مورد اینکه آیا برنامه‌هایشان با این policy ها سازگار هستند یا خیر مدت‌زمان زیادی به طول می‌انجامد.

Sameer Samat یکی از مدیران گوگل دراین‌باره می‌گوید[۷]: “هنگامی‌که ما سیاست‌های در ارتباط با پیامک و log های تماس را آغاز کردیم، بسیاری از شما در مورد روند این تصمیم‌گیری ابراز ناامیدی کردید.”

گوگل در ادامه تلاش‌های خود اعلام کرده است که این شرکت قصد دارد با توسعه‌دهندگان ارتباطات جامع‌تر و دقیق‌تری داشته باشد، و به آن‌ها توضیح دهد که چرا این تصمیم گرفته شده است، و همچنین روند این ارزیابی‌های پیشرفته و شفاف را به‌طور کامل بیان کند.

گوگل می‌گوید که این شرکت تیم خود را برای تسریع جواب به درخواست‌ها گسترش داده است.

علاوه بر این، گوگل برنامه‌ریزی کرده تا وقت بیشتری را برای بررسی برنامه‌های اندرویدی توسط توسعه‌دهندگان جدید صرف کند تا قبل از تأیید آن‌ها برای قرار گرفتن روی فروشگاه Google Play از ایمن بودن برنامه‌ی نهایی مطمئن شود تا دچار تصمیم اشتباه برای رد کردن یا پذیرفتن برنامه موردنظر نشود.

بررسی یک برنامه برای یک توسعه‌دهنده جدید که سابقه اثبات‌شده با این غول تکنولوژی ندارد، اکنون به‌جای چند هفته، چند روز به طول می‌انجامد و به این شرکت اجازه می‌دهد تا بررسی کامل‌تری را قبل از تأیید برنامه‌ها برای انتشار در فروشگاه رسمی خود انجام دهد.

توسعه‌دهندگان اندروید در یک پست وبلاگ دراین‌باره می‌‎گویند: “درحالی‌که اکثریت قریب به اتفاق از توسعه‌دهندگان در اندروید به‌خوبی شناخته‌شده‌اند، برخی از حساب‌های کاربری نیز به‌منظور نقض جدی و مداوم سیاست‌ها که از کاربران ما محافظت می‌کنند، به حالت تعلیق درآمده‌اند.”

“درحالی‌که ۹۹ درصد از این تصمیمات به‌منظور تعلیق این حساب‌های کاربری صحیح هستند، ما نیز در مورد اینکه حساب کاربری شما به اشتباه غیرفعال شده باشد، بسیار حساس هستیم.”

از این به بعد، حساب‌های توسعه‌دهندگانی که به اشتباه غیرفعال می‌شوند، می‌توانند بلافاصله درخواست کنند که توسط تیم اندروید گوگل به‌دقت بررسی شوند. اگر این تیم متوجه شود که یک خطا رخ داده است، حساب کاربری موردنظر را مجدداً فعال می‌کند.

منابع

[۱] https://thehackernews.com/2015/03/google-play-store-app-review.html

[۲] https://thehackernews.com/2017/11/android-accessibility-services.html

[۳] https://thehackernews.com/2018/10/android-app-privacy.html

[۴] https://thehackernews.com/2017/05/google-play-protect-android.html

[۵] https://thehackernews.com/2015/03/google-play-store-app-review.html

[۶] https://thehackernews.com/2017/10/android-bug-bounty.html

[۷] https://android-developers.googleblog.com/2019/04/improving-update-process-with-your.html

[۸] https://thehackernews.com/2019/04/android-google-play-store.html

(۱) behavior-based