Google заставила разработчиков обновить 275 тысяч приложений

За последние два года компания Google заставила разработчиков приложений для своей мобильной платформы обновить более 275 тысяч программ в магазине Play Store. Во многих случаях это было сделано под угрозой запретить выпускать обновления для приложений в магазине.

С 2014 года Google ведёт сканирование приложений на наличие известных уязвимостей в рамках программы App Security Improvement (ASI). Если уязвимость обнаруживается, разработчики получают уведомление по электронной почте и в Google Play Developer Console. Поначалу сканирование велось только на наличие регистрационных данных Amazon Web Services (AWS). Они могли стать причиной компрометации облачных сервисов, которые приложения используют для хранения данных.

Далее в 2014 году Google начала вести сканирование на наличие встроенных файлов Keystore. Эти файлы содержат частные и публичные криптографические ключи, который используются для шифрования данных и установления безопасного соединения.

Поначалу разработчики получали только уведомления, но Google никак не заставляла их действовать. В 2015 году Google снова расширила число сканируемых уязвимостей и стала устанавливать сроки для их закрытия. Компания предоставляет подробную информацию о найденных уязвимостях и руководство по их устранению.

В 2015 году была добавлена проверка 6 уязвимостей, в 2016 ещё 17, из них 12 имеют срок устранения. В апреле 2016 программа затрагивала 100 тысяч приложений, с тех пор их число выросло почти втрое.