2018年11月最新绿色应用评测报告显示,国内千款主流应用中依然有近一半的应用未获得绿色应用标记。其中,安全标准不通过是应用未达标的主要原因。
针对这一问题,华为终端开放实验室为开发者提供针对性的优化建议,快速提升用户体验。华为终端开放实验室安全检测包含应用广告拦截、病毒扫描、安全漏洞、隐私泄露及权限过度申请五个方面,全面分析应用是否存在安全隐患。权限过度申请检测是绿色应用2.0新增的检测指标,目的在于规范应用权限获取行为,保护用户隐私。
绿色应用达标率调查报告显示,应用安全标准通过率仅为53%,接近五成应用未通过安全标准。其中儿童和拍摄美化类应用表现最好,通过率近80%,主题个性类应用表现最差,应用通过率仅11%。安全标准未通过的原因主要体现在两个方面,包括:不合理的权限申请(TargetSdkVersion≥23)和TargetSdkVersion<23。
对于TargetSdkVersion<23 的应用,系统会默认授予其申请的全部权限。恶意应用可以利用这个原理在用户无感知的情况下获取用户隐私信息,造成巨大的安全风险。目前游戏类应用TargetSdkVersion<23占比高达七成,开发者和用户需重点关注!通过提升TargetSdkVersion可以大幅改进应用安全性和性能,开发者应尽快提升应用TargetSdkVersion等级,以保护用户信息安全。详情可参考《安卓绿色联盟应用体验标准 2.0 (安全篇)》。
在不合理申请的权限中,“录音”权限申请占比最高,为30%,电话、通讯录、通话记录权限申请的应用占比超过20%,存在用户隐私泄露风险,需要开发者和用户重点关注”。下面重点分析三大典型不合理申请权限:
权限的过度申请是应用安全标准检测不通过的主要原因之一。过度申请不合理权限不仅容易降低用户的好感度,反而加大了用户隐私泄露的风险华为终端开放实验室建议开发者合理规划应用权限申请:
- 对应用合理权限的申请应当在使用时弹出,并告知用户使用该权限的场景;
- 对已经申请但是不使用的权限及时进行移除,以免带来不必要的风险;
- 对不必要的权限尽量不申请,避免涉及用户敏感信息。例如开发者可以使用跳转到拨号盘的方式来减少对android.permission.CALL_PHONE拨打用户权限的申请。
常见FAQ
Q:什么是绿色应用?
A:绿色应用即符合《安卓绿色联盟应用体验标准2.0》的应用。在2018年9月发布的华为应用市场新版本中,所有符合《安卓绿色联盟应用体验标准2.0》的应用都将标有“绿色应用”标识,该标识是应用获取高品质认证的重要体现。
Q:绿色应用在华为应用市场有什么福利?
A: (1)绿色应用会有“绿色应用”标识,引导用户进行下载;
(2)绿色应用专区为绿色应用提供展示和推荐;
(3)通过多渠道和各类活动向用户宣传绿色应用品质;
(4)耀星计划激励、首页定期推广等更多入口推荐。
本报告首发于安卓绿色联盟公号