As alterações pendentes na política da Play Store do Google estão trazendo várias melhorias de privacidade – mas também incluem um aprimoramento de segurança e um requisito de divulgação que merece menção.

Primeiro, há um específico proibição do uso enganoso de linguagens interpretadas como JavaScript, Python e Lua. Isso é mais um refinamento e restrição da política anterior do que uma nova regra.

A partir de 15 de outubro de 2021, o Google disse: “Estamos esclarecendo a política de abuso de dispositivo e rede para proibir aplicativos ou SDKs com linguagens interpretadas (por exemplo, JavaScript) carregados em tempo de execução por violarem quaisquer políticas do Google Play. “

Anteriormente, a política de abuso de dispositivo e rede do titã da web fornecia ampla liberdade para agir contra aplicativos que “interfiram, interrompam, danifiquem ou acessem de maneira não autorizada o dispositivo do usuário, outros dispositivos ou computadores, servidores, redes, interfaces de programação de aplicativos (APIs) ou serviços”

As políticas do Google também proíbem os aplicativos do Google Play de se modificarem ou se atualizarem fora do sistema de atualização do Google Play e de introduzir ou explorar vulnerabilidades de segurança.

Buscar código executável de fontes diferentes do Google Play também é não permitido, exceto para código executado em uma máquina virtual que tem acesso limitado ao Android APIs, como JavaScript em execução em um WebView ou navegador.

  • O Google Play exigirá rótulos de privacidade em aplicativos em 2022, quase dois anos depois da Apple
  • Temos algumas notícias realmente ruins sobre as medidas de privacidade da Apple, o Google diz aos desenvolvedores de aplicativos iOS: Isso afetará sua receita de anúncios do Google
  • A Apple começa a rejeitar aplicativos que usam SDKs de publicidade para usuários de impressões digitais
  • Atualização do aplicativo de notificação COVID-19 bloqueada pela Apple e Google sobre a localização medo da privacidade

Embora a linguagem da política do Google geralmente forneça uma justificativa para lidar com a maioria dos tipos de mau comportamento de aplicativos, a adição de uma proibição específica sobre linguagens interpretadas como JavaScript, Python e Lua sugerem a necessidade de abordar o abuso persistente.

O Google se recusou a explicar por que está implementando o aprimoramento da política, mas resultados de pesquisas publicadas por Snyk no ano passado oferecem um possível justificativa. A empresa de segurança relatou que o SDK de publicidade Mintegral – integrado por desenvolvedores de aplicativos Android e iOS em seus aplicativos para veicular anúncios – utilizou indevidamente várias APIs de plataforma nativa, bem como código JavaScript no iOS para ocultar a capacidade de comportamento malicioso.

“Descobrimos a classe MTGBaseBridgeWebView , usada em todo o O SDK, para se comunicar com JavaScript, atua como uma porta dos fundos, permitindo a invocação de funções arbitrárias do código do aplicativo nativo “, disse Snyk em uma postagem de outubro de 2020. Isso foi uma continuação de suas descobertas iniciais em agosto de 2020, que Mintegral negou .

De acordo com Snyk, Mintegral removeu o código MTGBaseBridgeWebView após a publicação do título as descobertas da empresa e o negócio de tecnologia de publicidade com base na China postou desde então sobre seu suporte para a API de atribuição SKAdNetwork da Apple - sugerindo que pode ter corrigiu as supostas violações das regras.

Perguntamos à Apple e ao Google se o SDK da Mintegral atualmente está em conformidade com as respectivas políticas da loja, mas não recebemos resposta.

A questão, no entanto, é que o JavaScript foi empregado no passado para ignorar as regras da loja de aplicativos. As possibilidades dessa abordagem foram demonstradas na conferência de segurança Black Hat em 2012, quando pesquisadores do Trustwave SpiderLabs Nicholas Percoco e Sean Schulte descreveram como encontraram uma maneira de usar uma ponte JavaScript baseada em WebView para se comunicar com APIs Android nativas. Isso permitiu que eles ativassem a funcionalidade maliciosa após serem verificados pelo scanner de malware “Bouncer” do Google Play.

A partir de meados de outubro, haverá uma proibição específica contra o uso indevido de idiomas interpretados. E talvez ajude, se o Google fizer um esforço para fazer cumprir suas regras.

Os desenvolvedores devem fornecer informações precisas relacionadas a informações pessoais ou confidenciais dados do usuário que seus aplicativos coletam, usam ou compartilham

A outra alteração de política digna de nota é que o uso de dados pessoais em aplicativos do Google Play deve ser divulgados e devem ser precisos. A atual política de dados do usuário do Google implica, mas não exige explicitamente, precisão – um requisito definido em seções separadas de declarações falsas e comportamento enganoso.

“Estamos adicionando uma nova seção de privacidade e segurança de dados ao Política de dados do usuário onde os desenvolvedores devem fornecer informações precisas relacionadas aos dados pessoais ou confidenciais do usuário que seus aplicativos coletam, usam ou compartilham “, disse o Google.

Isso deve ser acompanhado por uma política de privacidade em o aplicativo e no Google Play Console.

O requisito de divulgação precisa entra em vigor em 1º de abril de 2022, que nos EUA, no Reino Unido e em vários outros países é conhecido como Dia da Mentira Dia. ®

fonte do texto : Webficar

Tags:

androidjavacript
compartilhar no facebookcompartilhar no twitter

Ultimas Publicações

Dicas para devs react

Vou compartilhar algumas dicas para trabalhar com react, algumas boas práticas então vamos lá!

Imagem de Vem aí next.js conf

Vem aí next.js conf

Next.js irá comemorar 5 anos na sua segunda conferência global