Cerca de 90 mil programadores foram obrigados a corrigirem falhas de segurança em 275 mil aplicações para Android.
Nos últimos dois anos, no âmbito do seu programa de melhoramento de segurança , Google Play App Security Improvement – ASI, a empresa está a pressionou os programadores a corrigir problemas de segurança nas aplicações distribuídas através da sua loja de aplicações e conteúdos para dispositivos móveis.
A iniciativa abrangeu mais de 275 mil apps Android alojadas na loja oficial da criadora do sistema operativo e mais de 90 mil programadores.
Em muitos casos as medidas foram tomadas sob a ameaça de bloqueio de futuras actualizações de aplicações inseguras. Como como parte do programa ASI, em 2014, a organização começou a analisar as apps publicadas na Google Play em busca de vulnerabilidades conhecidas.
Sempre que uma vulnerabilidade é detectada num software, o programador recebe um alerta por correio electrónico e através da consola de desenvolvimento.
Quando começou, o programa apenas pesquisava aplicações com credenciais da Amazon Web Services (AWS), que eram um problema frequente na altura. A exposição às credenciais da AWS pode levar a um sério compromisso dos servidores de cloud utilizados pelas apps para armazenar dados e conteúdos dos utilizadores.
Mais tarde, a Google começou também a procurar credenciais de ficheiros “keystore”. Estes ficheiros contêm tipicamente chaves de cifra, tanto públicas como privadas, utilizadas para encriptar dados ou garantir a segurança das conexões.
Em 2015, a Google começou a identificar outro tipo de problemas e a impor prazos para resolver muitos deles.
Nos primeiros tempos do programa ASI, os programadores recebiam apenas notificações, mas não eram pressionados a tomar medidas. Em 2015, a empresa começou a identificar outro tipo de problemas e a impor prazos para resolver muitos deles.
A empresa disponibiliza informação detalhada sobre as falhas que encontra assim como orientações para as resolver. No entanto, os programadores que não conseguirem resolver os problemas dentro dos prazos definidos pela organização e podem ficar impedidos de disponibilizar novas versões das aplicações em causa através da loja electrónica.
A Google acrescentou informação sobre seis novas vulnerabilidades em 2015, todas elas com um prazo para correcção, e 17 em 2016, 12 das quais com prazos para resolução.
Até Abril de 2016, o programa ASI ajudou os programadores a resolver problemas em 100 mil aplicações. Desde então, o número praticamente triplicou. Cerca de 90 mil programadores resolveram problemas em mais de 275 mil aplicações, diz Rahul Mishra, gestor do programa de segurança para Android no blogue sobre temas de segurança da Google, na semana passada.