Android apps moeten vanaf 1 november 2022 aan nieuwe voorwaarden voldoen om op de Google Play store gepubliceerd te worden.

Google introduceert de voorwaarden om de veiligheid van eindgebruikers te verhogen. Hoognodig, want trojans verspreiden zich regelmatig via de Play Store.

1. API levels

Allereerst mogen Android apps geen API levels gebruiken die meer dan een jaar ouder zijn dan de meest recente Android release. Met andere woorden: het wordt onmogelijk om met verouderde Android platform API’s te werken.

Nieuwe apps met een verouderde platform API worden van de Play Store geweigerd. Developers van bestaande apps hebben iets meer ruimte: zij mogen API levels tot twee jaar oud gebruiken. Bestaande apps met verouderde API’s worden van de Play store verwijderd.

Developers kunnen tot zes maanden uitstel aanvragen bij Google, maar verlengingen worden niet gegarandeerd.

2. Accessibility API

Ten tweede trekt Google de teugels van de Accessibility API aan. De Accessibility API maakt het mogelijk om de devices van eindgebruikers te bedienen. Google lanceerde de API om mensen met een beperking te ondersteunen. In de praktijk wordt de API gebruikt om mensen te frauderen.

Het is niet langer toegestaan om de instellingen van gebruikers zonder toestemming te wijzigen met de Accessibility API. Daarnaast mogen gebruikers niet meer belemmerd worden in het installeren of verwijderen van een app, tenzij een administrator of voogd goedkeuring geeft. Tot slot zijn aanpassingen van privacy-instellingen en notificaties verboden.

3. REQUEST_INSTALL_PACKAGES

Diverse malware-ontwikkelaars gebruiken REQUEST_INSTALL_PACKAGES om trojans op de Play Store te verspreiden. De Android-permission maakt het mogelijk om kwaadaardige data (packages) met eindgebruikers te delen nadat een app is geïnstalleerd.

De methode gaat aan Google voorbij. Bij het scannen van dreigingen focust de techgigant voornamelijk op de installatie van een app; niet op packages. Vandaar past Google de permission aan.

Developers met toestemming mogen alleen nog maar digitaal ondertekende packages uitwisselen. Automatische updates en code-aanpassingen worden altijd geblokkeerd.

De bovengenoemde aanpassing gaat in op 11 juli 2022. De eerdergenoemde API-voorwaarden gelden vanaf 1 november 2022.

Tip: TeaBot trojan infecteerde 10.000 devices via Google Play Store