Google 三年前開始加緊保護 Android 裝置至網頁服務的網路流量。根據 Google 提供的最新資訊,已經有 80% 的 Android 應用程式預設採用 HTTPS 標準。HTTPS 可加密網路流量,避免第三方由應用程式攔截資料。
Google 向 Android 應用程式開發人員提供各種工具,協助確保應用程式流量利用傳輸層安全性 (TLS) 通訊協定加密,讓透過 HTTPS 或 HTTP 的 HTTP 通訊安全性「安全無虞」。這項新增的安全功能,對經常連線至機場及咖啡廳等未受信任或開放式 Wi-Fi 網路的裝置特別重要。
從 2018 年初的 0% 開始,過去一年來預設加密流量的應用程式比例穩定上升,在 2019 年 10 月達到 80%。Google 推出名為網路安全性設定 (Network Security Configuration) 的 HTTPS 功能,在 2016 年與 Android 7 Nougat 一同上市;這項功能基本上是一個設定檔,可讓應用程式開發人員定義應用程式的網路安全政策,讓網路流量只有在加密後才能傳送。
此外 2018 年的 Android 9 Pie,則預設禁止應用程式允許每個網域的未加密連線。不過有一點值得注意,就是所有 Android 9 應用程式,目前有 90% 是透過 HTTPS 加密網路流量。
[Android 安全:在 Google Play 商店點選詐騙應用程式]
這項數據只會繼續上升,因為 Google 近期變更規則,要求所有應用程式更新及 Google Play 商店的新應用程式,要以 Android 9 以上版本為目標。由於目前大部分 Android 應用程式網路流量依據預設均安全無虞,因此如有任何使用未加密連線的情形,就是應用程式開發人員所做的決定。
為了簡化支援加密流量,最新版的 Android Studio 及 Google Play 發佈前測試報告,在應用程式包含可能不安全的網路安全性設定時,會向開發人員提出警告 (例如允許所有網域的未加密流量,或在除錯模式以外接受使用者提供的憑證)。
維護 Android 應用程式及安裝的安全
對於以 Android 9 以上版本為目標的應用程式,所有網路流量均預設加密。平台將僅信任標準 Android CA 中的機構所發佈的憑證。
[Android Menace 幕後消息:惡意應用程式]
應用程式開發人員在開發行動應用程式時,應設計實作安全功能,以確保服務的隱私及安全性。使用者除了由官方商店安裝應用程式,也建議留意透過不安全連線所接收的資料,因為資料在傳輸期間可能遭到竄改。
使用者也可考慮使用多層次行動安全解決方案,以避免廣告軟體及其他可能非必要應用程式 (PUA) 安裝至裝置。以下是維護行動使用安全的其他方式:
- 限制向應用程式及網站提供的個人資訊
- 管理裝置中的隱私權設定
- 避免連線至不安全的網路
- 定期更新作業系統及已安裝的應用程式
◎原文來源: Mobile Security: 80% of Android Apps Now Encrypt Network Traffic by Default