Три года назад Google объявил о создании Альянса защиты приложений (App Defense Alliance, ADA) с целью «останавливать вредоносные приложения до того, как они попадут на устройства пользователей». Сегодня компания подвела итоги работы в 2022 году.
Основная цель ADA — снижение вредоносности приложений перед их публикацией в Google Play:
В рамках этой программы системы обнаружения Google Play Protect напрямую взаимодействуют с движками сканирования каждого партнера. Это генерирует новые данные о рисках приложений в процессе их постановки в очередь на публикацию. Партнеры анализируют этот набор данных и выступают в качестве дополнительной жизненно важной пары глаз перед выпуском приложения в магазин Play.
Ежедневно сканируются тысячи приложений с использованием «безопасной двусторонней связи» между Google и сторонними организациями. ESET, Lookout и Zimperium были первыми партнерами, к которым в 2022 году присоединились McAfee и Trend Micro.
Еще одна инициатива Альянса защиты приложений, которая теперь широко доступна после бета-запуска в этом году, — это Оценка безопасности мобильных приложений (Mobile App Security Assessment, MASA). В рамках этой программы разработчики «независимо проверяют свои приложения на соответствие стандарту проверки безопасности мобильных приложений (Mobile Application Security Verification Standard, MASVS) проекта OWASP по безопасности мобильных приложений».
Миссия проекта заключается в «Определении отраслевого стандарта безопасности мобильных приложений» и используется как организациями государственного, так и частного секторов как форма передовых отраслевых практик в области безопасности мобильных приложений.
Эта работа выполняется авторизованными лабораториями ADA. Существует общедоступный каталог валидации приложений, в котором указаны «дата валидации, тестовая лаборатория и отчет, показывающий все тестовые шаги / требования». На бейдже «Независимая проверка безопасности» в разделе «Безопасность данных» (Data Safety) приложения в магазине Play это отображается. Многие приложения Google прошли эту проверку, а сторонние приложения включают Roblox, Uber и PayPal.
В среднем разработчики завершают валидацию в течение месяца и устраняют две выявленные лабораторией безопасности проблемы.
Наконец, Оценка безопасности облачных приложений (Cloud App Security Assessment, CASA) фокусируется на серверной части приложений:
Фреймворк CASA предоставляет несколько уровней гарантий, по которым облачные приложения с низким уровнем риска могут быть оценены с помощью самооценки или автоматического сканирования. Для приложений, представляющих более высокий риск (например, большая пользовательская база, недавняя утечка данных или обработка высокочувствительных данных), оценка может быть проведена авторизованной лабораторией.
