Google上周揭露了 Google Play 上首批通过行动程式安全评估(Mobile App Security Assessment,简称:MASA)的 8 款 VPN 应用程序,这些程式的资料安全项目中皆已出现 MASA 标章,而且使用者于 Google Play 上搜索 VPN 应用程序时,Google 还特别替这些通过独立安全稽核的 VPN 应用程序挂出了横幅广告,提高其曝光度。
为了强化应用程序的安全性,Google 在2019年11月筹组了应用程序防护联盟(App Defense Alliance),与资安业者结盟以快速寻找Google Play 上的有害程式并阻止其发布,该联盟也在2022年初推出 MASA,鼓励开发者主动提交自己的应用程序,基于OWASP应用程序安全验证标准(MASVS)进行独立安全稽核,通过稽核的程序即可获得 MASA 标章。
或许是推动MASA的成效不佳,上周 Google 宣布将透过横幅广告来突显那些取得 MASA 标章之特定领域的程序,首作即是处理大量且敏感用户资料的VPN程序。
一旦使用者于 Google Play 上搜索 VPN 程序,率先映入眼帘的除了赞助式广告之外,就是写着「独立安全稽核」(Independent Security Review)的横幅广告,点击更多资讯之后便可直接连结至一个目录,聚集了所有具备MASA标章的VPN程序。
目前已取得MASA标章的VPN程式包括Aloha Browser + Private VPN、ExpressVPN、Google One、NordVPN、Private Internet Access VPN、SkyVPN、Tomato VPN和vpnify,而它们所通过的安全稽核涉及架构与设计、资料储存与隐私、密码的使用、身分验证与会话管理、网路通讯、平台互动及程式码品质等。
根据MASA的说明网页,审核一个程序大约需要 10 天,费用因实验室合作伙伴而异,但平均评估费用预计在 3000-6000 美元之间,MASA标章的期限则是一年。
