• 發布單位:TWCERT/CC
• 更新日期:2023-11-17
• 點閱次數:131

Google Play 日前開始在上架到該平台的 VPN（虛擬私人網路） App 欄位中，新增一個資安稽核標章，可顯示該 App 與其服務平台是否通過第三方的獨立資安認證。

Google 指出，要能在 Google Play 的 App 說明欄位中獲得此標示，App 與其服務平台必須符合 Mobile App Security Assessment (MASA) 的標準；而 MASA 則是由 App Defense Alliance (ADA) 制訂出的行動 App 資安認證標準。

MASA 的標準要求 App 與其服務平台，在資料儲存、資料隱私、加密、存取認證和工作階段管理 (session management)、網路通訊、平台互動與程式碼品質方面，都有相當嚴格的要求。

Google 會選擇 VPN App 作為首度導入 App 資安稽核標章的先導應用程式類型，主要原因是 VPN 應用程式對於使用者的資安與隱私保護深度相關，且會涉及使用者機敏資訊存取；在 Google Play 中顯示該標章的 App，即表示通過獨立第三方以 MASA 標準進行的資安認證，可為使用者提供多一層的保護與信任。

第三方資安認證廠商，會以 MASA 標準來對 App 的源碼、伺服器設定與配置進行稽核，並且試圖發現 App 中的資安錯誤與弱點，來判斷該 App 是否符合 MASA 標準，可以獲頒認證合格標章。

由於 Google Play 是屬於 Android 系統的官方 App Store，因此這個標章的推廣，對於強化 Android 平台的安全性，可以帶來正面的影響。

Google 目前要求所有在 Google Play 上架的 VPN App，都必須通過該認證；目前已通過第三方 MASA 認證且獲得認證標章的 VPN app，包括 Nord VPN、Google One、ExpressVPN 等。

未來 Android 使用者在 Google Play 下載各類 App 時，建議可以選擇具有該資安認證標章的 App，以提升安全性。