По оценке Google, в настоящее время трафик по умолчанию шифруют 80% приложений из каталога Google Play. Показатель программ, ориентированных на Android 9 и 10, еще выше — 90%.

Для защиты Android-устройств от перехвата трафика в 2016 году, с выходом версии 7 мобильной ОС, был введен дефолтный запрет приложениям на прием SSL-сертификатов сверх стандартного списка доверия, заложенного в систему. Одновременно компания Google запустила опцию Network Security Configuration, позволяющую разработчикам приложений объявлять политику сетевой безопасности в конфигурационном файле, добавляя свои сертификаты на время отладки для определенных доменов или соединений.

С выпуском Android 9 соединения, не защищенные шифрованием, стали блокироваться по умолчанию — до этого они еще были возможны. А с 1 ноября этого года на Google Play начали требовать, чтобы все новые продукты и обновления были заточены под Android 9 или выше. В новейших версиях Android Studio и консоли разработчика на Google Play предусмотрен вывод предупреждения о ненадежности сетевых настроек — на тот случай, к примеру, когда приложение допускает передачу данных открытым текстом для всех доменов или принимает добавленный пользователем сертификат не только в режиме отладки. В Google ожидают, что все эти меры помогут добиться намеченной цели — внедрения HTTPS в масштабах всей экосистемы Android.

Вынуждая разработчиков Android-программ следовать общему тренду, Google и сама ограничивает использование ненадежных соединений в своих продуктах. Так, согласно последнему отчету о прозрачности компании, использование HTTPS в Chrome уже достигло 95%, однако реальные показатели сильно зависят от платформы. На Android, например, в браузере Google по HTTPS загружаются 89% страниц в Интернете, на Windows — 84%.

Категории: Кибероборона