Google上周揭露了Google Play上首批通过行动程式安全评估(Mobile App Security Assessment,MASA)的8款VPN程式,这些程式的资料安全项目中皆已出现MASA标章,而且使用者于Google Play上搜寻VPN程式时,Google还特别替这些通过独立安全稽核的VPN程式祭出了横幅广告,提高其曝光度。
为了强化行动程式的安全性,Google在2019年11月筹组了应用程式防护联盟(App Defense Alliance),与资安业者结盟以快速寻找Google Play上的有害程式并阻止其发布,该联盟也在2022年初推出MASA,鼓励开发者主动提交自己的行动程式,基于OWASP行动程式安全验证标准(MASVS)进行独立安全稽核,通过稽核的程式即可获得MASA标章。
或许是推动MASA的成效不彰,上周Google宣布将透过横幅广告来突显那些取得MASA标章之特定领域的程式,首作即是处理大量且敏感用户资料的VPN程式。
一旦使用者于Google Play上搜寻VPN程式,率先映入眼帘的除了赞助式广告之外,就是写著「独立安全稽核」(Independent Security Review)的横幅广告,点击更多资讯(Learn More)之后便可直接连结至一个目录,聚集了所有具备MASA标章的VPN程式。
目前已取得MASA标章的VPN程式包括Aloha Browser + Private VPN、ExpressVPN、Google One、NordVPN、Private Internet Access VPN、SkyVPN、Tomato VPN与vpnify,而它们所通过的安全稽核涉及架构与设计、资料储存与隐私、密码的使用、身分验证与会话管理、网路通讯、平台互动及程式码品质等。
根据MASA的说明网页,审核一个程式大约需要10天,费用依据不同的实验室而可能落在3,000至6,000美元之间,MASA标章的期限则是一年。