本次政策于2024年5月15日进行公示,公示期14天。2024年5月30日起,小米应用商店将严格按照该标准陆续对库内应用巡查、对新增及更新应用检测,一旦发现风险问题将进行相关处置。
一、定义
粘性广播是一种特殊类型的广播,发送后仍会保留在系统消息容器中,接收者在广播发送后注册也可以收到此广播。(详情可参考《粘性广播》)
二、总则
基于粘性广播的定义及特点,一般来说,粘性广播的使用可能会导致敏感数据泄露、数据遭到篡改、未经授权的访问以执行另一个应用的行为。而如需发送粘性广播,应用只需拥有 android.permission.BROADCAST_STICKY 权限即可。由于粘性广播API存在许多安全性相关的缺点,因此在 Android 5.0(API 级别 21)中已废弃,但依然有应用声明使用。
为保障用户的隐私安全及数据安全,加强应用安全性,小米针对应用获取“粘性广播权限”(android.permission.BROADCAST_STICKY)的行为进行标准限定,制定《小米“粘性广播权限”检测标准》(以下简称:本标准),在小米设备上安装运行的应用应符合本标准要求,随着政策法规、行业规范等动态更新,小米也将定期对《小米“粘性广播权限”检测标准》进行更新。
三、原则
小米将依据本次《标准》对应用获取“粘性广播权限”(android.permission.BROADCAST_STICKY)的行为进行统一上架审核,应用上架后小米也将对其进行周期性检测,一旦发现与标准不符等滥用权限行为,将会采取包括但不限于驳回、限制更新、下架、账号封禁等处置措施。
四、范围
本标准适用于在小米设备上安装运行的应用,当应用具有获取“粘性广播权限”(android.permission.BROADCAST_STICKY)的行为,必须遵守以下标准要求。其中,获取“粘性广播权限”(android.permission.BROADCAST_STICKY)的行为包括但不限于申请、声明、使用上述权限。
五、应用审核标准
1、审核规则
本次《标准》主要针对申请以下权限的应用进行限定,请勿使用“粘性广播权限”(android.permission.BROADCAST_STICKY),包括但不限于对应用manifest文件中声明情况进行检测,若一旦发现,将会采取包括但不限于驳回、限制更新、下架、账号封禁等处置措施。
| 权限名称 | 权限级别 | 官方描述 | 具体解释 | 版本变更 |
| android.permission.BROADCAST_STICKY | normal | 允许应用程序广播粘性意图。 这些广播的数据在完成后由系统保留,以便客户端可以快速检索该数据而无需等待下一次广播。 | "android.permission.BROADCAST_STICKY "是一个用于允许 Android 应用程序发送粘性广播的权限。如果应用程序请求此权限,则它将能够发送一种持久广播,即使应用程序已经关闭或设备已重启。 | API级别1引入; API 级别 21(Android 5.0)废弃 |
2、涉及场景
本次《标准》所限定的应用场景范围包括不限于应用首次创建上架,应用更新等场景,若在检测过程中发现应用声明或使用上述权限,将采取相应处置措施。
| 场景 | 审核标准 |
| 应用首次上架 | 应用不得声明android.permission.BROADCAST_STICKY 权限,若检测出该权限,应用将会在审核时被驳回。 |
| 在架应用版本更新 | 应用不得声明android.permission.BROADCAST_STICKY 权限,若检测出该权限,则将采取包括但不限于应用审核驳回、限制更新等措施。 |
六、问题反馈
若您对小米审核处理结果及措施存在疑问或异议,可以通过下述流程进入人工客服进行问题反馈,或按格式提交邮件至developer@xiaomi.com,我们将会在3个工作日内给予答复;具体流程:
首先请您在人工客服或邮件标题处,输入“粘性广播权限+问题反馈”关键词,为了能快速全面的帮您核实应用问题,您需提供以下信息:
- 包名+应用名称+版本号+APK链接
- 申请原因/驳回原因/下架原因
- 问题反馈详细内容
- 如您有相关证明材料来证明申请/问题反馈内容的合法性、安全性和合理性,请一并附上(包括但不限于证明申请/权威机构的安全性报告,详细的法律法规标准等)