XuLaLa.Tech

Google上周揭露了 Google Play 上首批通过行动程式安全评估（Mobile App Security Assessment，简称：MASA）的 8 款 VPN 应用程序，这些程式的资料安全项目中皆已出现 MASA 标章，而且使用者于 Google Play 上搜索 VPN 应用程序时，Google 还特别替这些通过独立安全稽核的 VPN 应用程序挂出了横幅广告，提高其曝光度。

为了强化应用程序的安全性，Google 在2019年11月筹组了应用程序防护联盟（App Defense Alliance），与资安业者结盟以快速寻找Google Play 上的有害程式并阻止其发布，该联盟也在2022年初推出 MASA，鼓励开发者主动提交自己的应用程序，基于OWASP应用程序安全验证标准（MASVS）进行独立安全稽核，通过稽核的程序即可获得 MASA 标章。

或许是推动MASA的成效不佳，上周 Google 宣布将透过横幅广告来突显那些取得 MASA 标章之特定领域的程序，首作即是处理大量且敏感用户资料的VPN程序。

一旦使用者于 Google Play 上搜索 VPN 程序，率先映入眼帘的除了赞助式广告之外，就是写着「独立安全稽核」（Independent Security Review）的横幅广告，点击更多资讯之后便可直接连结至一个目录，聚集了所有具备MASA标章的VPN程序。

目前已取得MASA标章的VPN程式包括Aloha Browser + Private VPN、ExpressVPN、Google One、NordVPN、Private Internet Access VPN、SkyVPN、Tomato VPN和vpnify，而它们所通过的安全稽核涉及架构与设计、资料储存与隐私、密码的使用、身分验证与会话管理、网路通讯、平台互动及程式码品质等。

根据MASA的说明网页，审核一个程序大约需要 10 天，费用因实验室合作伙伴而异，但平均评估费用预计在 3000-6000 美元之间，MASA标章的期限则是一年。