Als Google Play-Entwickler tragen Sie entscheidend zur Sicherheit Ihrer App und ihrer Nutzer bei. Da es immer mehr Social-Engineering-Kampagnen gibt, die insbesondere auf gefährdete Bevölkerungsgruppen ausgerichtet sind, ist es wichtiger denn je, proaktive Maßnahmen zum Schutz der Nutzer und der Integrität Ihrer App zu ergreifen.
Dieser Artikel bietet einen Überblick über zwei nützliche Sicherheits-Flags für Android und Google Play, die die Sicherheit Ihrer App verbessern können: FLAG_SECURE
und REQUIRE_SECURE_ENV
. Wenn Sie diese Flags verstehen und effektiv nutzen, können Sie gezielten Missbrauch verhindern und das Ökosystem Ihrer App noch besser schützen.
FLAG_SECURE
FLAG_SECURE signalisiert, dass Ihre App in einer sichereren Umgebung ausgeführt werden soll. Dadurch werden potenzielle Sicherheitslücken, Monitoring und Angriffe reduziert. Es ist ein Anzeige-Flag, das im Code einer App deklariert wird, um anzugeben, dass die Benutzeroberfläche sensible Daten enthält, die nur auf einer sicheren Oberfläche und nur während der Verwendung der App angezeigt werden sollen. So werden andere Apps und Dienste darauf hingewiesen, dass die Daten nicht in Screenshots erscheinen oder auf nicht sicheren Displays angezeigt werden dürfen. Entwickler deklarieren dieses Flag, wenn der Inhalt der App nicht außerhalb der App oder des Geräts des Nutzers angezeigt oder anderweitig übertragen werden soll. Ein Bildschirm Ihrer App kann beispielsweise sensible Daten enthalten, die ein Sicherheitsrisiko darstellen könnten, wenn ein Drittanbieter, z. B. eine Remote-Support-App, darauf zugreift. Dann ist FLAG_SECURE
eine Möglichkeit, diese Vertraulichkeit zu deklarieren und eine sichere Umgebung bereitzustellen. Aus Sicherheits- und Datenschutzgründen müssen alle auf Google Play bereitgestellten Apps FLAG_SECURE berücksichtigen. Das bedeutet, dass Apps keine Möglichkeiten zur Umgehung der Flag-Einstellungen in anderen Apps erleichtern oder schaffen dürfen.
REQUIRE_SECURE_ENV
Social-Engineering-Angriffe sind vor allem für ältere Menschen und andere gefährdete Gruppen problematisch, die anfälliger für Manipulation und Täuschung sind. Bei diesen Angriffen werden Nutzer häufig dazu verleitet, vertrauliche Informationen wie Passwörter oder Finanzdaten preiszugeben oder schädliche Inhalte herunterzuladen.
Durch die Implementierung der Flags FLAG_SECURE
und REQUIRE_SECURE_ENV
können Sie dazu beitragen, Social-Engineering-Angriffe innerhalb Ihrer App zu minimieren. Werden diese Flags unabhängig oder gleichzeitig verwendet, schützen sie vor Sicherheitslücken, die Angreifer häufig ausnutzen, um sich Zugriff auf personenbezogene und vertrauliche Nutzerdaten oder Geräte zu verschaffen.
Schutz älterer Nutzer und gefährdeter Bevölkerungsgruppen vor Missbrauch durch Social Engineering
Social-Engineering-Angriffe sind vor allem für ältere Menschen und andere gefährdete Gruppen problematisch, die anfälliger für Manipulation und Täuschung sind. Bei diesen Angriffen werden Nutzer häufig dazu verleitet, vertrauliche Informationen wie Passwörter oder Finanzdaten preiszugeben oder schädliche Inhalte herunterzuladen.
Durch die Implementierung der Flags FLAG_SECURE
und REQUIRE_SECURE_ENV
können Sie dazu beitragen, Social-Engineering-Angriffe innerhalb Ihrer App zu minimieren. Werden diese Flags unabhängig oder gleichzeitig verwendet, schützen sie vor Sicherheitslücken, die Angreifer häufig ausnutzen, um sich Zugriff auf personenbezogene und vertrauliche Nutzerdaten oder Geräte zu verschaffen.
Zusätzliche Schutzmaßnahmen
Neben der Verwendung von Sicherheits-Flags sollten Sie die folgenden zusätzlichen Maßnahmen ergreifen, um Ihre Nutzer vor Social-Engineering-Missbrauch zu schützen:
- Nutzer über Social-Engineering-Taktiken informieren: Warnen Sie in Ihrer App klar und prägnant vor gängigen Social-Engineering-Techniken wie Phishing und vorgetäuschten Supportanrufen.
- Sichere Authentifizierungsmechanismen implementieren: Setzen Sie zuverlässige Authentifizierungsmethoden wie die 2-Faktor-Authentifizierung ein, um unbefugte Zugriffe auf Nutzerkonten zu verhindern.
- App regelmäßig aktualisieren: Halten Sie Ihre App mit den neuesten Sicherheitspatches und Fehlerkorrekturen auf dem neuesten Stand, um potenzielle Sicherheitslücken zu schließen, die von Angreifern ausgenutzt werden könnten.
Zusammenarbeit und kontinuierlicher Lernprozess
Der Kampf gegen Missbrauch und der Schutz von Nutzern ist ein kontinuierlicher Prozess, der die Zusammenarbeit zwischen Entwicklern, Google Play und der Sicherheits-Community erfordert. In unserem Sicherheitsblog erhalten Sie immer aktuelle Informationen zu den Best Practices rund um das Thema Sicherheit.
Gemeinsam können wir eine vertrauenswürdige Android-Plattform mit hohen Sicherheitsstandards für alle Nutzer schaffen.
Häufig gestellte Fragen
Klicken Sie unten auf eine Frage, um sie zu maximieren oder zu minimieren.
Wirkt sich die Verwendung dieser Flags negativ auf meine Apps aus? Wie lange dauert die Implementierung?Diese Flags wurden entwickelt, um die Sicherheit und den Datenschutz zu verbessern, dabei jedoch die Leistung nicht zu beeinträchtigen. Wenn für Ihre App-Funktionen das Teilen von Screenshots oder Bildschirmaufzeichnungen entscheidend ist und Sie FLAG_SECURE
festlegen, können Nutzer diese visuellen Elemente auf diesen Seiten möglicherweise nicht aufnehmen. In diesem Fall ist es wichtig, ein Gleichgewicht zwischen Sicherheitsanforderungen und Auswirkungen auf die Nutzer zu finden. Außerdem basieren einige Anpassungen oder Erweiterungen von Drittanbieter-Apps möglicherweise auf Bildschirmaufnahmemethoden, die von diesen Flags beeinflusst werden können. Wenn sich solche Tools in Ihre App integrieren lassen, lohnt es sich, die Kompatibilität zu testen.
Die Implementierung erfolgt in der Regel schnell und unkompliziert. Dazu müssen normalerweise einige Codezeilen in die relevanten Seiten oder Aktivitäten eingefügt werden, auf die Sie die Flags anwenden möchten. Die genaue Dauer hängt von der Komplexität Ihrer App und der Anzahl der jeweiligen Seiten ab.
FLAG_SECURE
ist ein Flag auf Fensterebene, das angibt, dass der Inhalt des Fensters als sicher behandelt werden soll, wodurch verhindert wird, dass er in Screenshots erscheint oder auf unsicheren Displays angezeigt wird. REQUIRE_SECURE_ENV
signalisiert anderen Apps, dass Ihre App in einer sicheren Umgebung ausgeführt werden muss. Sowohl FLAG_SECURE
als auch REQUIRE_SECURE_ENV
sind Sicherheits-Flags, mit denen Android-Apps und ‑Nutzer vor Missbrauch und Angriffen geschützt werden können.
Wenn eine Banking-App auf ihrem Anmeldebildschirm FLAG_SECURE
verwendet, wird ein spezielles Fenster erstellt, in dem vertrauliche Informationen wie die Anmeldedaten des Nutzers geschützt werden. In der Regel verhindert dieser Schutz, dass der Inhalt des Fensters auf unsicheren Displays angezeigt oder in Screenshots, Aufzeichnungen oder Remote-Anzeigeversuchen aufgenommen wird. Es kann also sein, dass statt der Anmeldedaten eines Nutzers ein leerer Bereich auf diesen Displays angezeigt wird.
Beispiele für Apps, die diese Flags verwenden können, sind Apps, die personenbezogene und vertrauliche Nutzerdaten wie Finanzdaten verarbeiten. Banking-Apps sind Beispiele für Apps, in denen häufig FLAG_SECURE
verwendet wird. Sie sollten für Apps, die besonders anfällig für Missbrauch sind, z. B. Apps, die auf ältere Menschen oder gefährdete Bevölkerungsgruppen ausgerichtet sind, auch die Verwendung des Flags REQUIRE_SECURE_ENV
erwägen.
Um das FLAG_SECURE-Flag zu implementieren, fügen Sie die folgende Zeile in die Datei „AndroidManifest.xml“ ein:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Um das Flag REQUIRE_SECURE_ENV
zu implementieren, fügen Sie die folgende Zeile in die Datei „AndroidManifest.xml“ ein:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>