Google Play-fejlesztőként kulcsfontosságú szerepet játszol az alkalmazásod és a felhasználók biztonságának megőrzésében. A bizalomra épülő manipulációval kapcsolatos visszaélési kampányok elterjedésével – amelyek különösen a sebezhető népességet célozzák – minden eddiginél fontosabb, hogy proaktív intézkedéseket tegyél a felhasználóid és az alkalmazásod integritásának védelme érdekében.
Ez a cikk áttekintést nyújt az Android rendszer és a Play két hasznos biztonsági jelzőjéről, amelyek növelhetik az alkalmazásod biztonságát: FLAG_SECURE és REQUIRE_SECURE_ENV. Ha megérted és hatékonyan használod ezeket a jelzőket, segíthetsz a célzott visszaélések elleni küzdelemben és az alkalmazásod ökoszisztémájának biztonságosabbá tételében.
FLAG_SECURE
A FLAG_SECURE azt jelzi, hogy alkalmazásodnak biztonságosabb környezetben kell futnia, mérsékelve a potenciális biztonsági réseket, a megfigyelést és a támadásokat. Ez az alkalmazás kódjában deklarált, annak jelzésére szolgáló megjelenítési jelző, hogy az alkalmazás kezelőfelülete olyan érzékeny adatokat tartalmaz, amelyeket az alkalmazás használata közben egy biztonságos felületre célszerű korlátozni. Jelzi más alkalmazásoknak és szolgáltatásoknak, hogy az adatok nem jeleníthetők meg képernyőképen, és nem tekinthetők meg nem biztonságos kijelzőn. A fejlesztők olyankor deklarálják, amikor az alkalmazás tartalmát nem volna célszerű közvetíteni, megtekinteni vagy máshogy továbbítani az alkalmazáson vagy a felhasználó eszközén kívülre. Ha például alkalmazásod egyik képernyője olyan bizalmas adatokat tartalmaz, amelyek biztonsági kockázatot jelenthetnek, ha egy harmadik fél (például egy távoli támogatási alkalmazás) megtekinti őket, akkor a FLAG_SECURE jelző segíthet az adatok érzékenységének deklarálásában és a biztonságos környezet biztosításában.Biztonsági és adatvédelmi célokból a Google Playen terjesztett valamennyi alkalmazásnak tiszteletben kell tartania a FLAG_SECURE deklarációt – ez magában foglalja azt, hogy nem segítik más alkalmazások jelzőbeállításainak megkerülését, illetve nem hoznak létre lehetőséget erre.
REQUIRE_SECURE_ENV
A bizalomra épülő manipuláción alapuló támadások különösen az idős népességet és más sebezhető csoportokat érintik, akik jobban ki lehetnek téve a manipulációnak és megtévesztésnek. Az ilyen támadások során gyakran bizalmas információk, például jelszavak vagy pénzügyi adatok megadására vagy rosszindulatú tartalmak letöltésére bírják rá a felhasználókat.
A FLAG_SECURE és a REQUIRE_SECURE_ENV jelzők alkalmazásával elősegítheted a bizalomra épülő manipulációt alkalmazó támadások mérséklését az alkalmazásodon belül. Ezek a jelzők önállóan vagy egyidejűleg használva segítenek az olyan biztonsági rések elleni védekezésben, amelyeket a támadók gyakran kihasználnak, hogy megpróbáljanak hozzáférni személyes és bizalmas felhasználói adatokhoz vagy eszközökhöz.
Az idős és sebezhető népességbe tartozó felhasználók védelme a bizalomra épülő manipulációt alkalmazó visszaélésekkel szemben
A bizalomra épülő manipuláción alapuló támadások különösen az idős népességet és más sebezhető csoportokat érintik, akik jobban ki lehetnek téve a manipulációnak és megtévesztésnek. Az ilyen támadások során gyakran bizalmas információk, például jelszavak vagy pénzügyi adatok megadására vagy rosszindulatú tartalmak letöltésére bírják rá a felhasználókat.
A FLAG_SECURE és a REQUIRE_SECURE_ENV jelzők alkalmazásával elősegítheted a bizalomra épülő manipulációt alkalmazó támadások mérséklését az alkalmazásodon belül. Ezek a jelzők önállóan vagy egyidejűleg használva segítenek az olyan biztonsági rések elleni védekezésben, amelyeket a támadók gyakran kihasználnak, hogy megpróbáljanak hozzáférni személyes és bizalmas felhasználói adatokhoz vagy eszközökhöz.
További biztonsági intézkedések
A biztonsági jelzők használata mellett a következő kiegészítő intézkedések bevezetését is érdemes fontolóra venni, hogy megvédd a felhasználóidat a bizalomra épülő manipulációval való visszaélésekkel szemben:
- A felhasználók tájékoztatása a bizalomra épülő manipulációval kapcsolatos taktikákról: Alkalmazásodon belül küldj egyértelmű és tömör figyelmeztetéseket a bizalomra épülő manipuláció gyakori módszereiről, például az adathalász átverésekről és a hamis ügyfélszolgálati hívásokról.
- Biztonságos hitelesítési mechanizmusok bevezetése: Használj robusztus hitelesítési módszereket, például kétlépcsős azonosítást, hogy megakadályozd a felhasználói fiókokhoz való jogosulatlan hozzáférést.
- Az alkalmazás rendszeres frissítése: Tartsd naprakészen az alkalmazást a legújabb biztonsági javítókészletekkel és programhiba-javításokkal, hogy kiküszöböld a támadók által kihasználható potenciális biztonsági réseket.
Együttműködés és folyamatos oktatás
A visszaélések elleni küzdelem és a felhasználók védelme állandóan zajló folyamat, amely a fejlesztők, a Google Play és a tágabb biztonsági közösség együttműködését igényli. Biztonsági blogunkon tájékozódhatsz a bevált biztonsági módszerekről.
Együtt biztonságosabbá és megbízhatóbbá tudjuk tenni az Android-ökoszisztémát minden felhasználó számára.
Gyakori kérdések
Az egyes alábbi kérdésekre kattintva kibonthatod és összecsukhatod őket.
Negatív hatással lesz az alkalmazásaimra ezeknek a jelzőknek a használata? Mennyi ideig tart a megvalósításuk?Ezek a jelzők a biztonság és az adatvédelem javítására szolgálnak, és nem rontják a teljesítményt. Azonban ha alkalmazásod funkciói nagymértékben támaszkodnak képernyőképek vagy képernyőfelvételek megosztására, a FLAG_SECURE jelző megakadályozhatja, hogy a felhasználók ilyeneket rögzítsenek adott oldalakon. Ebben az esetben fontos megtalálni a biztonsági igények és a felhasználói élmény egyensúlyát. Emellett egyes harmadik felektől származó alkalmazások testreszabási lehetőségei vagy bővítményei olyan képernyőrögzítési módszerekre támaszkodhatnak, amelyeket érinthetnek ezek a jelzők. Ha az alkalmazásod integrálható ilyen eszközökkel, érdemes tesztelni a kompatibilitást.
A megvalósítási folyamat általában gyors és egyszerű. Általában csak néhány sornyi kódot kell hozzáadnod azokhoz a releváns oldalakhoz vagy tevékenységekhez, amelyekre alkalmazni szeretnéd a jelzőket. A megvalósítás pontos időtartama az alkalmazás összetettségétől és az érintett oldalak számától függ.
A FLAG_SECURE ablakszintű jelző, amely a beállítása után azt jelzi, hogy az ablak tartalmát biztonságosként kell kezelni. Ezzel megakadályozza az érintett tartalom képernyőképen való megjelenését és nem biztonságos kijelzőkön való megjelenítését. A REQUIRE_SECURE_ENV pedig jelzi a többi alkalmazás számára, hogy az alkalmazásodnak biztonságos környezetben kell futnia. A FLAG_SECURE és a REQUIRE_SECURE_ENV is olyan biztonsági jelző, amely használható az Android-alkalmazások és a felhasználók megvédéséhez a visszaélésekkel és támadásokkal szemben.
Amikor egy banki alkalmazás a FLAG_SECURE jelzőt használja a bejelentkezési képernyőn, akkor egy speciális ablak jön létre, amely megvédi az olyan bizalmas adatokat, mint például a felhasználó bejelentkezési adatai. Általánosan elmondható, hogy ez a védelem segít megakadályozni, hogy az ablak tartalma nem biztonságos képernyőkön jelenjen meg, illetve hogy képernyőképeken, felvételeken vagy távoli megtekintési kísérletek során rögzítsék. A jelző használatakor a felhasználó bejelentkezési adatai helyett például üres terület jelenhet meg az ilyen típusú kijelzőkön.
Például olyan alkalmazások használják ezeket a jelzőket, amelyek személyes és bizalmas felhasználói adatokat – mint pénzügyi információkat – kezelnek. A banki alkalmazások például gyakran használják a FLAG_SECURE jelzőt. A visszaélésekkel szemben különösen sebezhető alkalmazások (pl. az időseket vagy sebezhető népességet célzó alkalmazások) esetében érdemes megfontolni a REQUIRE_SECURE_ENV jelző használatát is.
A FLAG_SECURE jelző megvalósításához add hozzá a következő sort az AndroidManifest.xml fájlhoz:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
A REQUIRE_SECURE_ENV megvalósításához add hozzá a következő sort az AndroidManifest.xml fájlhoz:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>