Като програмист в Google Play играете важна роля за осигуряването на безопасността и сигурността на приложението си и потребителите му. С увеличаването на злоупотребите със социално инженерство и особено кампании, насочени към уязвими групи, е по-важно от всякога да предприемете проактивни мерки за защита на потребителите си и целостта на приложението си.
В тази статия ще намерите обща информация за два полезни флага за сигурност за Android и Google Play, които могат да подобрят сигурността на приложението ви: FLAG_SECURE и REQUIRE_SECURE_ENV. Разбирайки тези флагове и използвайки ги ефективно, можете да се борите с насочени злоупотреби и да защитите допълнително екосистемата на приложението си.
FLAG_SECURE
FLAG_SECURE сигнализира, че приложението ви е предназначено да се изпълнява в по-сигурна среда, което намалява потенциалните уязвимости, наблюдение и атаки. Това е флаг за показване, деклариран в кода на дадено приложение. Той указва, че ПИ съдържа чувствителни данни, които трябва да бъдат ограничени до сигурни места, докато приложението се използва, като сигнализира на други приложения и услуги, че данните не трябва да се показват в екранни снимки, нито да се преглеждат по несигурен начин. Програмистите декларират този флаг, когато съдържанието на приложението не трябва се предава, преглежда или прехвърля по друг начин извън приложението или устройството на потребителя. Ако например екран в приложението ви съдържа чувствителни данни, които може да представляват риск за сигурността, в случай че бъдат прегледани от трета страна, като например приложение за отдалечена поддръжка, един от начините да декларирате този чувствителен характер и да осигурите защитена среда, е FLAG_SECURE. От съображения за сигурност и поверителност всички разпространявани в Google Play приложения трябва да зачитат FLAG_SECURE. Това означава да не улесняват, нито да създават начини за заобикалянето на настройките за флага в други приложения.
REQUIRE_SECURE_ENV
Атаките със социално инженерство са особено неприятни за възрастните хора и други уязвими групи, които може да са по-податливи на манипулация и измама. Тези атаки често включват подвеждане на потребителите да разкрият поверителна информация, като например пароли или финансови данни, или да изтеглят злонамерено съдържание.
Ако внедрите флаговете FLAG_SECURE и REQUIRE_SECURE_ENV, можете да помогнете за намаляването на атаките със социално инженерство в приложението си. Използвани самостоятелно или едновременно, тези флагове помагат за защитата срещу уязвимости, които хакерите често използват, за да получат достъп до лични и чувствителни потребителски данни или устройства.
Защита на възрастните потребители и уязвимите групи от злоупотреби със социално инженерство
Атаките със социално инженерство са особено неприятни за възрастните хора и други уязвими групи, които може да са по-податливи на манипулация и измама. Тези атаки често включват подвеждане на потребителите да разкрият поверителна информация, като например пароли или финансови данни, или да изтеглят злонамерено съдържание.
Ако внедрите флаговете FLAG_SECURE и REQUIRE_SECURE_ENV, можете да помогнете за намаляването на атаките със социално инженерство в приложението си. Използвани самостоятелно или едновременно, тези флагове помагат за защитата срещу уязвимости, които хакерите често използват, за да получат достъп до лични и чувствителни потребителски данни или устройства.
Допълнителни защитни мерки
Освен флаговете за сигурност можете да включите и следните допълнителни мерки, за да предпазвате потребителите си от злоупотреби със социално инженерство:
- Запознайте потребителите с тактиките за социално инженерство: Предоставете ясни и кратки предупреждения в приложението си за често срещаните техники за социално инженерство, като например измами с фишинг и фалшиви обаждания за поддръжка.
- Внедрете сигурни механизми за удостоверяване: Използвайте надеждни начини за удостоверяване, като например удостоверяване в две стъпки, за да предотвратите неупълномощен достъп до профилите на потребителите.
- Редовно актуализирайте приложението си: Поддържайте приложението си актуално с най-новите корекции за сигурност и поправки на програмни грешки, за да отстраните потенциалните уязвимости, които могат да бъдат използвани от хакерите.
Сътрудничество и постоянно обучение
Борбата със злоупотребите и защитата на потребителите са непрекъснат процес, който изисква сътрудничество между програмистите, Google Play и общността, свързана със сигурността. Получавайте актуална информация за най-добрите практики за сигурност, като четете блога ни за безопасност и сигурност.
Работейки заедно, можем да създадем по-сигурна и надеждна екосистема на Android за всички потребители.
Често задавани въпроси
Кликнете върху даден въпрос по-долу, за да го разгънете или свиете.
Използването на тези флагове ще промени ли отрицателно приложенията ми? Колко време ще отнеме внедряването?Тези приложения са създадени да подобрят сигурността и поверителността, а не да възпрепятстват ефективността. Ако обаче функциите на приложението ви разчитат в голяма степен на споделянето на екранни снимки или записи на екрана, задаването на FLAG_SECURE може да попречи на потребителите да запазват съответните визуални елементи на тези конкретни страници. В този случай е важно да се постигне баланс между нуждите за сигурност и практическата работа на потребителите. Също така някои персонализации или разширения на приложения на трети страни може да разчитат на методи за заснемане на екрана, които може да бъдат засегнати от тези флагове. Ако приложението ви се интегрира с такива инструменти, добре е да го тествате за съвместимост.
Процесът на внедряване в повечето случаи е бърз и лесен. Обикновено това включва добавянето на няколко реда код към съответните страници или активности, за които искате да приложите флаговете. Точното време зависи от сложността на приложението ви и броя на избраните страници.
FLAG_SECURE е флаг на ниво прозорец, който, когато е зададен, указва съдържанието на прозореца да се третира като сигурно, и не позволява то да се показва в екранни снимки или да бъде преглеждано по несигурни начини, а REQUIRE_SECURE_ENV сигнализира на други приложения, че приложението ви трябва да се изпълнява в защитена среда. FLAG_SECURE и REQUIRE_SECURE_ENV са флагове за сигурност, които могат да се използват за защита на приложенията за Android/потребителите от злоупотреби и атаки.
Когато приложение на банкиране използва FLAG_SECURE на екрана си за вход, то създава специален прозорец, който защитава поверителната информация, като например идентификационните данни за вход на потребителя. По принцип тази защита помага да се предотвратят показването на съдържанието на прозореца по несигурен начин, заснемането му в екранни снимки, записването му, както и опитите да бъде прегледано отдалечено. Така че вместо да видите данните за вход на потребителя, в тези случаи може да се показва само празно поле.
Възможно е тези флагове да бъдат използвани например от приложения, които обработват лични и поверителни потребителски данни, като например финансова информация. Приложенията за банкиране например често използват FLAG_SECURE. Приложенията, които са особено уязвими от злоупотреби, като например приложения, насочени към възрастни хора или уязвими групи, също трябва да използват флага REQUIRE_SECURE_ENV.
За да внедрите флага FLAG_SECURE, добавете следния ред към файла AndroidManifest.xml:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
За да внедрите флага REQUIRE_SECURE_ENV, добавете следния ред във файла AndroidManifest.xml:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>