Google Play arendajana mängite kriitilist rolli oma rakenduse ning selle kasutajate ohutuse ja turvalisuse tagamisel. Kuna tõusuteel on pahatahtlikud sotsiaalse manipuleerimise kampaaniad, eriti sellised, mis sihivad haavatavaid inimesi, on varasemast tähtsam võtta ennatlikke meetmeid oma kasutajate ja rakenduse tervikluse kaitsmiseks.
Siinses artiklis on toodud ülevaade kahest kasulikust Androidi ja Play turvalipust, mis võivad teie rakenduse turvalisust täiustada: FLAG_SECURE ja REQUIRE_SECURE_ENV. Nende lippude mõistmine ja tõhus kasutamine võib aidata teil võidelda sihitud kuritarvituse vastu ning paremini kaitsta oma rakenduse ökosüsteemi.
FLAG_SECURE
FLAG_SECURE annab märku, et teie rakendus on mõeldud toimima turvalisemas keskkonnas, vähendades võimalike ohuallikatega seotud riske ning jälgimistegevuse ja rünnakute ohtu. See on rakenduse koodis deklareeritud kuvamislipp, mis näitab, et rakenduse kasutajaliides sisaldab delikaatseid isikuandmeid, mis tuleb rakenduse kasutamisel eraldada turvalisele platvormile. See annab teistele rakendustele ja teenustele märku, et andmeid ei tohi kuvada ekraanipiltidel ega vaadata ebaturvalistel ekraanidel. Arendajad deklareerivad selle lipu, kui rakenduse sisu ei tohi edastada, vaadata ega muul moel rakendusest või kasutaja seadmest väljaspool üle kanda. Näiteks kui mõni teie rakenduse kuva sisaldab delikaatseid isikuandmeid, mille kuvamine kolmanda osapoole (nt kaugtoe rakenduse) poolt võib kujutada ohtu turvalisusele, on FLAG_SECURE üks viis, kuidas selline delikaatsus deklareerida ja aidata tagada turvaline keskkond. Turvalisuse ja privaatsuse huvides peavad kõik Google Plays levitatavad rakendused järgima deklaratsiooni FLAG_SECURE, sealhulgas mitte soodustama lipu seadetest möödahiilimist teistes rakendustes ega looma võimalusi selliseks möödahiilimiseks.
REQUIRE_SECURE_ENV
Sotsiaalse manipuleerimise rünnakud ohustavad eriti eakaid inimesi ja teisi haavatavaid rühmasid, kes võivad olla vastuvõtlikumad manipuleerimisele ja pettustele. Sellised rünnakud hõlmavad sageli kasutajatelt delikaatse teabe väljapetmist (nagu paroolid või finantsandmed) või nende meelitamist pahatahtlikku sisu alla laadima.
Kui juurutate lipud FLAG_SECURE ja REQUIRE_SECURE_ENV, võite vähendada sotsiaalse manipuleerimise rünnakute riski oma rakenduses. Nende lippude kasutamine eraldi või koos aitab luua kaitse nõrkuste vastu, mida ründajad sageli ära kasutavad, et saada juurdepääs kasutajate delikaatsetele isikuandmetele või seadmetele.
Eakate kasutajate ja haavatavate inimeste kaitsmine pahatahtliku sotsiaalse manipuleerimise eest
Sotsiaalse manipuleerimise rünnakud ohustavad eriti eakaid inimesi ja teisi haavatavaid rühmasid, kes võivad olla vastuvõtlikumad manipuleerimisele ja pettustele. Sellised rünnakud hõlmavad sageli kasutajatelt delikaatse teabe väljapetmist (nagu paroolid või finantsandmed) või nende meelitamist pahatahtlikku sisu alla laadima.
Kui juurutate lipud FLAG_SECURE ja REQUIRE_SECURE_ENV, võite vähendada sotsiaalse manipuleerimise rünnakute riski oma rakenduses. Nende lippude kasutamine eraldi või koos aitab luua kaitse nõrkuste vastu, mida ründajad sageli ära kasutavad, et saada juurdepääs kasutajate delikaatsetele isikuandmetele või seadmetele.
Lisameetmed kaitseks
Peale turvalippude kasutamise kaaluge ka järgmiste lisameetmete võtmist, et aidata kaitsta oma kasutajaid pahatahtliku sotsiaalse manipuleerimise eest.
- Teavitage kasutajaid sotsiaalse manipuleerimise taktikatest: esitage oma rakenduses selgeid ja lühikesi hoiatusi sotsiaalse manipuleerimise levinud meetodite kohta, nagu andmepüügipettused ja imiteeritud klienditoe kõned.
- Võtke kasutusele turvalised autentimislahendused: rakendage kasutajate kontodele volitamata juurdepääsu ennetamiseks tugevad autentimismeetodid, nagu kaheastmeline autentimine.
- Värskendage oma rakendust regulaarselt: hoidke oma rakendus ajakohasena uusimate turbepaikade ja veaparanduste abil, mis sihivad võimalikke nõrkusi, mida ründajad võivad ära kasutada.
Koostöö ja pidev teadmiste täiendamine
Kuritarvitamise vastu võitlemine ja kasutajate kaitsmine on pidev tegevus, mis nõuab koostööd arendajate, Google Play ja laiema turbekogukonna vahel. Turvalisuse heade tavadega kursis püsimiseks lugege meie ohutuse ja turvalisuse blogi.
Koos töötades saame luua kõigi kasutajate jaoks turvalisema ja usaldusväärsema Androidi ökosüsteemi.
Korduma kippuvad küsimused
Klõpsake allolevatel küsimustel, et neid laiendada või ahendada.
Kas nende lippude kasutamisel on minu rakendusele negatiivne mõju? Kui kaua võtab nende juurutamine?Need lipud on mõeldud parandama turvalisust ja privaatsust, mitte toimivust pärssima. Siiski, kui teie rakenduse funktsioonid põhinevad suuresti ekraanipiltide või ekraanisalvestiste jagamisel, võib lipu FLAG_SECURE seadistamine takistada asjaomastel lehtedel nende visuaalide jäädvustamist. Sellisel juhul on oluline leida tasakaal turvavajaduste ja kasutuskogemuse vahel. Samuti võivad need lipud mõjutada teatud ekraanisalvestusmeetoditel põhinevaid kolmanda osapoole rakenduse kohandusi või laiendusi. Kui teie rakendusel on integratsioone selliste tööriistadega, on mõttekas katsetada nende ühilduvust.
Juurutusprotsess on üldiselt kiire ja lihtne. Tavaliselt hõlmab see mõne koodirea lisamist asjakohastele lehtedele või tegevustele, kus soovite lippe rakendada. Selleks kuluv täpne aeg oleneb teie rakenduse keerukusest ja asjaomaste lehtede arvust.
FLAG_SECURE on aknataseme lipp, mille seadistamise korral annab see märku, et akna sisu tuleb käsitada turvalisena ja ennetada selle ilmumist ekraanipiltidel või kuvamist ebaturvalistel ekraanidel. Seevastu REQUIRE_SECURE_ENV annab teistele rakendustele märku, et teie rakendust tuleb käitada turvalises keskkonnas. Nii FLAG_SECURE kui ka REQUIRE_SECURE_ENV on turvalipud, mida võib kasutada Androidi rakenduste ning kasutajate kaitsmiseks kuritarvituse ja rünnakute eest.
Kui pangarakendus kasutab oma sisselogimiskuval lippu FLAG_SECURE, loob see spetsiaalse akna, mis kaitseb delikaatset teavet, nagu kasutaja pääsumandaat. Reeglina aitab see kaitsemeede ennetada akna sisu kuvamist ebaturvalistel ekraanidel või selle jäädvustamist ekraanipiltidele, salvestistele või katseid kuvada sisu kaugvaates. Sellist tüüpi kuvadel võite seega kasutaja sisselogimisandmete asemel näha tühja ala.
Neid lippe võiksid kasutada näiteks rakendused, mis töötlevad kasutajate isikuandmeid ja muud delikaatset teavet, nagu finantsandmeid. Lippu FLAG_SECURE kasutavad tavaliselt näiteks pangarakendused. Rakendused, mis on kuritarvituse suhtes eriti haavatavad, nagu rakendused, mille sihtrühm on eakad või haavatavad inimesed, võiksid samuti kaaluda lipu REQUIRE_SECURE_ENV kasutamist.
Lipu FLAG_SECURE juurutamiseks lisage oma faili AndroidManifest.xml järgmine rida.
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Lipu REQUIRE_SECURE_ENV juurutamiseks lisage oma faili AndroidManifest.xml järgmine rida.
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>