Google Play ‐kehittäjänä sinulla on tärkeä rooli sovelluksesi ja sen käyttäjien turvallisuuden varmistamisessa. Käyttäjiä (erityisesti haavoittuvaisessa asemassa olevia ihmisiä) manipuloivien väärinkäyttökampanjoiden lisääntyessä on entistä tärkeämpää suojata käyttäjiä ja sovelluksesi eheyttä proaktiivisesti.
Tässä artikkelissa tutustutaan kahteen hyödylliseen Androidin ja Playn turvallisuusmerkintään, jotka voivat parantaa sovelluksesi suojausta: FLAG_SECURE
ja REQUIRE_SECURE_ENV
. Kun tutustut merkintöihin ja hyödynnät niitä tehokkaasti, voit estää kohdennettua väärinkäyttöä ja suojata sovelluksesi ekosysteemiä entisestään.
FLAG_SECURE
FLAG_SECURE ilmaisee, että sovellusta on tarkoitus käyttää turvallisemmassa ympäristössä, joka vähentää mahdollisia haavoittuvuuksia, valvontaa ja hyökkäyksiä. Se on sovelluksen koodissa oleva näyttömerkintä. Sillä ilmoitetaan, että UI sisältää arkaluontoista dataa, joka on tarkoitus rajoittaa vain suojatulle alustalle sovelluksen käytön aikana. Se myös ilmoittaa muille sovelluksille ja palveluille, että dataa ei saa näkyä kuvakaappauksissa tai katsoa suojaamattomilta näytöiltä. Kehittäjät käyttävät merkintää, kun sovelluksen sisältöä ei saa lähettää, katsella tai muuten siirtää sovelluksen tai käyttäjän laitteen ulkopuolelle. Jos esimerkiksi sovelluksen osa sisältää arkaluontoista dataa, joka voi aiheuttaa turvallisuusriskin, jos kolmas osapuoli (esim. etätukisovellus) näkee sen, FLAG_SECURE
on yksi tapa ilmoittaa arkaluontoisuudesta ja parantaa ympäristön turvallisuutta. Turvallisuus- ja yksityisyyssyistä kaikkien Google Playssa jaeltavien sovellusten täytyy noudattaa FLAG_SECURE-merkintää. Tämä tarkoittaa sitä, että muissa sovelluksissa olevien merkintäasetusten ohittamiseen ei ole mahdollista luoda tai tarjota keinoja.
REQUIRE_SECURE_ENV
Käyttäjää manipuloivat hyökkäykset ovat erityisen haitallisia vanhuksille ja muille haavoittuvaisille ryhmille, jotka saattavat olla alttiimpia manipuloinnille ja petoksille. Hyökkäyksissä yritetään usein huijata käyttäjiä paljastamaan arkaluontoisia tietoja, kuten salasanoja tai taloudellisia tietoja, tai lataamaan haitallista sisältöä.
Voit ehkäistä manipulointihyökkäyksiä sovelluksessasi käyttämällä FLAG_SECURE
- ja REQUIRE_SECURE_ENV
-merkintöjä. Niitä voi käyttää erikseen tai samanaikaisesti, ja ne auttavat suojaamaan haavoittuvuuksilta, joita hyökkääjät usein hyödyntävät saadakseen pääsyn henkilökohtaiseen ja arkaluontoiseen käyttäjädataan tai laitteisiin.
Vanhempien ja haavoittuvaisten ihmisryhmien suojaaminen käyttäjän manipuloinnilta
Käyttäjää manipuloivat hyökkäykset ovat erityisen haitallisia vanhuksille ja muille haavoittuvaisille ryhmille, jotka saattavat olla alttiimpia manipuloinnille ja petoksille. Hyökkäyksissä yritetään usein huijata käyttäjiä paljastamaan arkaluontoisia tietoja, kuten salasanoja tai taloudellisia tietoja, tai lataamaan haitallista sisältöä.
Voit ehkäistä manipulointihyökkäyksiä sovelluksessasi käyttämällä FLAG_SECURE
- ja REQUIRE_SECURE_ENV
-merkintöjä. Niitä voi käyttää erikseen tai samanaikaisesti, ja ne auttavat suojaamaan haavoittuvuuksilta, joita hyökkääjät usein hyödyntävät saadakseen pääsyn henkilökohtaiseen ja arkaluontoiseen käyttäjädataan tai laitteisiin.
Muut suojaustoimet
Turvallisuusmerkintöjen lisäksi sinun kannattaa harkita näitä lisätoimenpiteitä suojataksesi käyttäjiä manipuloinnilta:
- Kerro käyttäjille manipulointitaktiikoista: Näytä sovelluksessa selkeitä ja ytimekkäitä varoituksia yleisistä manipulointitekniikoista, kuten tietojenkalasteluhuijauksista ja valheellisista tukipuheluista.
- Ota käyttöön turvalliset todennusmenetelmät: Käytä tehokkaita todennusmenetelmiä, kuten kaksivaiheista vahvistusta, estääksesi luvattoman pääsyn käyttäjätileille.
- Päivitä sovelluksesi säännöllisesti: Pidä sovelluksesi ajan tasalla uusimmilla tietoturvapäivityksillä ja virheenkorjauksilla korjataksesi haavoittuvuudet, joita hyökkääjät voisivat hyödyntää.
Yhteistyö ja jatkuva oppiminen
Väärinkäytösten torjunta ja käyttäjien suojaaminen on jatkuva prosessi, joka edellyttää yhteistyötä kehittäjien, Google Playn ja muiden turvallisuuden parissa toimivien tahojen välillä. Pysy ajan tasalla parhaista turvallisuuskäytännöistä lukemalla blogiamme.
Yhdessä voimme luoda turvallisemman ja luotettavamman Android-ekosysteemin kaikille käyttäjille.
Usein kysyttyä
Laajenna tai tiivistä alla oleva kysymys klikkaamalla sitä.
Vaikuttaako näiden merkintöjen käyttäminen sovelluksiini negatiivisesti? Kuinka kauan käyttöönotto kestää?Nämä sovellukset on suunniteltu parantamaan turvallisuutta ja yksityisyyttä, ei rajoittamaan suorituskykyä. Jos sovelluksen ominaisuudet edellyttävät kuitenkin runsaasti kuvakaappausten tai näyttötallenteiden jakamista, FLAG_SECURE
voi estää kuvien tallentamisen kyseisillä sivuilla. Tässä tapauksessa on tärkeää löytää tasapaino turvallisuustarpeiden ja sujuvan käyttökokemuksen välillä. Lisäksi joissakin kolmansien osapuolten sovellusten muokkauksissa tai laajennuksissa saatetaan käyttää kuvakaappaustekniikoita, johon nämä ilmoitukset voivat vaikuttaa. Jos sovellukseesi on integroitu tällaisia työkaluja, sinun kannattaa testata yhteensopivuutta.
Käyttöönotto on yleensä nopeaa ja yksinkertaista. Yleensä se tarkoittaa muutaman koodirivin lisäämistä niille sivuille tai niihin toimintoihin, joissa haluat käyttää merkintöjä. Tarkka aika riippuu sovelluksen monimutkaisuudesta ja sivujen määrästä.
FLAG_SECURE
on ikkunatason merkintä, joka tarkoittaa, että ikkunan sisältöä käsitellään suojattuna, jolloin sitä ei näy kuvakaappauksissa tai suojaamattomilla näytöillä. REQUIRE_SECURE_ENV
puolestaan ilmaisee muille sovelluksille, että sovelluksen on toimittava turvallisessa ympäristössä. Sekä FLAG_SECURE
että REQUIRE_SECURE_ENV
ovat turvallisuusmerkintöjä, joilla voidaan suojata Android-sovelluksia/‐käyttäjiä väärinkäytöksiltä ja hyökkäyksiltä.
Kun pankkisovellus käyttää FLAG_SECURE
-merkintää kirjautumisnäytöllä, se luo erillisen ikkunan, joka suojaa arkaluontoisia tietoja, kuten käyttäjän kirjautumistietoja. Yleensä tällainen suojaus auttaa estämään ikkunan sisällön näkymisen suojaamattomilla näytöillä tai kuvakaappauksissa, tallenteissa tai etäkatseluyrityksissä. Käyttäjän kirjautumistietojen sijaan tällaisilla näytöillä saattaa näkyä vain tyhjä kohta.
Näitä merkintöjä voi käyttää esimerkiksi sovelluksissa, jotka käsittelevät henkilökohtaista ja arkaluontoista käyttäjädataa, kuten taloustietoja. Pankkisovellukset ovat esimerkkejä sovelluksista, joissa käytetään usein FLAG_SECURE
-merkintää. Jos sovellukset ovat erityisen alttiita väärinkäytölle, esimerkiksi jos ne on kohdistettu vanhuksille tai haavoittuvaisille ihmisryhmille, sinun kannattaa harkita REQUIRE_SECURE_ENV
-merkinnän käyttämistä.
Ota FLAG_SECURE-merkintä käyttöön lisäämällä seuraava rivi AndroidManifest.xml-tiedostoon:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Ota REQUIRE_SECURE_ENV
-merkintä käyttöön lisäämällä seuraava rivi AndroidManifest.xml-tiedostoosi:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>