Kao razvojni programer Google Playa igrate ključnu ulogu u zaštiti sigurnosti svoje aplikacije i njezinih korisnika. S porastom kampanja društvenog inženjeringa, osobito onih koje ciljaju ranjive populacije, važnije je nego ikad poduzeti proaktivne mjere za zaštitu korisnika i integriteta aplikacije.
U ovom članku pružamo pregled dviju korisnih sigurnosnih oznaka Androida i Playa koje mogu poboljšati sigurnost aplikacije: FLAG_SECURE i REQUIRE_SECURE_ENV. Razumijevanjem i učinkovitom upotrebom tih oznaka možete pomoći u borbi protiv ciljane zloupotrebe i dodatno zaštititi ekosustav svoje aplikacije.
FLAG_SECURE
FLAG_SECURE signalizira da je aplikacija namijenjena za pokretanje u sigurnijem okruženju, ublažavajući potencijalne ranjivosti, nadzor i napade. To je oznaka na zaslonu navedena u kodu aplikacije, a ukazuje na to da korisničko sučelje sadržava osjetljive podatke koje se namjerava ograničiti na sigurnu platformu tijekom upotrebe aplikacije, čime se drugim aplikacijama i uslugama signalizira da se podaci ne bi trebali prikazivati na snimkama zaslona ili pregledavati na nesigurnim zaslonima. Razvojni programeri tu oznaku navode kada se sadržaj aplikacije ne smije emitirati, gledati ili na drugi način prenositi izvan aplikacije ili uređaja korisnika. Na primjer, ako zaslon u vašoj aplikaciji sadrži osjetljive podatke koji bi mogli predstavljati sigurnosni rizik ako ih pregledava treća strana, primjerice u aplikaciji za daljinsku podršku, FLAG_SECURE jedan je od načina navođenja osjetljivosti i pružanja sigurnijeg okruženja. Radi sigurnosti i privatnosti, sve aplikacije koje se distribuiraju na Google Playu moraju poštovati FLAG_SECURE, što podrazumijeva da ne omogućuju zaobilaženje odnosno ne pružaju rješenja za zaobilaženje postavki te oznake u drugim aplikacijama.
REQUIRE_SECURE_ENV
Napadi društvenog inženjeringa osobito su zabrinjavajući za stariju populaciju i druge ranjive skupine koje mogu biti podložnije manipulaciji i obmanjivanju. Ti napadi često uključuju navođenje korisnika da otkriju osjetljive podatke, kao što su zaporke ili financijski podaci, ili da preuzmu zlonamjeran sadržaj.
Implementacijom oznaka FLAG_SECURE i REQUIRE_SECURE_ENV možete ublažiti napade društvenog inženjeringa u aplikaciji. Ako se upotrebljavaju neovisno ili istovremeno, te oznake pomažu u zaštiti od ranjivosti koje napadači često iskorištavaju za pristup osobnim i osjetljivim korisničkim podacima ili uređajima.
Zaštita starijih korisnika i ranjivih skupina od zloupotrebe društvenim inženjeringom
Napadi društvenog inženjeringa osobito su zabrinjavajući za stariju populaciju i druge ranjive skupine koje mogu biti podložnije manipulaciji i obmanjivanju. Ti napadi često uključuju navođenje korisnika da otkriju osjetljive podatke, kao što su zaporke ili financijski podaci, ili da preuzmu zlonamjeran sadržaj.
Implementacijom oznaka FLAG_SECURE i REQUIRE_SECURE_ENV možete ublažiti napade društvenog inženjeringa u aplikaciji. Ako se upotrebljavaju neovisno ili istovremeno, te oznake pomažu u zaštiti od ranjivosti koje napadači često iskorištavaju za pristup osobnim i osjetljivim korisničkim podacima ili uređajima.
Dodatne mjere zaštite
Osim upotrebe sigurnosnih oznaka, razmislite o uvođenju ovih dodatnih mjera kako biste korisnike bolje zaštitili od zloupotrebe društvenim inženjeringom:
- Educirajte korisnike o taktikama društvenog inženjeringa: u aplikaciji navedite jasna i sažeta upozorenja o uobičajenim tehnikama društvenog inženjeringa, kao što su prijevare radi krađe identiteta i lažni pozivi korisničke podrške.
- Implementirajte sigurne mehanizme autentifikacije: primijenite robusne načine autentifikacije, kao što je dvostruka autentifikacija, kako biste spriječili neovlašteni pristup korisničkim računima.
- Redovito ažurirajte aplikaciju: redovito ažurirajte aplikaciju najnovijim sigurnosnim zakrpama i ispravcima programskih pogrešaka kako biste riješili sve potencijalne ranjivosti koje napadači mogu iskoristiti.
Suradnja i kontinuirano obrazovanje
Borba protiv zloupotrebe i zaštita korisnika kontinuirani je proces koji zahtijeva suradnju razvojnih programera, Google Playa i šire sigurnosne zajednice. Čitajte naš blog o sigurnosti i zaštiti da biste saznali više o najboljim primjerima iz prakse u vezi sa sigurnošću.
Suradnjom možemo stvoriti sigurniji i pouzdaniji Androidov ekosustav za sve korisnike.
Česta pitanja
Kliknite pitanje u nastavku da biste ga proširili ili saželi.
Hoće li upotreba tih oznaka negativno utjecati na moje aplikacije? Koliko će trajati implementacija?Te su aplikacije osmišljene tako da poboljšaju sigurnost i privatnost, a ne ometaju izvedbu. Međutim, ako se značajke vaše aplikacije uvelike oslanjaju na dijeljenje snimki ili videozapisa zaslona, postavljanje oznake FLAG_SECURE može spriječiti korisnike da snimaju te vizualne elemente na tim stranicama. U tom je slučaju važno uskladiti sigurnosne potrebe s korisničkim doživljajem. Također, neke prilagodbe aplikacija ili proširenja trećih strana mogu se oslanjati na metode snimanja zaslona na koje bi te oznake mogle utjecati. Ako se vaša aplikacija integrira s takvim alatima, bilo bi dobro testirati kompatibilnost.
Postupak implementacije općenito je brz i jednostavan. Obično uključuje dodavanje nekoliko redaka koda na relevantne stranice ili aktivnosti na koje želite primijeniti oznake. Točno vrijeme ovisi o složenosti vaše aplikacije i broju obuhvaćenih stranica.
FLAG_SECURE oznaka je na razini prozora koja, kada je postavljena, ukazuje na to da se sadržaj prozora treba tretirati kao siguran, čime se sprječava njegovo pojavljivanje na snimkama zaslona ili prikazivanje na nesigurnim zaslonima, dok REQUIRE_SECURE_ENV signalizira drugim aplikacijama da se vaša aplikacija mora pokrenuti u sigurnom okruženju. FLAG_SECURE i REQUIRE_SECURE_ENV sigurnosne su oznake koje se mogu upotrebljavati za zaštitu Android aplikacija i korisnika od zloupotrebe i napada.
Kad bankovna aplikacija upotrebljava FLAG_SECURE na zaslonu za prijavu, izrađuje se poseban prozor koji štiti osjetljive podatke kao što su korisnikove vjerodajnice za prijavu. Općenito govoreći, ta zaštita pomaže u sprječavanju prikazivanja sadržaja prozora na nesigurnim zaslonima ili izrade snimki zaslona i videozapisa te pokušaja daljinskog gledanja. Stoga, umjesto da vidite podatke za prijavu korisnika, možda ćete vidjeti samo prazno područje na tim vrstama zaslona.
Neki primjeri aplikacija koje mogu koristiti te oznake aplikacije su koje rukuju osobnim i osjetljivim korisničkim podacima, kao što su financijski podaci. Aplikacije za bankarstvo neki su primjeri aplikacija koje obično upotrebljavaju FLAG_SECURE. Aplikacije koje su osobito izložene zloupotrebi, kao što su aplikacije koje ciljaju starije ili ranjive populacije, trebale bi uzeti u obzir i upotrebu oznake REQUIRE_SECURE_ENV.
Da biste implementirali oznaku FLAG_SECURE, u datoteku AndroidManifest.xml dodajte sljedeći redak:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Da biste implementirali oznaku REQUIRE_SECURE_ENV, u datoteku AndroidManifest.xml dodajte sljedeći redak:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>