Proteggere l'app e contrastare gli abusi con i flag di sicurezza FLAG_SECURE e REQUIRE_SECURE_ENV

In qualità di sviluppatore di Google Play, il tuo ruolo è fondamentale per garantire la sicurezza della tua app e dei suoi utenti. Con l'aumento delle campagne di abusi di ingegneria sociale, che prendono di mira in particolare le persone vulnerabili, è più importante che mai adottare misure proattive per proteggere i tuoi utenti e l'integrità della tua app.

Questo articolo fornisce una panoramica di due flag di sicurezza di Android e Google Play utili per migliorare la sicurezza della tua app: FLAG_SECURE e REQUIRE_SECURE_ENV. Se comprendi e utilizzi questi flag in modo efficace, puoi contribuire a contrastare gli abusi mirati e salvaguardare ulteriormente l'ecosistema della tua app.

FLAG_SECURE

FLAG_SECURE indica che la tua app è stata progettata per essere eseguita in un ambiente più sicuro, mitigando potenziali vulnerabilità e monitorando gli attacchi. Si tratta di un flag di visualizzazione dichiarato nel codice di un'app per indicare che la sua UI contiene dati sensibili che devono essere limitati a una piattaforma sicura durante l'utilizzo dell'app, segnalando ad altre app e servizi che i dati non devono essere mostrati in screenshot o in visualizzazioni non sicure. Gli sviluppatori dichiarano questo flag quando i contenuti dell'app non devono essere trasmessi, visualizzati né altrimenti inviati al di fuori dell'app o del dispositivo dell'utente. Ad esempio, se una schermata dell'app contiene dati sensibili che potrebbero rappresentare un rischio per la sicurezza se visualizzati da una terza parte, come un'app di assistenza remota, FLAG_SECURE è un modo per dichiarare la sensibilità e contribuire a fornire un ambiente sicuro.  Per ragioni di sicurezza e privacy, tutte le app distribuite su Google Play devono rispettare FLAG_SECURE, quindi non devono agevolare o creare soluzioni alternative per bypassare le impostazioni dei flag in altre app.

REQUIRE_SECURE_ENV

Gli attacchi di ingegneria sociale sono particolarmente preoccupanti per la popolazione anziana e per altri gruppi di persone vulnerabili che potrebbero essere più facili da manipolare e ingannare. Questi attacchi spesso consistono nell'indurre con l'inganno gli utenti a fornire informazioni sensibili, come password o dati finanziari, o a scaricare contenuti dannosi.

Implementando i flag FLAG_SECURE e REQUIRE_SECURE_ENV, puoi contribuire a mitigare gli attacchi di ingegneria sociale all'interno della tua app. Questi flag possono essere usati in modo indipendente o simultaneo per prevenire le vulnerabilità che i malintenzionati spesso sfruttano per ottenere l'accesso a dispositivi o dati utente personali e sensibili.

Proteggere gli utenti anziani e le popolazioni vulnerabili dagli abusi di ingegneria sociale

Gli attacchi di ingegneria sociale sono particolarmente preoccupanti per la popolazione anziana e per altri gruppi di persone vulnerabili che potrebbero essere più facili da manipolare e ingannare. Questi attacchi spesso consistono nell'indurre con l'inganno gli utenti a fornire informazioni sensibili, come password o dati finanziari, o a scaricare contenuti dannosi.

Implementando i flag FLAG_SECURE e REQUIRE_SECURE_ENV, puoi contribuire a mitigare gli attacchi di ingegneria sociale all'interno della tua app. Questi flag possono essere usati in modo indipendente o simultaneo per prevenire le vulnerabilità che i malintenzionati spesso sfruttano per ottenere l'accesso a dispositivi o dati utente personali e sensibili.

Misure di protezione aggiuntive

Oltre all'utilizzo dei flag di sicurezza, prendi in considerazione l'idea di integrare queste misure aggiuntive per proteggere i tuoi utenti dagli abusi di ingegneria sociale:

  • Educa gli utenti sulle tattiche di ingegneria sociale. All'interno dell'app, fornisci avvisi chiari e concisi sulle tecniche di ingegneria sociale più comuni, come le frodi di phishing e le chiamate di assistenza false.
  • Implementa meccanismi di autenticazione sicuri. Utilizza metodi di autenticazione efficaci, come l'autenticazione a due fattori, per impedire l'accesso non autorizzato agli account utente.
  • Aggiorna regolarmente la tua app. Mantieni l'app aggiornata con le patch di sicurezza e le correzioni dei bug più recenti per risolvere le potenziali vulnerabilità che potrebbero essere sfruttate dai malintenzionati.

Collaborazione e istruzione continua

La lotta contro gli abusi e la protezione degli utenti sono processi continui che richiedono la collaborazione tra sviluppatori, Google Play e la vasta community di aziende e persone interessate alla sicurezza. Rimani al corrente delle best practice per la sicurezza leggendo i nostri post del blog su protezione e sicurezza.

Collaborando possiamo creare un ecosistema Android più sicuro e affidabile per tutti gli utenti.

Domande frequenti

Fai clic su una domanda di seguito per espanderla o comprimerla.

L'utilizzo di questi flag influirà negativamente sulle mie app? Quanto tempo ci vorrà per l'implementazione?

Questi flag sono progettati per migliorare la sicurezza e la privacy, non per ostacolare il rendimento. Tuttavia, se le funzionalità della tua app fanno molto affidamento sulla condivisione di screenshot o registrazioni dello schermo, l'impostazione di FLAG_SECURE potrebbe impedire agli utenti di acquisire queste immagini in pagine specifiche. In questo caso è importante trovare un equilibrio tra le esigenze di sicurezza e l'esperienza utente. Inoltre, alcune personalizzazioni o estensioni di app di terze parti potrebbero fare affidamento su metodi di acquisizione schermo interessati da questi flag. Se la tua app prevede l'integrazione di questi strumenti, è importante eseguire test di compatibilità.

In genere, il processo di implementazione è rapido e semplice. Di solito comporta l'aggiunta di alcune righe di codice alle pagine o attività in cui vuoi applicare i flag. Il tempo esatto dipende dalla complessità dell'app e dal numero di pagine interessate.

Qual è la differenza tra i flag FLAG_SECURE e REQUIRE_SECURE_ENV?

FLAG_SECURE è un flag che si applica a livello di finestra e che, se impostato, indica di considerare i contenuti della finestra come sicuri, impedendo che vengano mostrati negli screenshot o in visualizzazioni non sicure. REQUIRE_SECURE_ENV, invece, indica alle altre app che la tua app deve essere eseguita in un ambiente sicuro. FLAG_SECURE e REQUIRE_SECURE_ENV sono entrambi flag di sicurezza che possono essere utilizzati per proteggere le app o gli utenti Android da abusi e attacchi.

Quale potrebbe essere un esempio del corretto funzionamento di FLAG_SECURE?

Quando FLAG_SECURE viene utilizzato nella schermata di accesso di un'app di servizi bancari, crea una finestra speciale che protegge le informazioni sensibili, come le credenziali di accesso dell'utente. Come regola generale, questa protezione aiuta a evitare che i contenuti della finestra vengano mostrati in visualizzazioni non sicure o in screenshot, registrazioni o tentativi di visualizzazione da remoto. Di conseguenza, su questi tipi di visualizzazioni, al posto dei i dati di accesso di un utente si potrebbe vedere un'area vuota.

Quali tipi di app potrebbero utilizzare i flag FLAG_SECURE e REQUIRE_SECURE_ENV?

Tra le app che possono utilizzare questi flag ci sono, ad esempio, le app che gestiscono dati utente personali e sensibili, come i dati finanziari. Le app di servizi bancari sono un esempio di app che utilizzano comunemente FLAG_SECURE. Le app particolarmente esposte agli abusi, ad esempio quelle rivolte a persone anziane o vulnerabili, dovrebbero valutare di utilizzare anche il flag REQUIRE_SECURE_ENV.

L'utilizzo di questi flag influirà negativamente sulle mie app? Quanto tempo ci vorrà per l'implementazione?

Per implementare il flag FLAG_SECURE, aggiungi la seguente riga al tuo file AndroidManifest.xml:

XML

<activity android:name=".MyActivity"
          android:exported="true"
          android:windowSoftInputMode="adjustPan">
  <intent-filter>
    <action android:name="android.intent.action.MAIN" />
    <category android:name="android.intent.category.LAUNCHER" />
  </intent-filter>
</activity>

Per implementare il flag REQUIRE_SECURE_ENV, aggiungi la seguente riga al tuo file AndroidManifest.xml:

XML

<manifest ...>
  <application ...>
        …

    <property android:name="REQUIRE_SECURE_ENV" android:value="1" />

    …


  •   </application>
    </manifest>

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
16606981641897588699