Kaip „Google Play“ kūrėjai, atliekate itin svarbų vaidmenį užtikrinant programos ir jos naudotojų saugą bei patikimumą. Populiarėjant socialinės inžinerijos piktnaudžiavimo kampanijoms, ypač nukreiptoms į pažeidžiamas gyventojų grupes, dabar kaip niekad svarbu imtis veiksmingų priemonių naudotojams ir programos vientisumui apsaugoti.
Šiame straipsnyje apžvelgiamos dvi naudingos „Android“ ir „Play“ saugos žymos, galinčios pagerinti programos saugą: FLAG_SECURE ir REQUIRE_SECURE_ENV. Suprasdami ir efektyviai naudodami šias žymas, galite padėti kovoti su tiksliniu piktnaudžiavimu ir toliau apsaugoti programos ekosistemą.
FLAG_SECURE
FLAG_SECURE nurodo, kad programa skirta vykdyti saugesnėje aplinkoje, mažinant potencialius pažeidimus, stebėjimą ir atakas. Tai programos kode apibrėžta rodoma žyma, nurodanti, kad šioje NS yra neskelbtinų duomenų, kurie gali būti rodomi tik saugioje platformoje, naudojant programą. Ši žyma nurodo kitoms programoms ir paslaugoms, kad duomenų negalima rodyti ekrano kopijose ar peržiūrėti nesaugiuose ekranuose. Kūrėjai apibrėžia šią žymą, kai programos turinio negalima transliuoti, peržiūrėti ar kitaip perduoti iš programos ar naudotojų įrenginių. Pavyzdžiui, jei programos ekrane yra neskelbtinų duomenų, kurie gali kelti pavojų saugai juos peržiūrėjus trečiajai šaliai, pvz., nuotolinio palaikymo programoje, FLAG_SECURE yra vienas būdų nurodyti, kad duomenys yra neskelbtini, ir padėti kurti saugią aplinką. Siekiant užtikrinti saugą ir privatumą, visose sistemoje „Google Play“ platinamose programose būtina atsižvelgti į FLAG_SECURE, tai reiškia, kad nereikia ieškoti palengvinimų ar priemonių, kaip apeiti žymų nustatymus kitose programose.
REQUIRE_SECURE_ENV
Socialinės inžinerijos atakos ypač dažnai nukreipiamos į vyresnio amžiaus žmones ir kitas pažeidžiamas grupes, kurios gali būti labiau linkusios pasiduoti manipuliacijoms ir apgaulei. Šios atakos dažnai apima bandymą apgaule priversti naudotojus atskleisti neskelbtiną informaciją, pvz., slaptažodžius ar finansinę informaciją, arba atsisiųsti kenkėjiško turinio.
Įdiegę žymas FLAG_SECURE ir REQUIRE_SECURE_ENV, galite sumažinti socialinės inžinerijos atakų programoje. Šios atskirai arba kartu naudojamos žymos padeda apsisaugoti nuo pažeidžiamumo, kuriuo atakų vykdytoja dažnai pasinaudoja norėdami gauti prieigą prie asmens ir neskelbtinų naudotojų duomenų arba įrenginių.
Vyresnio amžiaus naudotojų ir pažeidžiamų gyventojų apsauga nuo piktnaudžiavimo socialine inžinerija
Socialinės inžinerijos atakos ypač dažnai nukreipiamos į vyresnio amžiaus žmones ir kitas pažeidžiamas grupes, kurios gali būti labiau linkusios pasiduoti manipuliacijoms ir apgaulei. Šios atakos dažnai apima bandymą apgaule priversti naudotojus atskleisti neskelbtiną informaciją, pvz., slaptažodžius ar finansinę informaciją, arba atsisiųsti kenkėjiško turinio.
Įdiegę žymas FLAG_SECURE ir REQUIRE_SECURE_ENV, galite sumažinti socialinės inžinerijos atakų programoje. Šios atskirai arba kartu naudojamos žymos padeda apsisaugoti nuo pažeidžiamumo, kuriuo atakų vykdytoja dažnai pasinaudoja norėdami gauti prieigą prie asmens ir neskelbtinų naudotojų duomenų arba įrenginių.
Papildomos apsaugos priemonės
Be saugos žymų naudojimo, apsvarstykite galimybę įtraukti toliau nurodytas papildomas priemones, kurios padės apsaugoti naudotojus nuo piktnaudžiavimo socialine inžinerija.
- Naudotojų mokymas apie socialinės inžinerijos taktikas: programoje pateikite aiškius ir glaustus perspėjimus apie dažniausiai naudojamus socialinės inžinerijos metodus, pvz., sukčiavimo aferas ir netikrus palaikymo skambučius.
- Įdiekite saugius autentifikavimo mechanizmus: naudokite patikimus autentifikavimo metodus, pvz., dviejų veiksnių autentifikavimą, kad išvengtumėte neteisėtos prieigos prie naudotojų paskyrų.
- Reguliariai atnaujinkite programą: atnaujinkite programą įtraukdami naujausias saugos pataisas ir riktų pataisymus, kad pašalintumėte visus galimus pažeidimus, kuriais gali pasinaudoti atakų vykdytojai.
Bendradarbiavimas ir nuolatinis švietimas
Kova su piktnaudžiavimu ir naudotojų apsauga yra nuolatinis procesas, kuriam reikia bendradarbiavimo su kūrėjais, „Google Play“ ir platesne saugos bendruomene. Gaukite informacijos apie geriausią saugos praktiką perskaitę tinklaraštį apie saugą.
Bendradarbiaudami galime sukurti saugesnę ir patikimesnę „Android“ ekosistemą visiems naudotojams.
Dažniausiai užduodami klausimai
Spustelėkite toliau pateiktą klausimą, kad jį išskleistumėte arba sutrauktumėte.
Ar šių žymų naudojimas neigiamai paveiks programas? Kiek laiko truks diegimas?Šios žymos sukurtos siekiant pagerinti saugą ir privatumą, o ne trukdyti našumui. Tačiau, jei programos funkcijos labai priklauso nuo ekrano kopijų ar ekrano vaizdo įrašų bendrinimo, nustačius FLAG_SECURE naudotojams gali būti neleidžiama užfiksuoti šios vaizdo medžiagos tuose konkrečiuose puslapiuose. Tokiu atveju svarbu rasti kompromisą tarp saugos poreikių ir naudotojų patirties. Be to, kai kurie trečiųjų šalių programų tinkinimai ar plėtiniai gali priklausyti nuo ekrano fiksavimo metodų, kuriems gali turėti įtakos šios žymos. Jei programoje integruota tokių įrankių, verta suderinamumą išbandyti.
Diegimo procesas paprastai yra greitas ir paprastas. Paprastai tereikia pridėti kelias kodo eilutes atitinkamuose puslapiuose ar veikloje, kur norite taikyti žymas. Tikslus laikas priklauso nuo programos sudėtingumo ir susijusių puslapių skaičiaus.
FLAG_SECURE yra lango lygio žyma, kurią nustačius nurodoma laikyti lango turinį saugiu, neleisti jo rodyti ekrano kopijose ar peržiūrėti nesaugiuose ekranuose, o REQUIRE_SECURE_ENV nurodo kitoms programoms, kad programa turi būti leidžiama saugioje aplinkoje. Tiek FLAG_SECURE, tiek REQUIRE_SECURE_ENV yra saugos žymos, kurias galima naudoti siekiant apsaugoti „Android“ programas ir (arba) naudotojus nuo piktnaudžiavimo ir atakų.
Kai bankininkystės programa prisijungimo ekrane naudoja FLAG_SECURE, ji sukuria specialų langą, apsaugantį neskelbtiną informaciją, pvz., naudotojo prisijungimo duomenis. Paprastai ši apsaugos priemonė padeda užtikrinti, kad lango turinys nebūtų pateiktas nesaugiuose ekranuose ar nebūtų užfiksuotas ekrano kopijose, įrašuose ar bandant peržiūrėti nuotoliniu būdu. Todėl tokio tipo ekranuose vietoj naudotojo prisijungimo informacijos galite matyti tuščią sritį.
Keli programų, kuriose gali būti naudojamos šios žymos, pavyzdžiai yra programos, kuriose tvarkomi asmens ir neskelbtini naudotojų duomenys, pvz., finansinė informacija. Bankininkystės programos – tai keli programų, kuriose dažnai naudojama FLAG_SECURE, pavyzdžiai. Programose, kurios yra itin pažeidžiamos dėl piktnaudžiavimo, pvz., programose, taikomose vyresnio amžiaus žmonėms ar pažeidžiamoms gyventojų grupėms, taip pat verta apsvarstyti galimybę naudoti žymą REQUIRE_SECURE_ENV.
Jei norite įdiegti žymą FLAG_SECURE, prie failo AndroidManifest.xml pridėkite toliau pateiktą eilutę.
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Jei norite įdiegti žymą REQUIRE_SECURE_ENV, prie failo AndroidManifest.xml pridėkite toliau pateiktą eilutę.
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>