Jums kā Google Play izstrādātājam ir būtiska loma savas lietotnes un tās lietotāju drošības un aizsardzības nodrošināšanā. Arvien biežāk ir sastopamas ļaunprātīgas sociālās inženierijas kampaņas, kas īpaši vērstas pret neaizsargātām iedzīvotāju grupām, tādēļ ir svarīgāk nekā jebkad agrāk veikt proaktīvus pasākumus, lai aizsargātu lietotājus un lietotnes integritāti.
Šajā rakstā ir sniegts kopsavilkums par diviem noderīgiem Android un Play drošības karodziņiem, kas var uzlabot jūsu lietotnes drošību: FLAG_SECURE un REQUIRE_SECURE_ENV. Izprotot un efektīvi izmantojot šos karodziņus, varat cīnīties pret mērķtiecīgu ļaunprātīgu izmantošanu un labāk aizsargāt savas lietotnes ekosistēmu.
FLAG_SECURE
FLAG_SECURE norāda, ka lietotni ir paredzēts palaist drošākā vidē, lai mazinātu iespējamu ievainojamību, uzraudzību un uzbrukumus. Tas ir lietotnes kodā deklarēts attēlojuma karodziņš, kas norāda, ka lietotāja saskarnē ir sensitīvi dati, kuri lietotnes izmantošanas laikā jāapstrādā drošā platformā, norādot citām lietotnēm un pakalpojumiem, ka datus nedrīkst rādīt ekrānuzņēmumos vai skatīt nedrošos displejos. Izstrādātāji deklarē šo karodziņu, ja lietotnes saturu nedrīkst apraidīt, skatīt vai citā veidā pārsūtīt ārpus lietotnes vai lietotāja ierīces. Piemēram, ja jūsu lietotnes ekrānā ir sensitīvi dati, kas var apdraudēt drošību, ja tos skata trešā puse (piemēram, attāla atbalsta lietotne), FLAG_SECURE ir viens no veidiem, kā norādīt šo sensitivitāti un gādāt par drošu vidi. Lai saglabātu drošību un konfidencialitāti, visām pakalpojumā Google Play izplatītajām lietotnēm ir jāievēro FLAG_SECURE norādījums, tostarp tās nedrīkst atvieglot vai radīt tādus risinājumus, kas ļautu apiet karodziņa iestatījumu citās lietotnēs.
REQUIRE_SECURE_ENV
Sociālās inženierijas uzbrukumi īpaši skar vecāka gadagājuma iedzīvotājus un citas neaizsargātas grupas, kas var būt vairāk pakļautas manipulēšanai un maldināšanai. Šajos uzbrukumos bieži vien lietotāji tiek maldināti, lai tie atklātu sensitīvu informāciju, piemēram, paroles vai finanšu datus, vai arī lejupielādētu ļaunprātīgu saturu.
Ieviešot karodziņus FLAG_SECURE un REQUIRE_SECURE_ENV, varat palīdzēt mazināt sociālās inženierijas uzbrukumus savā lietotnē. Atsevišķi vai kopā izmantoti karodziņi palīdz aizsargāties pret ievainojamību, ko uzbrucēji bieži izmanto, lai iegūtu piekļuvi lietotāju personas un sensitīviem datiem vai ierīcēm.
Vecāka gadagājuma lietotāju un neaizsargātu iedzīvotāju grupu aizsardzība pret ļaunprātīgiem sociālās inženierijas uzbrukumiem
Sociālās inženierijas uzbrukumi īpaši skar vecāka gadagājuma iedzīvotājus un citas neaizsargātas grupas, kas var būt vairāk pakļautas manipulēšanai un maldināšanai. Šajos uzbrukumos bieži vien lietotāji tiek maldināti, lai tie atklātu sensitīvu informāciju, piemēram, paroles vai finanšu datus, vai arī lejupielādētu ļaunprātīgu saturu.
Ieviešot karodziņus FLAG_SECURE un REQUIRE_SECURE_ENV, varat palīdzēt mazināt sociālās inženierijas uzbrukumus savā lietotnē. Atsevišķi vai kopā izmantoti karodziņi palīdz aizsargāties pret ievainojamību, ko uzbrucēji bieži izmanto, lai iegūtu piekļuvi lietotāju personas un sensitīviem datiem vai ierīcēm.
Papildu aizsardzības pasākumi
Papildus drošības karodziņu lietošanai apsveriet iespēju ieviest tālāk norādītos papildu pasākumus, lai palīdzētu aizsargāt lietotājus pret ļaunprātīgiem sociālās inženierijas uzbrukumiem.
- Lietotāju informēšana par sociālās inženierijas taktiku: lietotnē nodrošiniet skaidrus un kodolīgus brīdinājumus par izplatītiem sociālās inženierijas paņēmieniem, piemēram, pikšķerēšanu un viltus atbalsta zvaniem.
- Drošu autentifikācijas mehānismu ieviešana: lai novērstu neatļautu piekļuvi lietotāju kontiem, izmantojiet efektīvas autentifikācijas metodes, piemēram, divpakāpju autentifikāciju.
- Regulāra lietotnes atjaunināšana: gādājiet, lai lietotnē būtu izmantoti jaunākie drošības ielāpi un kļūdu labojumi; tādējādi var novērst ievainojamību, ko varētu izmantot uzbrucēji.
Sadarbība un nepārtraukta izglītošana
Ļaunprātīgas izmantošanas novēršana un lietotāju aizsardzība ir ilgstošs process, kurā jāsadarbojas izstrādātājiem, Google Play komandai un plašākai drošības kopienai. Lai uzzinātu jaunāko informāciju par drošības paraugpraksi, lasiet mūsu drošības emuāru.
Sadarbojoties mēs varam radīt drošāku un uzticamāku Android ekosistēmu visiem lietotājiem.
Bieži uzdotie jautājumi
Lai izvērstu vai sakļautu kādu no tālāk norādītajiem jautājumiem, noklikšķiniet uz attiecīgā jautājuma.
Vai šo karodziņu izmantošana negatīvi ietekmēs manas lietotnes? Cik ilgs laiks būs nepieciešams ieviešanai?Šīs lietotnes ir izstrādātas, lai uzlabotu drošību un konfidencialitāti, nevis ierobežotu veiktspēju. Tomēr, ja jūsu lietotnes funkcijas lielā mērā ir atkarīgas no ekrānuzņēmumu vai ekrāna ierakstu kopīgošanas, karodziņš FLAG_SECURE var liegt lietotājiem tvert šos vizuālos materiālus šajās konkrētajās lapās. Šajā gadījumā ir svarīgi līdzsvarot drošības vajadzības ar lietotāja pieredzi. Turklāt dažu trešo pušu lietotņu pielāgojumu vai paplašinājumu pamatā var būt ekrāna tveršanas metodes, ko var ietekmēt šīs karodziņi. Ja jūsu lietotnē ir integrēti šādi rīki, ir vērts testēt saderību.
Ieviešanas process parasti ir ātrs un vienkāršs. Parasti ir jāpievieno dažas koda rindiņas attiecīgajām lapām vai darbībām, kurām vēlaties lietot karodziņus. Precīzs laiks ir atkarīgs no lietotnes sarežģītības un iesaistīto lapu skaita.
FLAG_SECURE ir loga līmeņa karodziņš. Kad tas ir iestatīts, tiek norādīts, ka loga saturs ir jāapstrādā drošā vidē, neļaujot to parādīt ekrānuzņēmumos vai skatīt nedrošos displejos. Karodziņš REQUIRE_SECURE_ENV norāda citām lietotnēm, ka jūsu lietotnei ir jādarbojas drošā vidē. Gan FLAG_SECURE, gan REQUIRE_SECURE_ENV ir drošības karodziņi, ko var izmantot, lai aizsargātu Android lietotnes/lietotājus no ļaunprātīgas izmantošanas un uzbrukumiem.
Ja bankas lietotnes pieteikšanās ekrānā tiek izmantots karodziņš FLAG_SECURE, tiek izveidots īpašs logs, kurā tiek aizsargāta sensitīva informācija, piemēram, lietotāja pieteikšanās akreditācijas dati. Parasti šī aizsardzība palīdz novērst loga satura attēlošanu nedrošos ekrānos vai ekrānuzņēmumos, ierakstos vai attālās skatīšanas mēģinājumos. Šāda veida displejos lietotāja pieteikšanās informācijas vietā redzēsiet tukšu lauku.
Šādi karodziņi var tikt izmantoti, piemēram, lietotnēs, kurās tiek apstrādāti tādi lietotāju personas un sensitīvie dati kā finanšu informācija. Piemēram, karodziņš FLAG_SECURE bieži tiek izmantots banku lietotnēs. Lietotnēs, kuras ir īpaši neaizsargātas pret ļaunprātīgu izmantošanu, piemēram, lietotnēs, kas ir paredzētas vecāka gadagājuma cilvēkiem vai neaizsargātām iedzīvotāju grupām, ir ieteicams izmantot arī karodziņu REQUIRE_SECURE_ENV.
Lai ieviestu karodziņu FLAG_SECURE, pievienojiet failam AndroidManifest.xml šādu rindiņu:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Lai ieviestu karodziņu REQUIRE_SECURE_ENV, pievienojiet failam AndroidManifest.xml šādu rindiņu:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>