Sebagai pembangun Google Play, anda memainkan peranan penting untuk memastikan keselamatan apl anda serta pengguna apl tersebut. Dengan peningkatan kempen penyalahgunaan kejuruteraan sosial, terutamanya yang menyasarkan populasi yang rentan, pelaksanaan langkah proaktif kini lebih penting untuk melindungi pengguna anda dan integriti apl anda.
Artikel ini menyediakan ikhtisar bagi dua bendera keselamatan Android dan Play yang berguna yang dapat mempertingkatkan keselamatan apl anda: FLAG_SECURE dan REQUIRE_SECURE_ENV. Dengan memahami dan memanfaatkan bendera ini secara berkesan, anda dapat memerangi penyalahgunaan bersasar dan melindungi ekosistem apl anda selanjutnya.
FLAG_SECURE
FLAG_SECURE mengisyaratkan bahawa apl anda dimaksudkan untuk dijalankan dalam persekitaran yang lebih selamat, yang mengurangkan kemungkinan kerentanan, pemantauan dan serangan. Bendera ini merupakan bendera paparan yang diisytiharkan dalam kod apl untuk menunjukkan bahawa UI apl mengandungi data sensitif yang dimaksudkan untuk dihadkan kepada platform yang selamat semasa menggunakan apl tersebut, yang mengisyaratkan kepada apl dan perkhidmatan lain bahawa data itu tidak sepatutnya dipaparkan dalam tangkapan skrin atau dilihat pada paparan yang tidak selamat. Pembangun mengisytiharkan bendera ini apabila kandungan apl tidak sepatutnya disiarkan, dipaparkan atau sebaliknya dihantar ke luar apl atau peranti pengguna. Sebagai contoh, jika skrin dalam apl anda mengandungi data sensitif yang mungkin membawa risiko keselamatan jika dilihat oleh pihak ketiga seperti apl sokongan jarak jauh, FLAG_SECURE ialah satu cara mengisytiharkan status sensitif tersebut dan membantu untuk menyediakan persekitaran yang selamat. Bagi tujuan keselamatan dan privasi, semua apl yang diedarkan pada Google Play dikehendaki mematuhi FLAG_SECURE — yang memerlukan apl untuk tidak memudahkan atau membuat penyelesaian untuk memintas tetapan bendera tersebut pada apl lain.
REQUIRE_SECURE_ENV
Serangan kejuruteraan sosial adalah amat membimbangkan bagi populasi warga tua dan kumpulan rentan lain yang mungkin lebih terdedah kepada manipulasi dan penipuan. Serangan ini biasanya melibatkan tindakan memperdayakan pengguna untuk mendedahkan maklumat sensitif, seperti kata laluan atau butiran kewangan atau memuat turun kandungan hasad.
Dengan melaksanakan bendera FLAG_SECURE dan REQUIRE_SECURE_ENV, anda dapat membantu untuk mengurangkan serangan kejuruteraan sosial dalam apl anda. Apabila digunakan secara berasingan atau serentak, bendera ini membantu anda melindungi apl daripada kerentanan yang kerap dieksploitasi oleh penyerang untuk mendapatkan akses kepada data atau peranti pengguna yang peribadi dan sensitif.
Melindungi pengguna warga tua dan populasi yang rentan daripada penyalahgunaan kejuruteraan sosial
Serangan kejuruteraan sosial adalah amat membimbangkan bagi populasi warga tua dan kumpulan rentan lain yang mungkin lebih terdedah kepada manipulasi dan penipuan. Serangan ini biasanya melibatkan tindakan memperdayakan pengguna untuk mendedahkan maklumat sensitif, seperti kata laluan atau butiran kewangan atau memuat turun kandungan hasad.
Dengan melaksanakan bendera FLAG_SECURE dan REQUIRE_SECURE_ENV, anda dapat membantu untuk mengurangkan serangan kejuruteraan sosial dalam apl anda. Apabila digunakan secara berasingan atau serentak, bendera ini membantu anda melindungi apl daripada kerentanan yang kerap dieksploitasi oleh penyerang untuk mendapatkan akses kepada data atau peranti pengguna yang peribadi dan sensitif.
Langkah perlindungan tambahan
Selain memanfaatkan bendera keselamatan, pertimbangkan untuk menggabungkan langkah tambahan ini untuk melindungi pengguna anda daripada penyalahgunaan kejuruteraan sosial:
- Didik pengguna tentang taktik kejuruteraan sosial: Sediakan amaran yang jelas dan tepat dalam apl anda tentang teknik kejuruteraan sosial yang lazim, seperti komplot pancingan data dan panggilan sokongan palsu.
- Laksanakan mekanisme pengesahan yang selamat: Gunakan kaedah pengesahan yang mantap, seperti pengesahan dua faktor, untuk menghalang akses yang tidak diizinkan kepada akaun pengguna.
- Kemas kinikan apl anda secara kerap: Pastikan apl anda terkini dengan tampung keselamatan dan pembetulan pepijat terbaharu untuk menangani sebarang kemungkinan kerentanan yang mungkin dieksploitasi oleh penyerang.
Kerjasama dan pendidikan berterusan
Usaha memerangi penyalahgunaan dan melindungi pengguna merupakan proses berterusan yang memerlukan kerjasama antara pembangun, Google Play dengan komuniti keselamatan yang lebih luas. Dapatkan maklumat terkini tentang amalan keselamatan terbaik dengan membaca blog Keselamatan kami.
Apabila bekerjasama, kita dapat menghasilkan ekosistem Android yang lebih selamat dan dipercayai untuk semua pengguna.
Soalan lazim
Klik soalan di bawah untuk mengembangkan atau menguncupkan soalan tersebut.
Adakah penggunaan bendera ini akan mengubah apl saya secara negatif? Berapa lamakah masa yang diambil oleh proses pelaksanaan?Apl ini direka bentuk untuk mempertingkatkan keselamatan dan privasi, bukan untuk menjejaskan prestasi. Walau bagaimanapun, jika ciri apl anda amat bergantung pada perkongsian tangkapan skrin dan rakaman skrin, penetapan FLAG_SECURE mungkin menghalang pengguna daripada mengambil visual tersebut pada halaman khusus itu. Dalam kes ini, keperluan keselamatan perlu diseimbangkan dengan pengalaman pengguna. Selain itu, beberapa penyesuaian atau sambungan apl pihak ketiga mungkin bergantung pada kaedah tangkapan skrin yang mungkin terjejas oleh bendera ini. Jika apl anda bersepadu dengan alatan sedemikian, anda mungkin perlu melakukan ujian keserasian.
Proses pelaksanaan biasanya pantas dan ringkas. Proses itu biasanya melibatkan penambahan beberapa baris kod pada halaman atau aktiviti berkaitan yang mahu diletakkan bendera. Masa sebenar bergantung pada kerumitan apl anda dan bilangan halaman yang terlibat.
FLAG_SECURE ialah bendera tahap tetingkap yang apabila ditetapkan akan menunjukkan kandungan tetingkap harus dianggap sebagai selamat dan menghalang kandungan daripada dipaparkan dalam tangkapan skrin atau daripada dilihat pada paparan tidak selamat, manakala REQUIRE_SECURE_ENV mengisyaratkan kepada apl lain bahawa apl anda mestilah dijalankan dalam persekitaran yang selamat. Kedua-dua FLAG_SECURE dan REQUIRE_SECURE_ENV ialah bendera keselamatan yang boleh digunakan untuk melindungi apl/pengguna Android daripada penyalahgunaan dan serangan.
Apabila apl perbankan menggunakan FLAG_SECURE pada skrin log masuk, apl itu membuat tetingkap khas yang melindungi maklumat sensitif seperti bukti kelayakan log masuk pengguna. Sebagai peraturan umum, perlindungan ini membantu untuk menghalang kandungan tetingkap daripada dipaparkan pada skrin tidak selamat atau dipaparkan dalam tangkapan skrin, rakaman atau percubaan tontonan jarak jauh. Maka, anda mungkin hanya melihat ruang kosong pada paparan jenis sedemikian dan bukannya butiran log masuk pengguna.
Beberapa contoh apl yang mungkin menggunakan bendera ini ialah apl yang mengendalikan data pengguna yang peribadi dan sensitif, seperti maklumat kewangan. Apl perbankan ialah beberapa contoh apl yang sering menggunakan FLAG_SECURE. Apl yang amat terdedah kepada penyalahgunaan, seperti apl yang menyasarkan warga tua atau populasi rentan, juga harus mempertimbangkan penggunaan bendera REQUIRE_SECURE_ENV.
Untuk melaksanakan penggunaan bendera FLAG_SECURE, tambahkan baris yang berikut pada fail AndroidManifest.xml anda:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Untuk melaksanakan penggunaan bendera REQUIRE_SECURE_ENV, tambahkan baris yang berikut pada fail AndroidManifest.xml anda:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>