Je app beschermen en misbruik bestrijden met de beveiligingsflags FLAG_SECURE en REQUIRE_SECURE_ENV

Als Google Play-ontwikkelaar speel je een essentiële rol in de veiligheid en beveiliging van je app en de gebruikers ervan. Nu er steeds meer campagnes tegen misbruik van social engineering zijn, met name gericht op kwetsbare bevolkingsgroepen, is het belangrijker dan ooit om proactieve maatregelen te treffen om je gebruikers en de integriteit van je app te beschermen.

In dit artikel vind je een overzicht van 2 handige Android- en Play-beveiligingsflags die de beveiliging van je app kunnen verbeteren: FLAG_SECURE en REQUIRE_SECURE_ENV. Als je deze flag begrijpt en effectief inzet, kun je misbruik gericht helpen bestrijden en het ecosysteem van je app verder beschermen.

FLAG_SECURE

FLAG_SECURE geeft aan dat je app is bedoeld om te worden uitgevoerd in een beter beveiligde omgeving om potentiële kwetsbaarheden, monitoring en aanvallen te beperken. Dit is een weergaveflag die wordt gedefinieerd in de code van een app om aan te geven dat de UI gevoelige gegevens bevat die tijdens het gebruik van de app tot een beveiligd platform moeten worden beperkt. Deze flag laat andere apps en services weten dat de gegevens niet in screenshots mogen worden getoond of op niet-beveiligde schermen mogen worden bekeken. Ontwikkelaars verstrekken deze flag als de content van de app niet mag worden uitgezonden, bekeken of anderszins overgedragen buiten de app of het apparaat van de gebruiker. Als op een scherm in je app bijvoorbeeld gevoelige gegevens staan die een beveiligingsrisico kunnen vormen als ze worden bekeken door derden, zoals een app voor support op afstand, is FLAG_SECURE een manier om die gevoeligheid aan te geven en voor een beveiligde omgeving te zorgen. Uit veiligheids- en privacyoverwegingen moeten alle apps die worden gedistribueerd via Google Play zich aan FLAG_SECURE houden. Dit betekent dat er geen oplossingen worden geboden of gemaakt om de flaginstellingen in andere apps te omzeilen.

REQUIRE_SECURE_ENV

Socialengineering-aanvallen zijn vooral zorgwekkend voor ouderen en andere kwetsbare groepen die vatbaarder zijn voor manipulatie en misleiding. Bij deze aanvallen worden gebruikers vaak misleid om gevoelige informatie te verstrekken, zoals wachtwoorden of financiële gegevens, of schadelijke content te downloaden.

Door de flags FLAG_SECURE en REQUIRE_SECURE_ENV te implementeren, kun je socialengineering-aanvallen in je app beperken. Deze flags worden onafhankelijk of gelijktijdig gebruikt om bescherming te bieden tegen kwetsbaarheden die aanvallers vaak misbruiken om toegang te krijgen tot persoonsgegevens en gevoelige gebruikersgegevens of apparaten.

Oudere gebruikers en kwetsbare gemeenschappen beschermen tegen misbruik van social engineering

Socialengineering-aanvallen zijn vooral zorgwekkend voor ouderen en andere kwetsbare groepen die vatbaarder zijn voor manipulatie en misleiding. Bij deze aanvallen worden gebruikers vaak misleid om gevoelige informatie te verstrekken, zoals wachtwoorden of financiële gegevens, of schadelijke content te downloaden.

Door de flags FLAG_SECURE en REQUIRE_SECURE_ENV te implementeren, kun je socialengineering-aanvallen in je app beperken. Deze flags worden onafhankelijk of gelijktijdig gebruikt om bescherming te bieden tegen kwetsbaarheden die aanvallers vaak misbruiken om toegang te krijgen tot persoonsgegevens en gevoelige gebruikersgegevens of apparaten.

Aanvullende beschermende maatregelen

Naast het gebruik van beveiligingsflags kun je overwegen deze aanvullende maatregelen op te nemen om je gebruikers te beschermen tegen misbruik van social engineering:

  • Geef gebruikers meer informatie over tactieken voor social engineering: geef in je app duidelijke en beknopte waarschuwingen over veelgebruikte socialengineering-technieken, zoals phishingscams en nepsupportgesprekken.
  • Implementeer beveiligde verificatiemechanismen: gebruik robuuste verificatiemethoden, zoals verificatie in 2 stappen, om ongeautoriseerde toegang tot gebruikersaccounts te voorkomen.
  • Update je app regelmatig: houd je app up-to-date met de nieuwste beveiligingspatches en bugfixes om potentiële kwetsbaarheden op te lossen die door aanvallers kunnen worden misbruikt.

Samenwerking en continu bijleren

De bestrijding van misbruik en de bescherming van gebruikers is een doorlopend proces waarvoor ontwikkelaars, Google Play en de bredere beveiligingscommunity samenwerken. Ga naar onze blog over veiligheid en beveiliging om op de hoogte te blijven van best practices voor beveiliging.

Door goed samen te werken, kunnen we zorgen voor een beter beveiligd en betrouwbaarder Android-ecosysteem voor alle gebruikers.

Veelgestelde vragen

Klik op een vraag hieronder om deze uit of samen te vouwen.

Heeft het gebruik van deze flags een negatieve invloed op mijn apps? Hoelang duurt de implementatie?

Deze flags zijn ontworpen om de beveiliging en privacy te verbeteren, niet om de prestaties te belemmeren. Als de functies van je app sterk afhankelijk zijn van het delen van screenshots of schermopnamen, kan het instellen van FLAG_SECURE wel voorkomen dat gebruikers die visuele elementen op die specifieke pagina's vastleggen. In dat geval is het belangrijk om een balans te vinden tussen beveiligingsbehoeften en gebruikerservaring. Ook kunnen sommige aanpassingen of extensies van apps van derden afhankelijk zijn van methoden voor schermopnamen die door deze flags kunnen worden beïnvloed. Als je app met dergelijke tools wordt geïntegreerd, is het de moeite waard om de compatibiliteit te testen.

Het implementatieproces verloopt over het algemeen snel en makkelijk. Meestal moet je een paar regels code toevoegen aan de relevante pagina's of activiteiten waarop je de markeringen wilt toepassen. De exacte tijd hangt af van de complexiteit van je app en het aantal betrokken pagina's.

Wat is het verschil tussen de flags FLAG_SECURE en REQUIRE_SECURE_ENV?

FLAG_SECURE is een flag op vensterniveau die aangeeft dat de content van het venster als beveiligd moet worden behandeld, zodat deze niet kan worden getoond in screenshots of niet-beveiligde schermen. REQUIRE_SECURE_ENV laat andere apps weten dat je app in een beveiligde omgeving moet worden uitgevoerd. FLAG_SECURE en REQUIRE_SECURE_ENV zijn beveiligingsflags die kunnen worden gebruikt om Android-apps/-gebruikers te beschermen tegen misbruik en aanvallen.

Wat is een voorbeeld van hoe FLAG_SECURE werkt zoals bedoeld?

Als een bank-app FLAG_SECURE gebruikt op het inlogscherm, wordt er een speciaal venster gemaakt dat gevoelige informatie beschermt, zoals de inloggegevens van de gebruiker. Over het algemeen helpt deze beveiliging voorkomen dat de content van het venster wordt getoond op niet-beveiligde schermen of wordt vastgelegd in screenshots, opnamen of kijkpogingen op afstand. In dat geval zie je dus misschien een leeg gedeelte in plaats van de inloggegevens van een gebruiker.

Welke typen apps kunnen de flags FLAG_SECURE en REQUIRE_SECURE_ENV gebruiken?

Enkele voorbeelden van apps die deze flags kunnen gebruiken, zijn apps die persoonsgegevens en gevoelige gebruikersgegevens verwerken, zoals financiële informatie. Bank-apps zijn enkele voorbeelden van apps die vaak FLAG_SECURE gebruiken. Voor apps die extra kwetsbaar zijn voor misbruik, zoals apps die gericht zijn op oudere of kwetsbare bevolkingsgroepen, moet je ook overwegen om de flag REQUIRE_SECURE_ENV te gebruiken.

Heeft het gebruik van deze flags een negatieve invloed op mijn apps? Hoelang duurt de implementatie?

Als je de flag FLAG_SECURE wilt implementeren, voeg je de volgende regel toe aan je bestand AndroidManifest.xml:

Xml

<activity android:name=".MyActivity"
          android:exported="true"
          android:windowSoftInputMode="adjustPan">
  <intent-filter>
    <action android:name="android.intent.action.MAIN" />
    <category android:name="android.intent.category.LAUNCHER" />
  </intent-filter>
</activity>

Als je de flag REQUIRE_SECURE_ENV wilt implementeren, voeg je de volgende regel toe aan je AndroidManifest.xml-bestand:

Xml

<manifest ...>
  <application ...>
        …

    <property android:name="REQUIRE_SECURE_ENV" android:value="1" />

    …


  •   </application>
    </manifest>

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
4181846512642773319
true
Zoeken in het Helpcentrum
true
true
true
true
true
92637
false
false