Jako deweloper w Google Play odgrywasz kluczową rolę w zapewnieniu bezpieczeństwa aplikacji i jej użytkowników. Ze względu na wzrost liczby kampanii wykorzystujących inżynierię społeczną, zwłaszcza skierowanych do szczególnie wrażliwych grup użytkowników, działania mające na celu ochronę użytkowników i integralności aplikacji są ważniejsze niż kiedykolwiek wcześniej.
W tym artykule omawiamy 2 przydatne flagi zabezpieczeń Androida i Google Play, które mogą zwiększyć bezpieczeństwo aplikacji: FLAG_SECURE i REQUIRE_SECURE_ENV. Poznanie i skuteczne wykorzystanie tych flag może pomóc Ci w zwalczaniu ukierunkowanych nadużyć i dalszej ochronie ekosystemu aplikacji.
FLAG_SECURE
Flaga FLAG_SECURE informuje, że aplikacja jest przeznaczona do działania w bezpieczniejszym środowisku, co pozwala ograniczyć potencjalne luki w zabezpieczeniach, monitorowanie i ataki. Jest to flaga wyświetlania deklarowana w kodzie aplikacji w celu wskazania, że UI zawiera dane wrażliwe, które mają być ograniczane do bezpiecznej platformy podczas używania aplikacji. Flaga sygnalizuje innym aplikacjom i usługom, że dane nie powinny pojawiać się na zrzutach ekranów ani być wyświetlane na niezabezpieczonych wyświetlaczach. Deweloperzy deklarują tę flagę, jeśli treść aplikacji nie powinna być upubliczniana, wyświetlana ani w inny sposób przekazywana poza aplikację i urządzenie użytkownika. Jeśli na przykład ekran w aplikacji zawiera dane wrażliwe, które mogą stanowić zagrożenie dla bezpieczeństwa, jeśli zostaną wyświetlone przez aplikację innej firmy, np. aplikację do zdalnego wsparcia, flaga FLAG_SECURE to jeden ze sposobów na zadeklarowanie wrażliwości tych danych i zapewnienie bezpiecznego środowiska. Ze względów bezpieczeństwa i prywatności wszystkie aplikacje rozpowszechniane w Google Play muszą przestrzegać flagi FLAG_SECURE, co oznacza, że nie mogą tworzyć obejść jej ustawień ani tego umożliwiać.
REQUIRE_SECURE_ENV
Ataki wykorzystujące inżynierię społeczną są szczególnie groźne w przypadku osób starszych i innych grup szczególnie podatnych na manipulacje i oszustwa. Ataki te często polegają na nakłanianiu użytkowników do ujawniania informacji poufnych, takich jak hasła lub dane finansowe, albo pobierania szkodliwych treści.
Wdrażając flagi FLAG_SECURE i REQUIRE_SECURE_ENV, możesz zapobiegać atakom wykorzystującym inżynierię społeczną w aplikacji. Flagi te, używane niezależnie lub równolegle, pomagają chronić przed lukami w zabezpieczeniach, które atakujący często wykorzystują w celu uzyskania dostępu do osobistych i poufnych danych użytkowników lub urządzeń.
Ochrona starszych użytkowników i grup wrażliwych przed nadużyciami związanymi z inżynierią społeczną
Ataki wykorzystujące inżynierię społeczną są szczególnie groźne w przypadku osób starszych i innych grup szczególnie podatnych na manipulacje i oszustwa. Ataki te często polegają na nakłanianiu użytkowników do ujawniania informacji poufnych, takich jak hasła lub dane finansowe, albo pobierania szkodliwych treści.
Wdrażając flagi FLAG_SECURE i REQUIRE_SECURE_ENV, możesz zapobiegać atakom wykorzystującym inżynierię społeczną w aplikacji. Flagi te, używane niezależnie lub równolegle, pomagają chronić przed lukami w zabezpieczeniach, które atakujący często wykorzystują w celu uzyskania dostępu do osobistych i poufnych danych użytkowników lub urządzeń.
Dodatkowe środki ochrony
Oprócz korzystania z flag bezpieczeństwa rozważ zastosowanie tych dodatkowych środków, aby chronić użytkowników przed nadużyciami związanymi z inżynierią społeczną:
- Edukuj użytkowników na temat taktyk inżynierii społecznej: w aplikacji podawaj jasne i zwięzłe ostrzeżenia o popularnych technikach inżynierii społecznej, takich jak wyłudzanie informacji czy fałszywe połączenia z zespołem pomocy.
- Stosuj bezpieczne mechanizmy uwierzytelniania: korzystaj z niezawodnych metod uwierzytelniania, takich jak uwierzytelnianie dwuskładnikowe, aby zapobiegać nieautoryzowanemu dostępowi do kont użytkowników.
- Regularnie aktualizuj aplikację: dbaj o to, aby była zawsze aktualna, jeśli chodzi o łatki zabezpieczeń i poprawki błędów. Dzięki temu usuwasz potencjalne luki w zabezpieczeniach, które mogą być wykorzystywane przez osoby przeprowadzające ataki.
Współpraca i ciągłe kształcenie
Walka z nadużyciami i ochrona użytkowników to proces ciągły, który wymaga współpracy deweloperów, Google Play i szerszej społeczności zajmującej się bezpieczeństwem. Więcej informacji o sprawdzonych metodach zapewniania bezpieczeństwa znajdziesz na naszym blogu poświęconym bezpieczeństwu.
Dzięki współpracy możemy stworzyć bezpieczniejszy i bardziej wiarygodny ekosystem Androida dla wszystkich użytkowników.
Najczęstsze pytania
Kliknij pytanie poniżej, aby je rozwinąć lub zwinąć.
Czy użycie tych flag wpłynie negatywnie na moje aplikacje? Ile czasu zajmie wdrożenie?Flagi te zostały stworzone z myślą o zwiększeniu bezpieczeństwa i prywatności, a nie pogorszeniu wydajności. Jeśli jednak funkcje Twojej aplikacji w dużej mierze polegają na udostępnianiu zrzutów lub nagrań ekranu, ustawienie FLAG_SECURE może uniemożliwić użytkownikom rejestrowanie tych treści na określonych stronach. W takim przypadku ważne jest, aby zachować równowagę między potrzebami związanymi z bezpieczeństwem a wygodą użytkowników. Flagi te mogą też wpływać na metody tworzenia zrzutów ekranu wykorzystywane przez niektóre dostosowania i rozszerzenia aplikacji innych firm. Jeśli Twoja aplikacja integruje się z takimi narzędziami, warto przetestować ich zgodność.
Proces wdrażania jest zwykle szybki i prosty. Zwykle wymaga to dodania kilku wierszy kodu do stron lub działań, na których mają być stosowane flagi. Dokładny czas zależy od złożoności aplikacji i liczby stron.
FLAG_SECURE to flaga na poziomie okna, która po ustawieniu wskazuje, że zawartość okna jest chroniona, zapobiegając jej pojawianiu się na zrzutach ekranu lub wyświetlaniu na niezabezpieczonych wyświetlaczach. Flaga REQUIRE_SECURE_ENV sygnalizuje innym aplikacjom, że Twoja aplikacja musi działać w bezpiecznym środowisku. Zarówno FLAG_SECURE, jak i REQUIRE_SECURE_ENV to flagi zabezpieczeń, które mogą służyć do ochrony aplikacji na Androida lub użytkowników Androida przed nadużyciami i atakami.
Gdy aplikacja bankowa używa flagi FLAG_SECURE na ekranie logowania, tworzy specjalne okno, które chroni informacje poufne, takie jak dane logowania użytkownika. Ogólnie ochrona ta pomaga zapobiegać wyświetlaniu zawartości okna na niezabezpieczonych ekranach, tworzeniu zrzutów ekranu lub nagrań oraz próbom zdalnego wyświetlenia treści. Dlatego na ekranach tego typu zamiast danych logowania użytkownika może być widoczny pusty obszar.
Flagi te mogą być używane przez aplikacje, które przetwarzają dane osobowe i wrażliwe użytkownika, np. informacje finansowe. Przykładem aplikacji, które często używają flagi FLAG_SECURE, są aplikacje bankowe. Aplikacje szczególnie podatne na nadużycia, np. kierowane do osób starszych lub szczególnie wrażliwych grup użytkowników, powinny też używać flagi REQUIRE_SECURE_ENV.
Aby wdrożyć flagę FLAG_SECURE, dodaj do pliku AndroidManifest.xml ten wiersz:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Aby wdrożyć flagę REQUIRE_SECURE_ENV, dodaj do pliku AndroidManifest.xml ten wiersz:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>