Ca dezvoltator Google Play, joci un rol esențial în asigurarea siguranței și securității aplicației tale și a utilizatorilor acesteia. Întrucât numărul de atacuri de inginerie socială care vizează în special segmente de public vulnerabile a crescut, este mai important ca oricând să iei măsuri proactive pentru a-ți proteja utilizatorii și integritatea aplicației.
Acest articol oferă o prezentare generală a două semnale de securitate utile pentru Android și Play, care pot îmbunătăți securitatea aplicației: FLAG_SECURE și REQUIRE_SECURE_ENV. Dacă înțelegi și folosești eficient aceste semnale, poți să combați abuzul direcționat și să protejezi ecosistemul aplicației.
FLAG_SECURE
FLAG_SECURE semnalează că aplicația ta trebuie să ruleze într-un mediu mai sigur, reducând potențialele vulnerabilități, monitorizarea și atacurile. Este un semnal pentru afișare declarat în codul aplicației pentru a indica faptul că interfața de utilizare respectivă conține date sensibile a căror afișare trebuie să fie posibilă numai pe o platformă securizată în timpul folosirii aplicației, semnalând altor aplicații și servicii că datele nu ar trebui să apară în capturi de ecran sau să fie afișate pe ecrane nesecurizate. Dezvoltatorii declară acest semnal când conținutul aplicației nu trebuie să fie difuzat, afișat sau transmis în afara aplicației ori a dispozitivului utilizatorului. De exemplu, când un ecran din aplicație conține date sensibile care pot crea un risc de securitate dacă sunt văzute de o terță parte, de exemplu, o aplicație de asistență la distanță, FLAG_SECURE este o modalitate de a declara acea sensibilitate și de a oferi un mediu securizat. Din motive de securitate și confidențialitate, toate aplicațiile distribuite pe Google Play trebuie să respecte declarația FLAG_SECURE, ceea ce presupune ca acestea să nu faciliteze și să nu creeze soluții pentru ocolirea setărilor semnalului în alte aplicații.
REQUIRE_SECURE_ENV
Atacurile de inginerie socială sunt îngrijorătoare mai ales pentru populația vârstnică și alte grupuri vulnerabile, care ar putea fi mai susceptibile la manipulare și înșelătorie. Aceste atacuri implică adesea păcălirea utilizatorilor pentru a dezvălui informații sensibile, cum ar fi parolele sau datele financiare, ori descărcarea de conținut rău intenționat.
Dacă implementezi semnalele FLAG_SECURE și REQUIRE_SECURE_ENV, poți reduce incidența atacurilor de inginerie socială în aplicația ta. Folosite independent sau simultan, aceste semnale asigură protecție împotriva vulnerabilităților pe care atacatorii le exploatează adesea pentru a obține acces la dispozitive sau date cu caracter personal și sensibile ale utilizatorilor.
Protejarea utilizatorilor vârstnici și a populațiilor vulnerabile împotriva atacurilor de inginerie socială
Atacurile de inginerie socială sunt îngrijorătoare mai ales pentru populația vârstnică și alte grupuri vulnerabile, care ar putea fi mai susceptibile la manipulare și înșelătorie. Aceste atacuri implică adesea păcălirea utilizatorilor pentru a dezvălui informații sensibile, cum ar fi parolele sau datele financiare, ori descărcarea de conținut rău intenționat.
Dacă implementezi semnalele FLAG_SECURE și REQUIRE_SECURE_ENV, poți reduce incidența atacurilor de inginerie socială în aplicația ta. Folosite independent sau simultan, aceste semnale asigură protecție împotriva vulnerabilităților pe care atacatorii le exploatează adesea pentru a obține acces la dispozitive sau date cu caracter personal și sensibile ale utilizatorilor.
Măsuri de protecție suplimentare
Pe lângă folosirea semnalelor de securitate, îți recomandăm să încorporezi următoarele măsuri suplimentare pentru a-ți proteja utilizatorii împotriva atacurilor de inginerie socială:
- informează utilizatorii despre tacticile de inginerie socială: afișează avertismente clare și concise în aplicație despre tehnicile de inginerie socială comune, cum ar fi escrocheriile de tip phishing și apelurile de asistență false;
- implementează mecanisme de autentificare securizate: folosește metode de autentificare eficiente, cum ar fi autentificarea cu doi factori, pentru a preveni accesul neautorizat la conturile de utilizator;
- actualizează cu regularitate aplicația: menține aplicația actualizată cu cele mai recente corecții de securitate și remedieri de erori, pentru a remedia eventualele vulnerabilități care ar putea fi exploatate de atacatori.
Colaborare și informare continuă
Combaterea abuzurilor și protejarea utilizatorilor este un proces continuu, care necesită colaborare între dezvoltatori, Google Play și comunitatea extinsă din domeniul securității. Rămâi la curent cu cele mai bune practici de securitate citind blogul Siguranță și securitate.
Prin colaborare, putem crea un ecosistem Android mai sigur și mai de încredere pentru toți utilizatorii.
Întrebări frecvente
Dă clic pe o întrebare de mai jos ca să o extinzi sau să o restrângi.
Folosirea acestor semnale îmi va afecta negativ aplicațiile? Cât va dura implementarea?Aceste semnale au fost concepute pentru a îmbunătăți securitatea și confidențialitatea, fără a afecta performanța. Însă dacă funcțiile aplicației se bazează în mare măsură pe trimiterea capturilor de ecran sau a înregistrărilor ecranului, setarea semnalului FLAG_SECURE poate împiedica utilizatorii să realizeze astfel de capturi în paginile respective. În acest caz, este important să echilibrăm nevoile de securitate cu experiența utilizatorului. În plus, unele personalizări sau extensii ale aplicațiilor terță parte se pot baza pe metode de realizare a capturilor de ecran care ar putea fi afectate de aceste semnale. Dacă aplicația ta integrează astfel de instrumente, merită să verifici compatibilitatea.
În general, procesul de implementare este rapid și simplu. De obicei, presupune adăugarea câtorva linii de cod în paginile sau activitățile relevante în care dorești să aplici semnalele. Durata exactă depinde de complexitatea aplicației și de numărul de pagini implicate.
FLAG_SECURE este un semnal la nivel de fereastră care, atunci când este setat, indică faptul că tot conținutul ferestrei trebuie tratat ca fiind sigur, împiedicând înregistrarea acestuia în capturi de ecran sau afișarea pe ecrane nesecurizate, iar REQUIRE_SECURE_ENV le semnalează altor aplicații că aplicația ta trebuie să ruleze într-un mediu securizat. FLAG_SECURE și REQUIRE_SECURE_ENV sunt semnale de securitate care pot fi folosite pentru a proteja aplicațiile / utilizatorii Android împotriva abuzurilor și a atacurilor.
Când o aplicație pentru servicii bancare folosește FLAG_SECURE pe ecranul de conectare, semnalul creează o fereastră specială care protejează informațiile sensibile, cum ar fi datele de conectare ale utilizatorului. Ca regulă generală, această protecție împiedică afișarea conținutului ferestrei pe ecrane nesecurizate sau capturarea acestuia în capturi de ecran, înregistrări sau încercări de afișare de la distanță. Astfel, în loc să vezi detaliile de conectare ale unui utilizator, este posibil să vezi un spațiu gol pe astfel de ecrane.
Printre aplicațiile care pot folosi aceste semnale se numără cele care gestionează date cu caracter personal și sensibile ale utilizatorilor, cum ar fi informațiile financiare. Aplicațiile pentru servicii bancare sunt un exemplu de aplicații care folosesc de obicei FLAG_SECURE. Aplicațiile foarte vulnerabile la abuzuri, de exemplu, aplicațiile care vizează persoane în vârstă sau populații vulnerabile, ar trebui să folosească și semnalul REQUIRE_SECURE_ENV.
Pentru a implementa semnalul FLAG_SECURE, adaugă următoarea linie în fișierul AndroidManifest.xml:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Pentru a implementa semnalul REQUIRE_SECURE_ENV, adaugă următoarea linie în fișierul AndroidManifest.xml:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>