Ako vývojár Google Play máte kľúčovú rolu pri zaistení bezpečnosti a zabezpečenia svojej aplikácie aj jej používateľov. S nárastom zneužívajúcich kampaní so sociálnym inžinierstvom, obzvlášť tých, ktoré zacieľujú na zraniteľných ľudí, je dôležitejšie než kedykoľvek predtým podniknúť proaktívne opatrenia na ochranu používateľov a integrity vašej aplikácie.
V tomto článku nájdete prehľad dvoch užitočných bezpečnostných experimentálnych funkcií v Androide a službe Play, ktoré môžu zlepšiť zabezpečenie vašej aplikácie: FLAG_SECURE a REQUIRE_SECURE_ENV. Porozumením týmto experimentálnym funkciám a ich účinným využívaním môžete pomôcť bojovať proti cielenému zneužívaniu a ďalej zabezpečiť ekosystém svojej aplikácie.
FLAG_SECURE
FLAG_SECURE signalizuje, že vaša aplikácia má byť spustená v lepšie zabezpečenom prostredí, čím sa minimalizujú potenciálne nedostatky zabezpečenia, sledovanie a útoky. Je to experimentálna funkcia zobrazovania deklarovaná v kóde aplikácie, ktoré označuje, že používateľské rozhranie obsahuje citlivé údaje, ktorých prístupnosť má byť počas používania aplikácie obmedzená na zabezpečenú platformu. Iným aplikáciám a službám signalizuje, že príslušné údaje sa nesmú zobrazovať na snímkach obrazovky ani pozerať na nezabezpečených obrazovkách. Vývojári ju deklarujú, keď obsah aplikácie nesmie byť vysielaný, zobrazovaný ani inak prenášaný mimo nej či zariadenia používateľov. Ak sa napríklad na nejakej obrazovke vo vašej aplikácii nachádzajú citlivé údaje, ktoré môžu predstavovať bezpečnostné riziko, keď si ich zobrazí tretia stana (napríklad aplikácia vzdialenej podpory), FLAG_SECURE je jeden zo spôsobov, ako deklarovať danú citlivosť a pomôcť poskytovať zabezpečené prostredie. Všetky aplikácie distribuované na Google Play musia rešpektovať nastavenie FLAG_SECURE, ktoré znamená zákaz sprostredkúvania a vytvárania alternatívnych spôsobov na obchádzanie nastavení danej experimentálnej funkcie v iných aplikáciách.
REQUIRE_SECURE_ENV
Útoky zahŕňajúce sociálne inžinierstvo sú obzvlášť znepokojujúce pre starších ľudí a ďalšie zraniteľné skupiny, ktoré môžu byť náchylné na manipuláciu a klamanie. Tieto útoky často zahŕňajú snahu klamstvom presvedčiť používateľov, aby odhalili svoje citlivé údaje, napríklad heslá či finančné údaje, prípadne aby si stiahli škodlivý obsah.
Implementáciou experimentálnych funkcií FLAG_SECURE a REQUIRE_SECURE_ENV môžete pomôcť minimalizovať útoky zahŕňajúce sociálne inžinierstvo vo vašej aplikácii. Môžete ich použiť nezávisle alebo simultánne a pomôžu chrániť pred nedostatkami zabezpečenia, ktoré útočníci často využívajú, aby získali prístup k osobným a citlivými údajom alebo zariadeniam používateľov.
Ochrana starších používateľov a zraniteľných ľudí pred zneužívaním zahŕňajúcim sociálne inžinierstvo
Útoky zahŕňajúce sociálne inžinierstvo sú obzvlášť znepokojujúce pre starších ľudí a ďalšie zraniteľné skupiny, ktoré môžu byť náchylné na manipuláciu a klamanie. Tieto útoky často zahŕňajú snahu klamstvom presvedčiť používateľov, aby odhalili svoje citlivé údaje, napríklad heslá či finančné údaje, prípadne aby si stiahli škodlivý obsah.
Implementáciou experimentálnych funkcií FLAG_SECURE a REQUIRE_SECURE_ENV môžete pomôcť minimalizovať útoky zahŕňajúce sociálne inžinierstvo vo vašej aplikácii. Môžete ich použiť nezávisle alebo simultánne a pomôžu chrániť pred nedostatkami zabezpečenia, ktoré útočníci často využívajú, aby získali prístup k osobným a citlivými údajom alebo zariadeniam používateľov.
Ďalšie ochranné opatrenia
Okrem využívania bezpečnostných experimentálnych funkcií zvážte implementáciu týchto ďalších opatrení, ktoré vám pomôžu chrániť používateľov pred zneužívaním zahŕňajúcim sociálne inžinierstvo.
- Vzdelávajte používateľov o taktikách sociálneho inžinierstva: poskytnite vo svojej aplikácii jasné a stručné varovania o bežných technikách sociálneho inžinierstva, ako sú phishingové podvody a hovory falošnej podpory.
- Implementujte mechanizmy zabezpečeného overenia: nasaďte robustné spôsoby overenia totožnosti, ako je dvojstupňové overenie, ktorými zabránite neoprávnenému prístupu k účtom používateľov.
- Pravidelne aplikáciu aktualizujte: udržujte ju aktuálnu pomocou najnovších opráv zabezpečenia a chýb. Vyriešite nimi všetky potenciálne nedostatky zabezpečenia, ktoré by mohli útočníci využiť.
Spolupráca a prebiehajúce vzdelávanie
Boj proti zneužívaniu a ochrana používateľov je prebiehajúci proces vyžadujúci spoluprácu vývojárov, služby Google Play aj širšej komunity v oblasti zabezpečenia. Čítajte náš blog o bezpečnosti a zabezpečení, pomôže vám udržať si prehľad o osvedčených postupoch zabezpečenia.
Vzájomnou spoluprácou môžeme vytvoriť zabezpečenejší a dôveryhodnejší ekosystém Androidu pre všetkých používateľov.
Časté otázky
Sekciu nižšie rozbalíte alebo zbalíte kliknutím.
Ak využijem tieto experimentálne funkcie, ovplyvní to moje aplikácie negatívne? Ako dlho trvá implementácia?Tieto aplikácie boli navrhnuté, aby zvýšili zabezpečenie a ochranu súkromia, nie bránili výkonnosti. Ak sú však funkcie vašej aplikácie založené predovšetkým na zdieľaní snímok alebo nahrávok obrazovky, nastavenie FLAG_SECURE môže zabrániť používateľov snímanie týchto vizuálnych materiálov na daných konkrétnych stránkach. V tomto prípade je dôležité vyvážiť potreby v oblasti zabezpečenia s dojmom používateľov. Okrem toho môžu niektoré prispôsobenia aplikácií tretích strán alebo rozšírenia využívať spôsoby snímania obrazovky, ktoré môžu byť ovplyvnené týmito experimentálnymi funkciami. Ak sú takéto nástroje vstavané vo vašej aplikácii, oplatí sa otestovať kompatibilitu.
Proces implementácie je všeobecne rýchly a priamočiary. Zvyčajne zahŕňa pridanie nových riadkov kódu do relevantných stránok či aktivít, kde chcete použiť experimentálne funkcie. Presný čas závisí od zložitosti vašej aplikácie a počtu stránok, ktorých sa to týka.
FLAG_SECURE je experimentálna funkcia na úrovni okna, ktorá po nastavení indikuje, aby sa s obsahom okna narábalo ako so zabezpečeným, čím sa zabráni, aby sa zobrazoval na snímkach obrazovky alebo pozeral na nezabezpečených obrazovkách, zatiaľ čo REQUIRE_SECURE_ENV signalizuje iným aplikáciám, že vaša aplikácia musí byť spúšťaná v zabezpečenom prostredí. FLAG_SECURE a REQUIRE_SECURE_ENV sú bezpečnostné experimentálne funkcie, pomocou ktorých môžete chrániť aplikácie pre Android a používateľov pred zneužívaním a útokmi.
Keď banková aplikácia používa na svojej prihlasovacej obrazovke FLAG_SECURE, vytvorí špeciálne okno, ktoré chráni citlivé údaje, napríklad prihlasovacie údaje používateľa. Všeobecne platí, že táto ochrana pomáha zabrániť zobrazeniu obsahu príslušného okna na nezabezpečených obrazovkách alebo jeho zahrnutiu v snímkach obrazovky, nahrávkach či pokusoch o vzdialené zobrazenie. Na daných typoch obrazoviek neuvidíte teda prihlasovacie údaje používateľa, ale zrejme iba prázdnu oblasť.
Tieto experimentálne funkcie môžu používať napríklad aplikácie, ktoré spracúvajú osobné a citlivé údaje používateľov, napríklad finančné informácie. FLAG_SECURE bežne používajú bankové aplikácie. Vývojári aplikácií obzvlášť nedostatočne zabezpečených proti zneužívaniu, napríklad takých, ktoré sú zacielené na starších alebo zraniteľných ľudí, by mali zvážiť aj používanie experimentálnej funkcie REQUIRE_SECURE_ENV.
Ak chcete implementovať experimentálnu funkciu FLAG_SECURE, pridajte do súboru AndroidManifest.xml tento riadok:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Ak chcete implementovať experimentálnu funkciu REQUIRE_SECURE_ENV, pridajte do súboru AndroidManifest.xml tento riadok:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>