Kot razvijalec za Google Play igrate ključno vlogo pri zagotavljanju varnosti svoje aplikacije in njenih uporabnikov. Zaradi vse večjega števila zlonamernih oglaševalskih akcij, ki uporabljajo družbeni inženiring, zlasti tiste, ki ciljajo ranljive skupine, še nikoli prej ni bilo tako pomembno, da proaktivno ukrepate ter zaščitite uporabnike in celovitost aplikacije.
V tem članku je na voljo pregled dveh koristnih varnostnih zastavic za Android in Play, ki lahko izboljšata varnost aplikacije: FLAG_SECURE in REQUIRE_SECURE_ENV. Če razumete in učinkovito uporabljate te oznake, lahko pomagate preprečiti ciljno usmerjene zlorabe in dodatno zavarujete ekosistem aplikacije.
FLAG_SECURE
FLAG_SECURE označuje, da je aplikacija namenjena izvajanju v varnejšem okolju, s čimer zmanjšuje morebitne ranljivosti ter možnosti nadzora in napadov. To je prikazovalna zastavica, deklarirana v kodi aplikacije, ki označuje, da njen uporabniški vmesnik vsebuje občutljive podatke, ki bi morali biti med uporabo aplikacije omejeni na varno okolje, drugim aplikacijam in storitvam pa signalizira, da se podatki ne smejo prikazati na posnetkih zaslona ali zaslonih, ki niso varni. Razvijalci to zastavico deklarirajo, če vsebina aplikacije ne sme biti oddajana, prikazana ali drugače prenesena zunaj aplikacije ali uporabnikove naprave. Primer: Če zaslon v aplikaciji vsebuje občutljive podatke, ki lahko predstavljajo varnostno tveganje, če si jih ogleda tretja oseba, kot je aplikacija za podporo na daljavo, lahko z zastavico FLAG_SECURE deklarirate to občutljivost in pomagate zagotoviti varno okolje. Zaradi zagotavljanja varnosti in zasebnosti morajo vse aplikacije, distribuirane v Googlu Play, upoštevati FLAG_SECURE, kar pomeni, da ni dovoljeno omogočati ali ustvarjati načinov za zaobidenje nastavitev zastavice v drugih aplikacijah.
REQUIRE_SECURE_ENV
Napadi z družbenim inženiringom so zlasti zaskrbljujoči pri starejšem prebivalstvu in drugih ranljivih skupinah, ki so lahko dovzetnejše za manipulacije in zavajanje. Pri teh napadih se uporabnike pogosto z zvijačo pripravi do tega, da razkrijejo občutljive podatke, kot so gesla ali finančni podatki, ali prenesejo zlonamerno vsebino.
Z implementacijo oznak FLAG_SECURE in REQUIRE_SECURE_ENV lahko pomagate zmanjšati možnost napadov z družbenim inženiringom v aplikaciji. Ti zastavici, ki ju lahko uporabite neodvisno ali sočasno, pomagata ščititi pred ranljivostmi, ki jih napadalci pogosto izkoristijo za pridobitev dostopa do osebnih in občutljivih uporabnikovih podatkov ali naprav.
Zaščita starejših uporabnikov in ranljivih skupin pred zlorabami z družbenim inženiringom
Napadi z družbenim inženiringom so zlasti zaskrbljujoči pri starejšem prebivalstvu in drugih ranljivih skupinah, ki so lahko dovzetnejše za manipulacije in zavajanje. Pri teh napadih se uporabnike pogosto z zvijačo pripravi do tega, da razkrijejo občutljive podatke, kot so gesla ali finančni podatki, ali prenesejo zlonamerno vsebino.
Z implementacijo oznak FLAG_SECURE in REQUIRE_SECURE_ENV lahko pomagate zmanjšati možnost napadov z družbenim inženiringom v aplikaciji. Ti zastavici, ki ju lahko uporabite neodvisno ali sočasno, pomagata ščititi pred ranljivostmi, ki jih napadalci pogosto izkoristijo za pridobitev dostopa do osebnih in občutljivih uporabnikovih podatkov ali naprav.
Dodatni zaščitni ukrepi
Poleg uporabe varnostnih oznak razmislite o vključitvi teh dodatnih ukrepov za zaščito uporabnikov pred zlorabami, ki uporabljajo družbeni inženiring:
- Uporabnike seznanite s taktikami družbenega inženiringa: V aplikaciji prikažite jasna in jedrnata opozorila o pogostih tehnikah družbenega inženirstva, kot so prevare z lažnim predstavljanjem in lažni klici podpore.
- Implementirajte varne mehanizme preverjanja pristnosti: Za preprečevanje nepooblaščenega dostopa do uporabniških računov uporabljajte zanesljive načine preverjanja pristnosti, kot je preverjanje pristnosti v dveh korakih.
- Redno posodabljajte aplikacijo: Poskrbite, da bo aplikacija posodobljena z najnovejšimi varnostnimi popravki in popravki napak, ter tako odpravite morebitne ranljivosti, ki bi jih napadalci lahko izkoristili.
Sodelovanje in stalno izobraževanje
Pri boju proti zlorabam in zaščiti uporabnikov gre za stalen proces, pri katerem je potrebno sodelovanje razvijalcev, Googla Play in širše skupnosti, ki se ukvarja z varnostjo. Preberite naš spletni dnevnik o varnosti in zaščiti ter ostanite na tekočem z najboljšimi postopki na področju varnosti.
S sodelovanjem lahko ustvarimo varnejši in zaupanja vreden ekosistem Androida za vse uporabnike.
Pogosta vprašanja
Kliknite spodnje vprašanje, če ga želite razširiti ali strniti.
Ali bo uporaba teh zastavic negativno vplivala na moje aplikacije? Kako dolgo bo trajala implementacija?Te aplikacije so zasnovane za izboljšanje varnosti in zasebnosti, ne pa za omejevanje učinkovitosti delovanja. Če pa funkcije aplikacije v veliki meri uporabljajo deljenje posnetkov zaslona ali videoposnetkov zaslona, lahko z nastavitvijo zastavice FLAG_SECURE uporabnikom preprečite zajemanje teh vizualnih elementov na določenih straneh. V tem primeru je pomembno, da uravnovesite varnostne potrebe in uporabniško izkušnjo. Poleg tega so nekatere prilagoditve ali razširitve aplikacij drugih ponudnikov lahko odvisne od načinov zajema zaslonske slike, na kar bi te zastavice lahko negativno vplivale. Če je vaša aplikacija integrirana s takimi orodji, je dobro, da preizkusite združljivost.
Postopek implementacije je v splošnem hiter in preprost. Običajno vključuje dodajanje nekaj vrstic kode na ustrezne strani ali dejavnosti, pri katerih želite uporabiti zastavice. Točen čas je odvisen od zapletenosti aplikacije in števila zadevnih strani.
FLAG_SECURE je zastavica na ravni okna, ki, ko je nastavljena, določa, da je treba vsebino okna obravnavati kot varno, kar preprečuje, da bi bila prikazana na posnetkih zaslona ali zaslonih, ki niso varni, medtem ko REQUIRE_SECURE_ENV signalizira drugim aplikacijam, da se mora aplikacija izvajati v varnem okolju. FLAG_SECURE in REQUIRE_SECURE_ENV sta varnostni zastavici, ki ju lahko uporabljate za zaščito aplikacij za Android/uporabnikov Androida pred zlorabo in napadi.
Ko aplikacija za bančništvo na zaslonu za prijavo uporabi zastavico FLAG_SECURE, ustvari posebno okno, ki zaščiti občutljive podatke, kot so uporabnikove poverilnice za prijavo. Na splošno ta zaščita pomaga preprečevati prikaz vsebine okna na zaslonih, ki niso varni, oziroma njeno zajemanje v posnetkih in videoposnetkih zaslona ali pri poskusih ogleda na daljavo. Namesto da bi videli podatke za prijavo uporabnika, pri teh vrstah zaslonov morda vidite samo prazno območje.
Primeri aplikacij, ki lahko uporabijo te oznake, so aplikacije, ki ravnajo z osebnimi in občutljivimi podatki uporabnika, kot so finančni podatki. Nekateri primeri aplikacij, ki pogosto uporabljajo zastavico FLAG_SECURE, so aplikacije za bančništvo. V aplikacijah, ki so še posebej ranljive na zlorabo, kot so aplikacije, ki ciljajo starejše osebe ali ranljive skupine, je morda smiselno uporabiti tudi zastavico REQUIRE_SECURE_ENV.
Če želite implementirati zastavico FLAG_SECURE, v datoteko AndroidManifest.xml dodajte naslednjo vrstico:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Če želite implementirati zastavico REQUIRE_SECURE_ENV, v datoteko AndroidManifest.xml dodajte naslednjo vrstico:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>