Као Google Play програмер, имате кључну улогу у обезбеђивању безбедности и сигурности апликације и њених корисника. Због пораста броја кампања које се односе на злоупотребу друштвеног инжењеринга, посебно оних које циљају рањиву популацију, важније је него икад да предузмете проактивне мере за заштиту корисника и интегритета апликације.
Овај чланак садржи преглед две корисне Android и Play безбедносне ознаке које могу да побољшају безбедност апликације: FLAG_SECURE и REQUIRE_SECURE_ENV. Разумевањем и ефикасним коришћењем ових ознака можете да помогнете у борби против циљане злоупотребе и додатно заштитите екосистем апликације.
FLAG_SECURE
FLAG_SECURE сигнализира да је сврха апликације да ради у безбеднијем окружењу, чиме се ублажавају потенцијални пропусти, надгледање и напади. То је ознака на екрану за коју је у коду апликације утврђено да указује на то да кориснички интерфејс садржи осетљиве податке који треба да буду ограничени на безбедну платформу током коришћења апликације, чиме се другим апликацијама и услугама сигнализира да подаци не треба да се приказују на снимцима екрана нити да се прегледају на небезбедним екранима. Програмери наводе ову ознаку када садржај апликације не треба да се емитује, прегледа или на други начин преноси изван апликације или уређаја корисника. На пример, ако екран у апликацији садржи осетљиве податке који могу да представљају безбедносни ризик ако га прегледа трећа страна, попут апликације за даљинску подршку, FLAG_SECURE је један од начина да се та осетљивост наведе и помаже у пружању безбедног окружења. Због безбедности и приватности све апликације које се дистрибуирају на Google Play-у морају да поштују FLAG_SECURE, што подразумева да не олакшавате нити правите заобилазна решења за заобилажење подешавања ознака у другим апликацијама.
REQUIRE_SECURE_ENV
Напади са друштвеним инжењерингом су посебно узнемирујући за старију популацију и друге рањиве групе које су можда подложније манипулацији и обмани. Ови напади често подразумевају преваре корисника како би открили осетљиве информације, као што су лозинке или финансијски детаљи, или преузимање злонамерног садржаја.
Применом ознака FLAG_SECURE и REQUIRE_SECURE_ENV можете да ублажите нападе са друштвеним инжењерингом у оквиру апликације. Ове ознаке, које се користе независно или истовремено, помажу у заштити од рањивости које нападачи често злоупотребљавају да би добили приступ личним и осетљивим подацима корисника или уређајима.
Заштита старијих корисника и осетљиве популације од злоупотребе друштвеног инжењеринга
Напади са друштвеним инжењерингом су посебно узнемирујући за старију популацију и друге рањиве групе које су можда подложније манипулацији и обмани. Ови напади често подразумевају преваре корисника како би открили осетљиве информације, као што су лозинке или финансијски детаљи, или преузимање злонамерног садржаја.
Применом ознака FLAG_SECURE и REQUIRE_SECURE_ENV можете да ублажите нападе са друштвеним инжењерингом у оквиру апликације. Ове ознаке, које се користе независно или истовремено, помажу у заштити од рањивости које нападачи често злоупотребљавају да би добили приступ личним и осетљивим подацима корисника или уређајима.
Додатне заштитне мере
Поред коришћења безбедносних ознака, размислите о примени ових додатних мера да бисте заштитили кориснике од злоупотребе друштвеног инжењеринга:
- Информишите кориснике о тактикама друштвеног инжењеринга: Наведите јасна и сажета упозорења у оквиру апликације о уобичајеним техникама друштвеног инжењеринга, као што су преваре „пецањем“ и лажни позиви подршци.
- Примените безбедне механизме потврде идентитета: Примењујте поуздане методе потврде идентитета, као што је потврда идентитета помоћу два фактора, да бисте спречили неовлашћен приступ корисничким налозима.
- Редовно ажурирајте апликацију: Редовно ажурирајте апликацију најновијим безбедносним закрпама и исправкама грешака да бисте отклонили све потенцијалне пропусте које нападачи могу да искористе.
Сарадња и стална едукација
Борба против злоупотребе и заштита корисника је стални процес који захтева сарадњу између програмера, Google Play-а и шире заједнице за безбедност. Будите информисани о најбољим праксама за безбедност тако што ћете прочитати блог Сигурност и безбедност.
Заједно можемо да направимо безбеднији и поузданији Android екосистем за све кориснике.
Честа питања
Кликните на питање у наставку да бисте га проширили или скупили.
Да ли ће коришћење ових ознака негативно променити моје апликације? Колико дуго траје примена?Ове апликације су осмишљене да побољшају безбедност и приватност, а не да ометају перформансе. Међутим, ако се функције апликације у великој мери ослањају на дељење снимака екрана, подешавање FLAG_SECURE може да спречи кориснике да снимају тај визуелни материјал на тим страницама. У овом случају је важно да успоставите равнотежу између безбедносних потреба и корисничког доживљаја. Такође, нека прилагођавања или додаци независних апликација могу да се ослањају на методе снимања екрана на које могу да утичу те ознаке. Ако се апликација интегрише са таквим алаткама, требало би да тестирате компатибилност.
Поступак примене је углавном брз и једноставан. То обично подразумева додавање неколико редова кода на релевантне странице или активности на које желите да примените ознаке. Тачно време зависи од сложености апликације и броја обухваћених страница.
FLAG_SECURE је ознака на нивоу прозора која приликом подешавања указује на то да се садржај прозора третира као безбедан, спречавајући његово приказивање на снимцима екрана или прегледње на небезбедним екранима, док REQUIRE_SECURE_ENV сигнализира другим апликацијама да апликација мора да ради у безбедном окружењу. И FLAG_SECURE и REQUIRE_SECURE_ENV су безбедносне ознаке које могу да се користе за заштиту Android апликација/корисника од злоупотребе и напада.
Када апликација за банкарство користи FLAG_SECURE на екрану за пријављивање, прави се посебан прозор који штити осетљиве информације, попут корисникових акредитива за пријављивање. По правилу, ова заштита помаже у спречавању приказивања садржаја у прозору на небезбедним екранима или на снимцима екрана, снимцима или покушајима даљинског гледања. Стога, уместо да видите податке за пријављивање корисника, можете да видите само празну област на тим врстама екрана.
Неки примери апликација које могу да користе ове ознаке су апликације које обрађују личне и осетљиве податке корисника, попут финансијских информација. Апликације за банкарство су неки примери апликација које често користе дозволу FLAG_SECURE. Апликације које су посебно подложне злоупотреби, попут апликација које циљају старију или рањиву популацију, треба да узму у обзир и коришћење ознаке REQUIRE_SECURE_ENV.
Да бисте применили ознаку FLAG_SECURE, додајте следећи ред у AndroidManifest.xml фајл:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Да бисте применили ознаку REQUIRE_SECURE_ENV, додајте следећи ред у фајл AndroidManifest.xml:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>