Som utvecklare på Google Play spelar du en viktig roll för att skydda din app och dess användare. I takt med att social manipulering blir allt vanligare och särskilt riktar sig mot utsatta grupper är det viktigare än någonsin att vidta proaktiva åtgärder för att skydda användarna och appintegriteten.
I den här artikeln får du en översikt över två användbara säkerhetsflaggor för Android och Play som kan förbättra appens säkerhet: FLAG_SECURE och REQUIRE_SECURE_ENV. Genom att förstå och använda flaggorna på ett effektivt sätt kan du bidra till att bekämpa riktade övergrepp och ytterligare skydda appens ekosystem.
FLAG_SECURE
FLAG_SECURE signalerar att appen är avsedd att köras i en säkrare miljö, vilket minskar potentiella sårbarheter, försök till övervakning och attacker. Det är en flagga som anges i en apps kod för att indikera att användargränssnittet innehåller känsliga uppgifter som ska begränsas till en säker plattform medan appen används. Flaggan signalerar till andra appar och tjänster att uppgifterna inte ska visas på skärmbilder eller på osäkra skärmar. Utvecklarna deklarerar den här flaggan när appens innehåll inte ska sändas, visas eller på annat sätt överföras utanför appen eller användarens enhet. Om en skärm i appen till exempel innehåller känsliga uppgifter som kan utgöra en säkerhetsrisk om de visas av tredje part, till exempel en app för fjärrsupport, kan FLAG_SECURE deklarera denna känslighet och hjälpa till att tillhandahålla en säker miljö. Av säkerhetsskäl och i integritetssyfte måste alla appar som distribueras via Google Play respektera FLAG_SECURE och varken förmedla eller skapa lösningar för att kringgå flagginställningarna i andra appar.
REQUIRE_SECURE_ENV
Attacker i form av social manipulering är ett problem som särskilt drabbar äldre människor och andra utsatta grupper som kan vara mer sårbara för manipulering och bedrägeri. Dessa attacker innebär oftast att lura användare att avslöja känsliga uppgifter som lösenord eller ekonomisk information eller ladda ned skadligt innehåll.
Genom att använda flaggorna FLAG_SECURE och REQUIRE_SECURE_ENV kan du hjälpa till att motverka attacker i form av social manipulering i appen. Flaggorna används separat eller samtidigt och skyddar mot sårbarheter som angripare ofta utnyttjar för att få åtkomst till personliga och känsliga användaruppgifter eller enheter.
Skydda äldre användare och utsatta grupper från attacker i form av social manipulering
Attacker i form av social manipulering är ett problem som särskilt drabbar äldre människor och andra utsatta grupper som kan vara mer sårbara för manipulering och bedrägeri. Dessa attacker innebär oftast att lura användare att avslöja känsliga uppgifter som lösenord eller ekonomisk information eller ladda ned skadligt innehåll.
Genom att använda flaggorna FLAG_SECURE och REQUIRE_SECURE_ENV kan du hjälpa till att motverka attacker i form av social manipulering i appen. Flaggorna används separat eller samtidigt och skyddar mot sårbarheter som angripare ofta utnyttjar för att få åtkomst till personliga och känsliga användaruppgifter eller enheter.
Ytterligare skyddsåtgärder
Utöver att använda säkerhetsflaggor kan du vidta dessa ytterligare åtgärder för att skydda användarna mot attacker i form av social manipulering:
- Informera användarna om metoder för social manipulering: Tillhandahåll tydliga och kortfattade varningar i appen om vanliga tekniker för social manipulering, till exempel nätfiske och falska supportsamtal.
- Använd säkra autentiseringsmetoder: Använd robusta autentiseringsmetoder, till exempel tvåfaktorsautentisering, för att förhindra obehörig åtkomst till användarkonton.
- Uppdatera appen regelbundet: Se till att appen är uppdaterad med de senaste säkerhetskorrigeringarna och felkorrigeringarna för att åtgärda potentiella sårbarheter som kan utnyttjas av angripare.
Samarbete och fortlöpande utbildning
Att bekämpa otillåten användning och skydda användare är en fortlöpande process som kräver samarbete mellan utvecklare, Google Play och säkerhetscommunityn i stort. Håll dig informerad om säkerhetsrekommendationer på vår säkerhetsblogg.
Genom att samarbeta kan vi skapa ett säkrare och mer tillförlitligt ekosystem för alla användare.
Vanliga frågor
Klicka på en fråga nedan för att utöka eller komprimera den.
Påverkas mina appar negativt om jag använder dessa flaggor? Hur lång tid tar implementeringen?Dessa appar är utformade för att öka säkerheten och integriteten utan att påverka prestandan. Om appens funktioner till stor del förlitar sig på delning av skärmbilder eller skärminspelningar är det möjligt att användarna inte kan fånga dessa på de sidor där du ställer in FLAG_SECURE. I det här fallet är det viktigt att balansera säkerhetsbehoven med användarupplevelsen. Dessutom kan vissa anpassningar eller tillägg för tredjepartsappar förlita sig på metoder för skärminspelning som kan påverkas av flaggorna. Om appen integreras med sådana verktyg kan det vara bra att testa kompatibiliteten.
Implementeringsprocessen är vanligtvis snabb och enkel. Vanligtvis lägger man till några rader kod på sidor eller i aktiviteter där man vill använda flaggorna. Hur lång tid det tar beror på hur komplex appen är och antalet sidor som används.
FLAG_SECURE är en flagga på fönsternivå som vid aktivering anger att innehållet i fönstret ska behandlas som säkert och förhindra att det visas på skärmbilder eller osäkra skärmar, medan REQUIRE_SECURE_ENV signalerar till andra appar att din app måste köras i en säker miljö. Både FLAG_SECURE och REQUIRE_SECURE_ENV är säkerhetsflaggor som kan användas för att skydda Android-appar och användare från otillåten användning och attacker.
När en bankapp använder FLAG_SECURE på inloggningsskärmen skapas ett särskilt fönster som skyddar känsliga uppgifter, till exempel användarens inloggningsuppgifter. Generellt sett förhindrar det här skyddet att fönstrets innehåll visas på osäkra skärmar eller att de inkluderas på skärmbilder, i inspelningar eller i fjärrvisningsförsök. I stället för att se en användares inloggningsuppgifter kanske du bara ser ett tomt område på sådana skärmtyper.
Några exempel på appar som kan använda dessa flaggor är appar som hanterar personliga och känsliga användaruppgifter, till exempel ekonomisk information. Bankappar är ett exempel på appar som ofta använder FLAG_SECURE. För appar som är särskilt sårbara för otillåten användning, till exempel appar som riktar sig till äldre eller utsatta grupper, rekommenderar vi även att flaggan REQUIRE_SECURE_ENV används.
Om du vill använda flaggan FLAG_SECURE ska du lägga till följande rad i filen AndroidManifest.xml:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Om du vill använda flaggan REQUIRE_SECURE_ENV ska du lägga till följande rad i filen AndroidManifest.xml:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>