Google Play geliştiricisi olarak, uygulamanızın ve uygulamanızı kullananların güvenliğini sağlama konusunda çok önemli bir rol oynarsınız. Özellikle savunmasız kitleleri hedefleyen sosyal mühendisliği kötüye kullanma kampanyalarının artmasıyla birlikte, kullanıcılarınızı ve uygulamanızın doğruluğunu korumak için proaktif önlemler almak her zamankinden daha önemli hale gelmiştir.
Bu makalede, uygulamanızın güvenliğini geliştirebilecek iki faydalı Android ve Play güvenlik işareti olan FLAG_SECURE ve REQUIRE_SECURE_ENV ile ilgili özet bilgi sunulmaktadır. Bu işaretleri anlayıp etkili bir şekilde kullanarak, hedeflenen kötüye kullanım durumlarıyla mücadeleye yardımcı olabilir ve uygulamanızın ekosistemini daha iyi koruyabilirsiniz.
FLAG_SECURE
FLAG_SECURE, uygulamanızın daha güvenli bir ortamda çalışacak şekilde tasarlandığını gösterir. Bu sayede olası güvenlik açıkları, izleme ve saldırı girişimleri azaltılır. Bu, bir uygulamanın kodunda belirtilen bir ekran işaretidir ve kullanıcı arayüzünde hassas verilerin bulunduğunu, uygulama kullanılırken güvenli bir alanda görüntülenmesi gerektiğini belirtir. Verinin ekran görüntülerinde görünmemesi veya güvenli olmayan ekranlarda görüntülenmemesi konusunda diğer uygulamaları ve hizmetleri bilgilendirir. Geliştiriciler, uygulama içeriğinin yayınlanmaması, görüntülenmemesi veya uygulamanın ya da kullanıcı cihazının dışına aktarılmaması gerektiğinde bu işareti beyan ederler. Örneğin, uygulamanızdaki bir ekranda, üçüncü taraflarca görüntülendiğinde güvenlik riski oluşturabilecek uzaktan destek uygulaması gibi hassas veriler varsa FLAG_SECURE bu hassasiyeti belirtmenin ve güvenli bir ortam sağlamaya yardımcı olmanın yollarından biridir. Güvenlik ve gizlilik nedeniyle, Google Play'de dağıtılan tüm uygulamaların FLAG_SECURE işaretine uyması ve diğer uygulamalardaki işaretleme ayarlarının atlatılmasına yardımcı olmaması veya buna ilişkin bir çözüm yolu sunmaması gerekir.
REQUIRE_SECURE_ENV
Sosyal mühendislik saldırıları, özellikle yaşlı nüfusu ve manipülasyona veya aldatmaya daha açık olabilecek diğer savunmasız kitleleri endişelendirmektedir. Bu saldırılar genellikle şifre veya finansal bilgiler gibi hassas bilgilerini vermeleri veya kötü amaçlı içerik indirmeleri için kullanıcıları kandırmaya yöneliktir.
FLAG_SECURE ve REQUIRE_SECURE_ENV işaretini uygulayarak uygulamanızla ilgili sosyal mühendislik saldırılarını azaltabilirsiniz. Bağımsız olarak veya aynı anda kullanılabilen bu işaretler, saldırganların kişisel ve hassas kullanıcı verilerine ya da cihazlarına erişmek için sıklıkla kötüye kullandığı güvenlik açıklarına karşı koruma sağlar.
Yaşlı kullanıcıları ve savunmasız kitleleri sosyal mühendisliğin kötüye kullanımına karşı koruma
Sosyal mühendislik saldırıları, özellikle yaşlı nüfusu ve manipülasyona veya aldatmaya daha açık olabilecek diğer savunmasız kitleleri endişelendirmektedir. Bu saldırılar genellikle şifre veya finansal bilgiler gibi hassas bilgilerini vermeleri veya kötü amaçlı içerik indirmeleri için kullanıcıları kandırmaya yöneliktir.
FLAG_SECURE ve REQUIRE_SECURE_ENV işaretini uygulayarak uygulamanızla ilgili sosyal mühendislik saldırılarını azaltabilirsiniz. Bağımsız olarak veya aynı anda kullanılabilen bu işaretler, saldırganların kişisel ve hassas kullanıcı verilerine ya da cihazlarına erişmek için sıklıkla kötüye kullandığı güvenlik açıklarına karşı koruma sağlar.
Koruyucu ek önlemler
Kullanıcılarınızı sosyal mühendisliğin kötüye kullanımına karşı korumaya yardımcı olmak için güvenlik işaretlerinden yararlanmanın yanı sıra şu ek önlemlere de başvurabilirsiniz:
- Kullanıcıları sosyal mühendislik taktikleri konusunda bilgilendirin: Uygulamanızda, kimlik avı dolandırıcılığı ve sahte destek çağrıları gibi yaygın sosyal mühendislik teknikleri hakkında açık ve net uyarılarda bulunun.
- Güvenli kimlik doğrulama mekanizmaları uygulayın: Kullanıcı hesaplarına yetkisiz erişimi önlemek için iki faktörlü kimlik doğrulama gibi güçlü kimlik doğrulama yöntemleri kullanın.
- Uygulamanızı düzenli olarak güncelleyin: Saldırganlar tarafından kötü amaçla kullanılabilecek güvenlik açıklarını gidermek için uygulamanızı en son güvenlik yamaları ve hata düzeltmeleriyle güncelleyin.
Ortak çalışma ve sürekli eğitim
Kötüye kullanımla mücadele ve kullanıcıları koruma; geliştiricilerin, Google Play'in ve daha geniş güvenlik topluluğunun işbirliğini gerektiren kesintisiz bir süreçtir. Güvenlik blogumuzu okuyarak güvenlikle ilgili en iyi uygulamalar hakkında bilgi sahibi olun.
Birlikte çalışarak, tüm kullanıcılar için daha güvenli ve güvenilir bir Android ekosistemi oluşturabiliriz.
Sık sorulan sorular
Aşağıdaki bölümleri tıklayarak genişletip daraltabilirsiniz.
Bu işaretlerin kullanılması uygulamalarımı olumsuz yönde etkiler mi? İşaretlerin uygulanması ne kadar sürer?Bu uygulamalar güvenliği ve gizliliği geliştirmek için tasarlanmıştır, performansı engellemez. Ancak uygulamanızın özellikleri ağırlıklı olarak ekran görüntülerinin veya ekran kayıtlarının paylaşılmasını gerektiriyorsa FLAG_SECURE işaretinin uygulanması kullanıcıların ilgili sayfalarda bu görselleri yakalamasını engelleyebilir. Böyle durumlarda, güvenlik ihtiyaçları ile kullanıcı deneyimi arasında bir denge kurmak çok önemlidir. Ayrıca bazı üçüncü taraf uygulama özelleştirmeleri veya uzantılarında da bu işaretlerden etkilenebilecek ekran yakalama yöntemleri kullanılabilmektedir. Uygulamanız bu tür araçlarla entegre oluyorsa uyumluluğu test etmek yararlı olacaktır.
Uygulama süreci genellikle hızlı ve basittir. Genellikle, işaretleri uygulamak istediğiniz alakalı sayfalara veya etkinliklere birkaç satır kod eklemekten ibarettir. Tam olarak ne kadar süreceği uygulamanızın karmaşıklığına ve ilgili sayfa sayısına bağlıdır.
FLAG_SECURE, pencere içeriğinin güvenli sayılacağını belirten ve ekran görüntülerinde veya güvenli olmayan ekranlarda görüntülenmesini önleyen pencere düzeyinde bir işarettir. REQUIRE_SECURE_ENV ise uygulamanızın güvenli bir ortamda çalışması gerektiği konusunda diğer uygulamaları bilgilendirir. Hem FLAG_SECURE hem de REQUIRE_SECURE_ENV, Android uygulamalarını/kullanıcılarını kötüye kullanıma ve saldırılara karşı korumak için kullanılabilecek güvenlik işaretleridir.
Bir bankacılık uygulaması giriş ekranında FLAG_SECURE kullandığında kullanıcının giriş kimlik bilgileri gibi hassas bilgileri koruyan özel bir pencere oluşturulur. Genel kural olarak bu koruma, pencere içeriğinin güvenli olmayan ekranlarda görüntülenmesini, ekran görüntüsü veya kayıt olarak alınmasını ya da uzaktan izleme girişimleriyle görülmesini önlemeye yardımcı olur. Dolayısıyla bu tür ekranlarda kullanıcının giriş bilgileri değil, yalnızca boş bir alan görünür.
Bu işaretlerin kullanılabildiği uygulamalara örnek olarak, finansal bilgiler gibi kişisel ve hassas kullanıcı verilerini işleyen uygulamalar verilebilir. Bankacılık uygulamaları FLAG_SECURE işlevini sıklıkla kullanan uygulamalardandır. Yaşlıları veya savunmasız kitleleri hedefleyen uygulamalar gibi kötüye kullanım riski taşıyan uygulamalarda da REQUIRE_SECURE_ENV işareti kullanılabilir.
FLAG_SECURE işaretini uygulamak için AndroidManifest.xml dosyanıza aşağıdaki satırı ekleyin:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
REQUIRE_SECURE_ENV işaretini uygulamak için ise yine AndroidManifest.xml dosyanıza şu satırı ekleyin:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>