Ви як розробник Google Play відіграєте ключову роль у захисті свого додатка і його користувачів. Через поширення зловмисних кампаній із соціальної інженерії, націлених передусім на вразливі групи населення, сьогодні надзвичайно важливо вживати запобіжних заходів для захисту користувачів і цілісності додатків.
У цій статті наведено огляд двох корисних прапорів безпеки, які можуть підвищити рівень захисту вашого додатка на платформах Android і Google Play: FLAG_SECURE й REQUIRE_SECURE_ENV. Розуміючи механізми застосування цих прапорів і ефективно використовуючи їх, ви запобігатимете цілеспрямованим порушенням і посилюватимете безпеку екосистеми свого додатка.
FLAG_SECURE
Наявність прапора FLAG_SECURE означає, що додаток призначено для запуску в середовищі з підвищеним рівнем захисту, що зменшує ризики потенційних вразливостей і запобігає відстеженню дій користувача й атакам зловмисників. Цей прапор контенту декларується в програмному коді додатка й указує на те, що інтерфейс цього додатка містить чутливі дані, які можна переглянути в додатку лише на безпечній платформі. Він повідомляє інші додатки й сервіси про те, що певні дані в цьому додатку не можна відтворювати на знімках екрана або на незахищених дисплеях. Розробники декларують цей прапор, коли контент додатка не слід передавати в будь-який спосіб за межі додатка чи пристрою користувача. Наприклад, якщо вікно додатка містить чутливі дані, перегляд яких третьою особою (наприклад, через додаток для віддаленої підтримки) може становити загрозу безпеці, FLAG_SECURE – один зі способів задекларувати чутливий характер цих даних і сприяти роботі додатка в захищеному середовищі. З міркувань безпеки й конфіденційності всі додатки, що розповсюджуються в Google Play, мають враховувати прапор FLAG_SECURE – зокрема не намагатись і не пропонувати обійти в інших додатках передбачені ним обмеження за допомогою інших додатків.
REQUIRE_SECURE_ENV
Атаки з використанням методів соціальної інженерії особливо небезпечні для літніх людей і інших груп населення, уразливіших до маніпуляцій і шахрайства. Під час таких атак зловмисники часто намагаються виманити в користувачів чутливу інформацію (наприклад, паролі чи фінансові дані) або спонукати їх завантажити шкідливий контент.
Упровадивши в додатку прапори FLAG_SECURE й REQUIRE_SECURE_ENV, окремо або одночасно, ви зможете ефективніше запобігати атакам із використанням методів соціальної інженерії. Ці прапори допомагають захистити додаток від уразливостей, які зловмисники часто використовують, щоб отримати доступ до персональних і чутливих даних або пристроїв.
Захист літніх користувачів і інших вразливих груп населення від соціальної інженерії
Атаки з використанням методів соціальної інженерії особливо небезпечні для літніх людей і інших груп населення, уразливіших до маніпуляцій і шахрайства. Під час таких атак зловмисники часто намагаються виманити в користувачів чутливу інформацію (наприклад, паролі чи фінансові дані) або спонукати їх завантажити шкідливий контент.
Упровадивши в додатку прапори FLAG_SECURE й REQUIRE_SECURE_ENV, окремо або одночасно, ви зможете ефективніше запобігати атакам із використанням методів соціальної інженерії. Ці прапори допомагають захистити додаток від уразливостей, які зловмисники часто використовують, щоб отримати доступ до персональних і чутливих даних або пристроїв.
Додаткові заходи безпеки
На додачу до прапорів безпеки радимо вживати наведених нижче заходів, щоб захищати користувачів від методів соціальної інженерії.
- Чітко й стисло інформуйте користувачів про загрози соціальної інженерії в додатку, зокрема про поширені методи шахрайства, наприклад фішинг і фальшиві дзвінки від служби підтримки.
- Упроваджуйте безпечні методи автентифікації, наприклад двохетапну перевірку, щоб запобігати несанкціонованому доступу до облікових записів користувачів.
- Регулярно оновлюйте додаток, своєчасно публікуючи виправлення вразливостей і помилок та усуваючи потенційні слабкі місця, якими можуть скористатися зловмисники.
Співпраця й безперервне навчання
Запобігання порушенням і захист користувачів – це постійний процес, що ґрунтується на співпраці між розробниками, Google Play і цілою спільнотою, що відповідає за безпеку. У нашому спеціальному блозі ви знайдете практичні поради з безпеки й захисту.
Спільними зусиллями ми зробимо екосистему Android безпечнішою і надійнішою для всіх користувачів.
Поширені запитання
Натисніть запитання нижче, щоб розгорнути або згорнути його.
Чи не позначиться використання цих прапорів на моїх додатках? Скільки часу займе їх упровадження?Ці прапори призначено для посилення безпеки й конфіденційності, і вони не впливають на продуктивність додатка. Проте якщо ваш додаток здебільшого слугує для надсилання знімків екрана або записів відео з нього, через прапор FLAG_SECURE користувачі можуть втратити змогу робити це на сторінках, до яких застосовано обмеження. У такому разі важливо знайти баланс між заходами безпеки й можливостями взаємодії з користувачем. Крім того, ці прапори можуть перешкоджати роботі деяких налаштувань або розширень у певних сторонніх додатках. Якщо ваш додаток інтегрується з такими інструментами, варто перевірити їх на сумісність.
Процедура впровадження прапорів загалом швидка й зрозуміла. Зазвичай вам достатньо додати кілька рядків коду до відповідних сторінок або дій. Точний обсяг роботи залежить від складності додатка й кількості сторінок у ньому, до яких потрібно застосувати обмеження.
FLAG_SECURE – це прапор, що працює на рівні вікна. Він указує на те, що контент у певному вікні конфіденційний і його не можна показувати на знімках екрана й незахищених дисплеях. REQUIRE_SECURE_ENV повідомляє інші додатки про те, що ваш додаток має працювати в захищеному середовищі. FLAG_SECURE й REQUIRE_SECURE_ENV – це прапори безпеки, які слугують для захисту додатків для Android або користувачів від порушень і атак.
Наприклад, у банківському додатку прапор FLAG_SECURE показує на екрані входу спеціальне вікно, яке захищає чутливу інформацію, таку як облікові дані користувача. Зазвичай це запобігає відтворенню вмісту вікна на незахищених дисплеях і створенню знімків чи запису відео з екрана й унеможливлює віддалений перегляд. У такому разі облікові дані користувача не відображаються на екрані для входу.
Ці прапори можна використовувати, наприклад, у додатках, які обробляють персональні й чутливі дані, зокрема фінансову інформацію. Банківські додатки – один із прикладів додатків, які зазвичай містять прапор FLAG_SECURE. Крім того, ми рекомендуємо використовувати прапор REQUIRE_SECURE_ENV у додатках, які особливо вразливі до порушень (наприклад, у тих, що націлені на літніх людей або інші вразливі групи населення).
Щоб упровадити прапор FLAG_SECURE, додайте у файл AndroidManifest.xml такий рядок:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Щоб упровадити прапор REQUIRE_SECURE_ENV, додайте у файл AndroidManifest.xml такий рядок:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>