Разработчики Google Play должны заботиться о безопасности своих приложений и тех, кто ими пользуется. Злоумышленники все чаще прибегают к социальной инженерии, направляя атаки на уязвимые слои населения. Поэтому сейчас как никогда важно принять упреждающие меры, чтобы защитить пользователей и целостность приложения.
В этой статье в общих чертах рассказано о флагах FLAG_SECURE и REQUIRE_SECURE_ENV. Они применяются в Android и Google Play и позволяют сделать приложение безопаснее. Эффективно используя их, вы помогаете бороться с целенаправленными злоупотреблениями и лучше защищаете экосистему приложения.
FLAG_SECURE
Флаг FLAG_SECURE указывает на то, что приложение должно выполняться в защищенной среде, в которой исключены потенциальные уязвимости, слежка и атаки. Он позволяет ограничить демонстрацию конфиденциальных данных в продукте, например исключить создание скриншотов с ними или просмотр таких сведений на незащищенных экранах. Объявляйте этот флаг, если контент приложения не следует транслировать, показывать или передавать другим образом за пределы приложения или устройства пользователя. Если на экране приложения показываются конфиденциальные данные, которые не должны быть доступны посторонним (например, через приложение для удаленной поддержки), их можно скрыть, объявив флаг FLAG_SECURE. По соображениям безопасности и конфиденциальности все приложения, которые распространяются через Google Play, должны учитывать наличие FLAG_SECURE. Это значит, что запрещается создавать способы обхода флага FLAG_SECURE в других приложениях или способствовать их использованию.
REQUIRE_SECURE_ENV
Суть атак с использованием социальной инженерии в том, чтобы обманом получить конфиденциальную информацию (например, пароли или данные банковских карт и счетов) или убедить скачать вредоносный контент. Таким злоупотреблениям особенно подвержены пожилые люди и другие уязвимые группы, которыми легче манипулировать.
Вы можете снизить вероятность таких атак в своем приложении с помощью флагов FLAG_SECURE и REQUIRE_SECURE_ENV. Вместе или по отдельности они помогают защититься от уязвимостей, которые позволяют злоумышленниками получать доступ к личным и конфиденциальным данным пользователей или их устройствам.
Как защитить пожилых пользователей и уязвимые группы от атак с использованием социальной инженерии
Суть атак с использованием социальной инженерии в том, чтобы обманом получить конфиденциальную информацию (например, пароли или данные банковских карт и счетов) или убедить скачать вредоносный контент. Таким злоупотреблениям особенно подвержены пожилые люди и другие уязвимые группы, которыми легче манипулировать.
Вы можете снизить вероятность таких атак в своем приложении с помощью флагов FLAG_SECURE и REQUIRE_SECURE_ENV. Вместе или по отдельности они помогают защититься от уязвимостей, которые позволяют злоумышленниками получать доступ к личным и конфиденциальным данным пользователей или их устройствам.
Дополнительные меры защиты
Помимо флагов безопасности, рекомендуем принять и другие меры, чтобы защитить пользователей от атак с приемами социальной инженерии. Вот что можно сделать:
- Объясняйте доступным языком, как работает социальная инженерия. Рассказывайте в приложении о распространенных опасностях, например фишинге и звонках от мошенников якобы из службы поддержки.
- Внедряйте безопасные и надежные способы входа. Один из них – двухэтапная аутентификация, которая помогает предотвратить доступ третьих лиц к аккаунтам пользователей.
- Регулярно обновляйте приложение. Включайте в него последние исправления потенциальных уязвимостей и ошибок, чтобы злоумышленники не могли ими воспользоваться.
Сотрудничество и постоянное повышение осведомленности
Борьба со злоупотреблениями и защита пользователей – это непрерывный процесс, требующий участия разработчиков, специалистов Google Play и широкого сообщества исследователей в сфере безопасности. Больше советов и рекомендаций вы найдете в нашем блоге, посвященном вопросам безопасности.
Вместе мы можем создать более безопасную экосистему Android, которой можно доверять.
Часто задаваемые вопросы
Чтобы развернуть или свернуть раздел, нажмите на его название.
Может ли использование флагов негативно сказаться на приложении? Сколько времени займет их внедрение?Эти флаги призваны усилить безопасность и защитить конфиденциальные данные. Они не влияют на производительность приложения. Но если создание скриншотов или запись видео с экрана – основные функции вашего приложения, FLAG_SECURE ограничит их использование на определенных экранах. Важно соблюдать баланс между безопасностью и удобством для пользователей. Также флаги могут влиять на некоторые сторонние настройки и расширения, которым необходима запись экрана. Если в вашем приложении есть такие функции, лучше протестировать их совместимость с этими флагами.
Процесс внедрения флагов прост и обычно не занимает много времени. Достаточно добавить несколько строк кода для нужных страниц или действий в приложении. Точное время внедрения зависит от сложности кодовой базы и количества страниц.
Флаг FLAG_SECURE действует на уровне открытого окна. Он указывает, что контент должен быть защищен от создания скриншотов или просмотра на незащищенном экране. Флаг REQUIRE_SECURE_ENV означает, что приложение должно выполняться в безопасной среде. Флаги FLAG_SECURE и REQUIRE_SECURE_ENV помогают защитить приложения Android и пользователей от злоупотреблений и атак.
Когда в банковском приложении на экране входа используется флаг FLAG_SECURE, создается специальное окно, защищающее конфиденциальную информацию, например учетные данные. Это помогает скрыть контент в окне на скриншотах и записях экрана, а также от просмотра на незащищенных экранах и при удаленном подключении к устройству. В этих случаях область с данными для входа будет пустой.
В тех, где обрабатываются личные и конфиденциальные пользовательские данные, например о банковских картах и счетах. Флаг FLAG_SECURE часто используют в своих продуктах финансовые организации. В приложениях, которые особенно подвержены злоупотреблениям, например предназначенных для пожилых людей или уязвимых групп, стоит также использовать флаг REQUIRE_SECURE_ENV.
Чтобы использовать флаг FLAG_SECURE, добавьте в файл AndroidManifest.xml следующую строку:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Чтобы использовать флаг REQUIRE_SECURE_ENV, добавьте в файл AndroidManifest.xml следующую строку:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>