Som Google Play-utvikler spiller du en viktig rolle i å ivareta sikkerheten til appen din og brukerne av den. Sosial manipulering øker og retter seg spesielt mot sårbare grupper. Derfor er det viktigere enn noensinne at du proaktivt beskytter brukerne og integriteten til appen din.
I denne artikkelen finner du en oversikt over to nyttige sikkerhetsflagg for Android og Play som kan gjøre appen din sikrere: FLAG_SECURE og REQUIRE_SECURE_ENV. Hvis du forstår og bruker disse flaggene effektivt, kan du bidra i arbeidet mot målrettet misbruk og sikre økosystemet til appen din ytterligere.
FLAG_SECURE
FLAG_SECURE signaliserer at appen din er ment å kjøre i et sikrere miljø. Dette reduserer potensielle sårbarheter, overvåking og angrep. Det er et skjermflagg som deklareres i appkoden for å vise at appens brukergrensesnitt inneholder sensitive data som skal begrenses til en sikker plattform mens appen er i bruk. Dette signaliserer til andre apper og tjenester at dataene ikke skal vises i skjermdumper eller på usikrede skjermer. Utviklere deklarerer dette flagget når appinnholdet ikke skal kringkastes, vises eller på annen måte føres ut av appen eller brukerens enhet. Eksempel: Hvis en skjerm i appen din inneholder sensitive data som kan utgjøre en sikkerhetsrisiko hvis en tredjepart ser dem, for eksempel en app for fjernhjelp, er FLAG_SECURE én måte å opplyse om denne sensitiviteten og skape et sikkert miljø på. Av sikkerhets- og personvernhensyn må alle apper som distribueres på Google Play, overholde FLAG_SECURE. Det innebærer at de ikke legger til rette for eller gjør det mulig å omgå flagginnstillingene i andre apper.
REQUIRE_SECURE_ENV
Angrep via sosial manipulering er spesielt bekymringsfullt for eldre brukere og andre sårbare grupper som kan være mer utsatt for manipulering og villedelse. Slike angrep innebærer ofte å lure brukerne til å oppgi sensitiv informasjon som passord eller økonomisk informasjon eller laste ned skadelig innhold.
Ved å implementere FLAG_SECURE- og REQUIRE_SECURE_ENV-flaggene kan du bidra til å motvirke angrep via sosial manipulering i appen din. Når disse flaggene brukes uavhengig eller samtidig, bidrar de til å beskytte mot sårbarheter som angripere ofte utnytter for å få tilgang til personlige og sensitive brukerdata eller enheter.
Beskytt eldre brukere og sårbare grupper mot angrep via sosial manipulering
Angrep via sosial manipulering er spesielt bekymringsfullt for eldre brukere og andre sårbare grupper som kan være mer utsatt for manipulering og villedelse. Slike angrep innebærer ofte å lure brukerne til å oppgi sensitiv informasjon som passord eller økonomisk informasjon eller laste ned skadelig innhold.
Ved å implementere FLAG_SECURE- og REQUIRE_SECURE_ENV-flaggene kan du bidra til å motvirke angrep via sosial manipulering i appen din. Når disse flaggene brukes uavhengig eller samtidig, bidrar de til å beskytte mot sårbarheter som angripere ofte utnytter for å få tilgang til personlige og sensitive brukerdata eller enheter.
Ekstra sikkerhetstiltak
I tillegg til å bruke sikkerhetsflagg bør du vurdere disse tilleggstiltakene for å beskytte brukerne mot angrep via sosial manipulering:
- Gi brukerne informasjon om taktikker for sosial manipulering: Gi tydelige advarsler i appen din om vanlige teknikker for sosial manipulering, for eksempel nettfisking og falske anrop fra brukerstøtte.
- Implementer sikre autentiseringsmekanismer: Bruk robuste autentiseringsmetoder, for eksempel totrinnsbekreftelse, for å forhindre at noen får uautorisert tilgang til brukerkontoer.
- Oppdater appen regelmessig: Hold appen oppdatert med de siste sikkerhetsfeilrettingene og andre feilrettinger for å rette potensielle sårbarheter som angripere kan utnytte.
Samarbeid og opplæring
Beskyttelse av brukere og arbeidet mot misbruk krever kontinuerlig samarbeid mellom utviklere, Google Play og hele sikkerhetsfellesskapet. Hold deg oppdatert om anbefalte fremgangsmåter for sikkerhet ved å lese sikkerhetsbloggen vår.
Gjennom samarbeid kan vi skape et sikrere og mer pålitelig Android-økosystem.
Vanlige spørsmål
Klikk på et spørsmål nedenfor for å vise eller skjule det.
Endres appene mine på en negativ måte når jeg bruker disse flaggene? Hvor lang tid tar det å implementere dem?Disse appene er laget for å forbedre sikkerhet og personvern, ikke for å hindre ytelsen. Men hvis appfunksjonene i stor grad er avhengige av deling av skjermdumper eller skjermopptak, kan det hende at brukere ikke kan ta slike skjermbilder på de sidene hvis du angir FLAG_SECURE. I dette tilfellet er det viktig å finne en god balanse mellom sikkerhetsbehov og brukeropplevelse. I tillegg kan enkelte tilpasninger eller utvidelser fra tredjepartsapper være avhengig av metoder for skjermopptak som kan påvirkes av disse flaggene. Hvis appen din kan integreres med slike verktøy, er det lurt å teste at den er kompatibel.
Implementeringen går som regel raskt og enkelt. Den innebærer vanligvis å legge til et par linjer med kode på de relevante sidene eller aktivitetene der du vil bruke flaggene. Hvor lang tid det tar, avhenger av hvor kompleks appen din er, og antall sider som er involvert.
FLAG_SECURE er et flagg på vindusnivå som, når det er angitt, indikerer at innholdet i vinduet skal behandles som sikkert, og forhindrer at det vises i skjermdumper eller på skjermer som ikke er sikre. REQUIRE_SECURE_ENV signaliserer til andre apper at appen din må kjøre i et sikkert miljø. Både FLAG_SECURE og REQUIRE_SECURE_ENV er sikkerhetsflagg som kan brukes til å beskytte Android-apper og -brukere mot misbruk og angrep.
Når en bankapp bruker FLAG_SECURE på påloggingsskjermen sin, opprettes et spesialvindu som beskytter sensitiv informasjon, for eksempel brukerens påloggingslegitimasjon. Denne beskyttelsen bidrar generelt sett til å forhindre at innholdet i vinduet vises på skjermer som ikke er sikre, eller inkluderes i skjermdumper, opptak eller forsøk på fjernvisning. Derfor ser du kanskje bare et tomt område på denne typen skjermer i stedet for brukerens påloggingsinformasjon.
Eksempler på apper som kan bruke disse flaggene, er apper som håndterer personlige og sensitive brukerdata, for eksempel økonomisk informasjon. Bankapper er et eksempel på apper som ofte bruker FLAG_SECURE. For apper som er spesielt sårbare for misbruk, for eksempel apper som er målrettet mot eldre eller sårbare grupper, bør utvikleren vurdere også å bruke REQUIRE_SECURE_ENV-flagget.
For å implementere FLAG_SECURE-flagget legger du til følgende linje i AndroidManifest.xml-filen:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
For å implementere REQUIRE_SECURE_ENV-flagget legger du til følgende linje i AndroidManifest.xml-filen:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>