Bezpieczeństwo jest podstawą Androida. Współpracujemy z Tobą, aby zapewnić bezpieczeństwo platformy i chronić dane użytkowników, oferując zaawansowane narzędzia i funkcje zabezpieczeń, takie jak Menedżer danych logowania i FLAG_SECURE. Każda wersja Androida wprowadza ulepszenia wydajności i zabezpieczeń, a Android 16 umożliwia podjęcie prostych, ale znaczących kroków w celu wzmocnienia ochrony aplikacji. Obejrzyj film lub czytaj dalej, aby dowiedzieć się więcej o naszych ulepszonych zabezpieczeniach interfejsów API ułatwień dostępu.

Ochrona aplikacji przed szpiegowaniem za pomocą jednej linii kodu

Zauważyliśmy, że nieuczciwe podmioty czasami próbują wykorzystywać funkcje interfejsu API ułatwień dostępu do odczytywania informacji poufnych, takich jak hasła i dane finansowe, bezpośrednio z ekranu oraz manipulowania urządzeniem użytkownika przez wstrzykiwanie dotknięć. Aby temu zapobiec, w Androidzie 16 wprowadziliśmy nową, skuteczną ochronę w postaci jednej linii kodu: accessibilityDataSensitive.

Flaga accessibilityDataSensitive umożliwia wyraźne oznaczenie widoku lub funkcji kompozycyjnej jako zawierających dane wrażliwe. Gdy ustawisz tę flagę w aplikacji na wartość true, zablokujesz dostęp potencjalnie złośliwych aplikacji do poufnych danych widoku i uniemożliwisz im wykonywanie na nich interakcji. Działa to w ten sposób: każdej aplikacji, która prosi o uprawnienia do ułatwień dostępu, ale nie zadeklarowała wyraźnie, że jest narzędziem ułatwień dostępu (isAccessibilityTool=true), odmawia się dostępu do tego widoku.

Ta prosta, ale skuteczna zmiana pomaga zapobiegać kradzieży informacji i wykonywaniu nieautoryzowanych działań przez złośliwe oprogramowanie, a jednocześnie nie wpływa na wygodę korzystania z prawidłowych narzędzi ułatwień dostępu. Uwaga: jeśli aplikacja nie jest narzędziem ułatwień dostępu, ale prosi o uprawnienia do ułatwień dostępu i ustawia wartość isAccessibilityTool=true, odrzucimy ją, a Google Play Protect zablokuje ją na urządzeniach użytkowników. 

Automatyczne, zwiększone zabezpieczenie setFilterTouchesWhenObscured

Zintegrowaliśmy już tę nową funkcję zabezpieczeń accessibilityDataSensitive z dotychczasową metodą setFilterTouchesWhenObscured. 

Jeśli używasz już setFilterTouchesWhenObscured(true) do ochrony aplikacji przed atakami typu tapjacking, Twoje widoki są automatycznie traktowane jako dane wrażliwe na potrzeby ułatwień dostępu. Ulepszając metodę setFilterTouchesWhenObscured za pomocą zabezpieczeń accessibilityDataSensitive, od razu zapewniamy wszystkim dodatkową warstwę ochrony bez dodatkowego nakładu pracy.

Pierwsze kroki

Zalecamy używanie flagi setFilterTouchesWhenObscured lub accessibilityDataSensitive na każdym ekranie zawierającym informacje poufne, w tym na stronach logowania, w procesach płatności i w widokach wyświetlających dane osobowe lub finansowe.

W przypadku Jetpack Compose

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

W przypadku aplikacji opartych na widokach

W układzie XML dodaj odpowiedni atrybut do widoku zawierającego dane wrażliwe.

Możesz też ustawić właściwość programowo w Javie lub Kotlinie:

Więcej informacji o flagach accessibilityDataSensitive i setFilterTouchesWhenObscured znajdziesz w przewodniku na temat przechwytywania kliknięć.

Współpraca z deweloperami w celu zapewnienia bezpieczeństwa użytkownikom

Współpracowaliśmy z deweloperami od samego początku, aby mieć pewność, że ta funkcja spełnia rzeczywiste potrzeby i płynnie integruje się z Twoim procesem.

Zawsze priorytetowo traktowaliśmy ochronę wrażliwych danych finansowych naszych klientów, co wymagało od nas zbudowania własnej warstwy ochrony przed złośliwym oprogramowaniem opartym na ułatwieniach dostępu. Revolut zdecydowanie popiera wprowadzenie tego nowego, oficjalnego interfejsu API na Androida, ponieważ pozwala nam stopniowo odchodzić od naszego niestandardowego kodu na rzecz solidnej, jednoliniowej ochrony platformy”.
– Vladimir Kozhevnikov, inżynier Androida w Revolut

Możesz odegrać kluczową rolę w ochronie użytkowników przed złośliwymi atakami wykorzystującymi ułatwienia dostępu, wdrażając te funkcje. Zachęcamy wszystkich deweloperów do zintegrowania tych funkcji z aplikacjami, aby zwiększyć bezpieczeństwo użytkowników. 

Razem możemy stworzyć bezpieczniejsze i bardziej wiarygodne środowisko dla wszystkich.