In diesem Dokument wird beschrieben, wie Sie vertrauliche Aktivitäten wie Nutzeranmeldungen und Onlinekäufe überwachen können.
FLAG_SICHER
FLAG_SECURE
ist ein Fenster-Flag. Damit wird Android angewiesen, keine Screenshots zuzulassen oder die Fensteransicht auf einem nicht sicheren Bildschirm anzuzeigen (z. B. beim Streamen des Bildschirms). Dies ist nützlich für Anwendungen, die vertrauliche Daten schützen müssen, wie Bank-Apps oder Passwortmanager. Wenn ein Fenster mit FLAG_SECURE
gekennzeichnet ist, verhindert Android, dass Screenshots aufgenommen werden, und verhindert, dass das Fenster auf einem nicht sicheren Bildschirm wie einem Fernseher oder Projektor angezeigt wird. Dadurch werden die im Fenster angezeigten Informationen vor dem Zugriff durch Unbefugte geschützt.
So trägt dies zur Eindämmung von Betrug bei
Eine schädliche App oder Entität ruft möglicherweise Hintergrund-Screenshots ab. Wenn sich der Status Ihrer App in den Hintergrund ändert, kann FLAG_SECURE
verwendet werden. Wenn der Screenshot aufgenommen wurde, ist das resultierende Bild leer.
FLAG_SECURE
eignet sich auch für Anwendungsfälle mit der Remote-Bildschirmfreigabe. Es ist nicht immer eine schädliche App, die Screenshots abruft. Auch legitime Apps zur Bildschirmfreigabe kommen häufig in betrügerischen Situationen zum Einsatz.
Implementierung
Fügen Sie für Ansichten mit den Informationen, die geschützt werden sollen, Folgendes hinzu:
Kotlin
window?.setFlags( WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE )
Java
window.setFlags( WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE );
Best Practices
Hinweis: Mit dieser Methode lassen sich Overlay-Angriffe nicht zuverlässig verhindern. In einigen Fällen wird nicht richtig vorhergesagt, ob die Bildschirmaufzeichnung aktiv ist. Die meisten Anwendungsfälle werden jedoch abgedeckt. Lesen Sie den nächsten Abschnitt zu HIDE_OVERLAY_WINDOWS
-Berechtigungen, um Overlay-Angriffe abzuwehren.
ÜBERLAY_WINDOWS_AUSBLENDEN
HIDE_OVERLAY_WINDOWS
ist eine Berechtigung, die in Android 12 hinzugefügt wird. Damit lässt sich in Ihrer App verhindern, dass App-Overlays eingeblendet werden. In Android 12 haben wir es schwieriger gemacht, die Berechtigung SYSTEM_ALERT_WINDOW
zu erhalten. Im Wesentlichen ermöglicht deine App, Overlays von Drittanbieter-Apps zu blockieren.
So trägt dies zur Eindämmung von Betrug bei
Wenn Sie die Berechtigung HIDE_OVERLAY_WINDOWS
aktivieren, deaktivieren Sie damit, dass Anwendungs-Overlays über Ihrer App eingeblendet werden. Diese Berechtigung bietet einen Schutz vor Cloaking- und Dagger-Angriffen.
Implementierung
Fügen Sie dem Manifest Ihres Projekts HIDE_OVERLAY_WINDOWS
hinzu, um diese Berechtigung zu aktivieren.
Best Practices
Wie bei jeder Berechtigung solltest du jeder Overlay-App mindestens genauso vertrauen wie jeder anderen App auf dem Gerät. Mit anderen Worten: Ihre App sollte anderen Apps nur dann erlauben, dass Overlays darüber eingeblendet werden, wenn Sie wissen, dass die andere App vertrauenswürdig ist. Es kann gefährlich sein, eine App über andere Apps zu legen, da sie Passwörter stehlen oder Nachrichten lesen kann.