プロダクト ニュース

Android のセキュリティ強化: マルウェアによるアプリデータのスヌーピングを阻止

所要時間 2 分
Bennet Manuel & Robert Clifford

セキュリティは Android の基盤です。Google は、認証情報マネージャーFLAG_SECURE などの強力なセキュリティ ツールと機能を提供することで、プラットフォームの安全性を維持し、ユーザーデータを保護できるようデベロッパーの皆様をサポートしています。Android のリリースごとにパフォーマンスとセキュリティが強化されています。Android 16 では、アプリの防御を強化するための簡単で重要な手順を実行できます。ユーザー補助 API の保護強化について詳しくは、動画をご覧いただくか、この記事をお読みください。

 

 

1 行のコードでアプリをスヌーピングから保護

悪意のあるユーザーがユーザー補助 API の機能を悪用して、パスワードや財務情報などの機密情報を画面から直接読み取ったり、タッチを挿入してユーザーのデバイスを操作したりすることがあります。この問題に対処するため、Android 16 では、1 行のコードaccessibilityDataSensitive)で強力な防御を実現する新しい機能が提供されています。

accessibilityDataSensitive フラグを使用すると、ビューまたはコンポーザブルにセンシティブ データが含まれていることを明示的にマークできます。アプリでこのフラグを true に設定すると、悪意のあるアプリが機密ビューデータにアクセスしたり、機密ビューデータに対して操作を行ったりするのを効果的に阻止できます。仕組みは次のとおりです。ユーザー補助ツールとして明示的に宣言されていない(isAccessibilityTool=trueではない)アプリがユーザー補助権限をリクエストした場合、そのビューへのアクセスは拒否されます。

このシンプルながら効果的な変更により、マルウェアによる情報の窃取や不正な操作の実行を防ぐことができます。正規のユーザー補助ツールのユーザー エクスペリエンスに影響を与えることはありません。注: アプリがユーザー補助ツールではないにもかかわらず、ユーザー補助権限をリクエストして isAccessibilityTool=true に設定した場合、Google Play で拒否され、Google Play プロテクトによってユーザーのデバイスでブロックされます。

setFilterTouchesWhenObscured 保護の自動強化

この新しい accessibilityDataSensitive セキュリティ機能は、既存の setFilterTouchesWhenObscured メソッドにすでに統合されています。

タップジャッキングからアプリを保護するために setFilterTouchesWhenObscured(true) をすでに使用している場合、ビューはユーザー補助のセンシティブ データとして自動的に 扱われます。accessibilityDataSensitive 保護によって setFilterTouchesWhenObscured メソッドを強化することで、追加の作業なしで、すべてのユーザーに防御レイヤを追加できます。

image.png

スタートガイド

ログインページ、支払いフロー、個人データや財務データが表示されるビューなど、機密情報を含む画面すべてに setFilterTouchesWhenObscured を使用することをおすすめします。または、accessibilityDataSensitive フラグを使用することもできます。

Jetpack Compose の場合

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

 

semantics 修飾子を使用して、コンポーザブルに sensitiveData プロパティを適用します。

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

 

 

ビューベースのアプリの場合

XML レイアウトで、関連する属性を機密ビューに追加します。

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

<TextView android:filterTouchesWhenObscured="true" />

 

 

<TextView android:accessibilityDataSensitive="true" />

 

または、Java または Kotlin でプログラムによってプロパティを設定することもできます。

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

myView.filterTouchesWhenObscured = true;

 

 

myView.isAccessibilityDataSensitive = true;

 

 

myView.setFilterTouchesWhenObscured(true)

 

 

myView.setAccessibilityDataSensitive(true);

 

accessibilityDataSensitive フラグと setFilterTouchesWhenObscured フラグについて詳しくは、タップジャッキング ガイドをご覧ください。

デベロッパーとの連携によるユーザーの安全確保

Google は、この機能が実際のニーズを満たし、ワークフローにスムーズに統合されるように、早い段階からデベロッパーと協力して取り組んできました。

image.png

「当社は常にお客様の機密性の高い財務データの保護を最優先事項としており、ユーザー補助ベースのマルウェアに対する独自の保護レイヤを構築する必要がありました。Revolut は、この新しい公式の Android API の導入を強く支持しています。これにより、カスタムコードから徐々に移行し、堅牢な 1 行のプラットフォーム防御に移行できます。」
- Vladimir Kozhevnikov(Revolut の Android エンジニア)

これらの機能を導入することで、悪意のあるユーザー補助ベースの攻撃からユーザーを保護するうえで重要な役割を果たすことができます。すべてのデベロッパーがこれらの機能をアプリに統合して、ユーザーの安全を確保することをおすすめします。

力を合わせて、すべての人にとってより安全で信頼できるエクスペリエンスを構築しましょう。

執筆者:

続きを読む