האבטחה היא בסיסית ל-Android. אנחנו משתפים איתכם פעולה כדי לשמור על בטיחות הפלטפורמה ולהגן על נתוני המשתמשים. לשם כך אנחנו מציעים כלים ותכונות אבטחה מתקדמים, כמו Credential Manager ו- FLAG_SECURE. כל גרסה של Android מביאה שיפורים בביצועים ובאבטחה, וב-Android 16 אפשר לנקוט צעדים פשוטים ומשמעותיים כדי לחזק את ההגנות של האפליקציה. כדאי לצפות בסרטון או להמשיך לקרוא כדי לקבל מידע נוסף על אמצעי ההגנה המשופרים שלנו לממשקי API של נגישות.

הגנה על האפליקציה מפני חדירה באמצעות שורת קוד אחת

הבחנו בכך שגורמים זדוניים מנסים לפעמים לנצל תכונות של ממשקי API לנגישות כדי לקרוא מידע רגיש, כמו סיסמאות ופרטים פיננסיים, ישירות מהמסך ולשלוט במכשיר של המשתמש באמצעות הוספת מגעים. כדי להתמודד עם הבעיה הזו, ב-Android 16 יש אמצעי הגנה חדש ורב-עוצמתי בשורה אחת של קוד: accessibilityDataSensitive.

הדגל accessibilityDataSensitive מאפשר לסמן באופן מפורש תצוגה או רכיב שאפשר להרכיב כמכילים מידע אישי רגיש. כשמגדירים את הדגל הזה לערך true באפליקציה, חוסמים למעשה אפליקציות שעשויות להיות זדוניות מגישה לנתוני התצוגה הרגישים או מביצוע אינטראקציות בהם. כך זה עובד: כל אפליקציה שמבקשת הרשאת נגישות ולא הצהירה במפורש שהיא כלי נגישות לגיטימי (isAccessibilityTool=true), הגישה שלה לתצוגה הזו נדחית.

השינוי הפשוט הזה עוזר למנוע מתוכנות זדוניות לגנוב מידע ולבצע פעולות לא מורשות, בלי לפגוע בחוויית המשתמש של כלי נגישות לגיטימיים. הערה: אם אפליקציה היא לא כלי נגישות אבל היא מבקשת הרשאות נגישות ומגדירה את isAccessibilityTool=true, מערכת Play תדחה אותה ו-Google Play Protect יחסום אותה במכשירי המשתמשים. 

אבטחה אוטומטית ומשופרת להגנה על setFilterTouchesWhenObscured

כבר שילבנו את פונקציית האבטחה החדשה הזו, accessibilityDataSensitive עם השיטה הקיימת, setFilterTouchesWhenObscured. 

אם אתם כבר משתמשים ב- setFilterTouchesWhenObscured(true) כדי להגן על האפליקציה מפני הונאת הקשה, התצוגות שלכם מטופלות באופן אוטומטי כנתונים רגישים לצורך נגישות. שיפרנו את שיטת setFilterTouchesWhenObscured באמצעות אמצעי הגנה מסוג accessibilityDataSensitive, וכך אנחנו מעניקים לכולם באופן מיידי שכבת הגנה נוספת ללא צורך בעבודה נוספת.

תחילת העבודה

מומלץ להשתמש ב-setFilterTouchesWhenObscured או לחלופין בדגל accessibilityDataSensitive בכל מסך שמכיל מידע רגיש, כולל דפי כניסה, תהליכי תשלום וכל תצוגה שמציגה נתונים אישיים או פיננסיים.

ב-Jetpack פיתוח נייטיב

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

באפליקציות מבוססות-תצוגה

בפריסת ה-XML, מוסיפים את המאפיין הרלוונטי לתצוגה הרגישה.

לחלופין, אפשר להגדיר את הנכס באופן פרוגרמטי ב-Java או ב-Kotlin:

מידע נוסף על הדגלים accessibilityDataSensitive ו-setFilterTouchesWhenObscured זמין במדריך בנושא הונאת הקשה.

שותפות עם מפתחים כדי לשמור על בטיחות המשתמשים

עבדנו עם מפתחים בשלב מוקדם כדי לוודא שהתכונה הזו עונה על צרכים בעולם האמיתי ומשתלבת בצורה חלקה בתהליך העבודה שלכם.

"תמיד הייתה לנו עדיפות גבוהה להגן על נתונים פיננסיים רגישים של הלקוחות שלנו, ולכן נדרשנו לבנות שכבת הגנה משלנו מפני תוכנות זדוניות שמבוססות על נגישות. אנחנו ב-Revolut תומכים מאוד בהשקת ה-API החדש והרשמי הזה ל-Android, כי הוא מאפשר לנו לעבור בהדרגה מהקוד המותאם אישית שלנו לטובת הגנה חזקה ופשוטה על הפלטפורמה". 
- ולדימיר קוז'בניקוב, מהנדס Android ב-Revolut

אתם יכולים למלא תפקיד חשוב בהגנה על המשתמשים שלכם מפני מתקפות זדוניות שמבוססות על נגישות, על ידי שימוש בתכונות האלה. אנחנו ממליצים לכל המפתחים לשלב את התכונות האלה באפליקציות שלהם כדי לשמור על בטיחות המשתמשים. 

יחד, אנחנו יכולים ליצור חוויה בטוחה ואמינה יותר לכולם.