La sicurezza è fondamentale per Android. Collaboriamo con te per mantenere la piattaforma sicura e proteggere i dati degli utenti offrendo potenti strumenti e funzionalità di sicurezza, come Gestore delle credenziali e FLAG_SECURE. Ogni release di Android offre miglioramenti delle prestazioni e della sicurezza e, con Android 16, puoi adottare misure semplici e significative per rafforzare le difese della tua app. Guarda il nostro video o continua a leggere per scoprire di più sulle nostre protezioni avanzate per le API di accessibilità.

Proteggere l'app dallo spying con una sola riga di codice

Abbiamo notato che a volte gli utenti malintenzionati cercano di sfruttare le funzionalità delle API di accessibilità per leggere informazioni sensibili, come password e dettagli finanziari, direttamente dallo schermo e manipolare il dispositivo di un utente inserendo tocchi. Per contrastare questo problema, Android 16 offre una nuova e potente difesa in una sola riga di codice: accessibilityDataSensitive.

Il flag accessibilityDataSensitive ti consente di contrassegnare esplicitamente una visualizzazione o un componibile come contenente dati sensibili. Quando imposti questo flag su true nella tua app, blocchi essenzialmente le app potenzialmente dannose dall'accesso ai dati sensibili della visualizzazione o dall'esecuzione di interazioni su di essa. Ecco come funziona: a qualsiasi app che richieda l'autorizzazione di accessibilità e che non si sia dichiarata esplicitamente come strumento di accessibilità legittimo (isAccessibilityTool=true) viene negato l'accesso a questa visualizzazione.

Questa modifica semplice ma efficace contribuisce a impedire ai malware di rubare informazioni ed eseguire azioni non autorizzate, senza influire sull'esperienza degli utenti con gli strumenti di accessibilità legittimi. Nota: se un'app non è uno strumento di accessibilità, ma richiede le autorizzazioni di accessibilità e imposta isAccessibilityTool=true, Play la rifiuterà e Google Play Protect la bloccherà sui dispositivi degli utenti. 

Sicurezza automatica e avanzata per la protezione setFilterTouchesWhenObscured

Abbiamo già integrato questa nuova funzionalità di sicurezza accessibilityDataSensitive con il metodo setFilterTouchesWhenObscured esistente. 

Se utilizzi già setFilterTouchesWhenObscured(true) per proteggere la tua app dal tapjacking, le tue visualizzazioni vengono trattate automaticamente come dati sensibili per l'accessibilità. Migliorando il metodo setFilterTouchesWhenObscured con le protezioni accessibilityDataSensitive, offriamo immediatamente a tutti un ulteriore livello di difesa senza alcun lavoro aggiuntivo.

Per iniziare

Ti consigliamo di utilizzare setFilterTouchesWhenObscured o, in alternativa, il flag accessibilityDataSensitive su qualsiasi schermata che contenga informazioni sensibili, incluse le pagine di accesso, i flussi di pagamento e qualsiasi visualizzazione che mostri dati personali o finanziari.

Per Jetpack Compose

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

Per le app basate su visualizzazioni

Nel layout XML, aggiungi l'attributo pertinente alla visualizzazione sensibile.

In alternativa, puoi impostare la proprietà a livello di programmazione in Java o Kotlin:

Scopri di più sui flag accessibilityDataSensitive e setFilterTouchesWhenObscured nella guida al tapjacking.

Collaborare con gli sviluppatori per proteggere gli utenti

Abbiamo collaborato con gli sviluppatori in anticipo per assicurarci che questa funzionalità soddisfi le esigenze del mondo reale e si integri facilmente nel tuo flusso di lavoro.

"Abbiamo sempre dato la priorità alla protezione dei dati finanziari sensibili dei nostri clienti, il che ci ha richiesto di creare il nostro livello di protezione contro i malware basati sull'accessibilità. Revolut supporta con decisione l'introduzione di questa nuova API Android ufficiale, in quanto ci consente di abbandonare gradualmente il nostro codice personalizzato a favore di una difesa della piattaforma robusta e a riga singola."
- Vladimir Kozhevnikov, ingegnere Android di Revolut

Puoi svolgere un ruolo fondamentale nella protezione degli utenti dagli attacchi dannosi basati sull'accessibilità adottando queste funzionalità. Invitiamo tutti gli sviluppatori a integrare queste funzionalità nelle loro app per proteggere gli utenti. 

Insieme, possiamo creare un'esperienza più sicura e affidabile per tutti.