Android güvenliğini artırma: Kötü amaçlı yazılımların uygulama verilerinizi izinsiz dinlemesini engelleme
Okuma süresi 2 dakika
Güvenlik, Android'in temelini oluşturur. Kimlik Bilgisi Yöneticisi ve FLAG_SECURE gibi güçlü güvenlik araçları ve özellikleri sunarak platformun güvenliğini sağlamak ve kullanıcı verilerini korumak için sizinle birlikte çalışırız. Her Android sürümü, performans ve güvenlik iyileştirmeleri sunar. Android 16 ile uygulamanızın savunmasını güçlendirmek için basit ama önemli adımlar atabilirsiniz. Erişilebilirlik API'leri için geliştirdiğimiz korumalar hakkında daha fazla bilgi edinmek üzere videomuzu izleyin veya okumaya devam edin.
Tek bir kod satırıyla uygulamanızı gözetlemeye karşı koruma
Kötü niyetli kişilerin bazen erişilebilirlik API'si özelliklerini kullanarak şifreler ve finansal bilgiler gibi hassas bilgileri doğrudan ekrandan okumaya ve dokunma işlemleri ekleyerek kullanıcının cihazını manipüle etmeye çalıştığını gördük. Android 16, bu durumla mücadele etmek için tek bir kod satırında yeni ve güçlü bir savunma sağlar: accessibilityDataSensitive.
accessibilityDataSensitive işareti, bir görünümü veya composable'ı hassas veriler içeriyor olarak açıkça işaretlemenize olanak tanır. Bu işareti uygulamanızda true olarak ayarladığınızda, potansiyel olarak kötü amaçlı uygulamaların hassas görünüm verilerinize erişmesini veya bu veriler üzerinde etkileşimde bulunmasını engellersiniz. Bu özellik şu şekilde çalışır: Kendisini açıkça meşru bir erişilebilirlik aracı olarak beyan etmemiş (isAccessibilityTool=true) ve erişilebilirlik izni isteyen tüm uygulamaların bu görünüme erişimi reddedilir.
Bu basit ama etkili değişiklik, kötü amaçlı yazılımların bilgi çalmasını ve yetkisiz işlemler gerçekleştirmesini önlemeye yardımcı olur. Bu değişiklik, kullanıcıların yasal erişilebilirlik araçlarıyla ilgili deneyimini etkilemez. Not: Bir uygulama erişilebilirlik aracı olmamasına rağmen erişilebilirlik izinleri isterse ve isAccessibilityTool=true ayarını yaparsa Play uygulamayı reddeder ve Google Play Protect, kullanıcı cihazlarında uygulamayı engeller.
setFilterTouchesWhenObscured koruması için otomatik ve gelişmiş güvenlik
Bu yeni accessibilityDataSensitive güvenlik işlevini mevcut setFilterTouchesWhenObscured yöntemiyle entegre ettik.
Uygulamanızı dokunma saldırılarına karşı korumak için setFilterTouchesWhenObscured(true) kullanıyorsanız görünümleriniz erişilebilirlik için �{1}otomatik�{1} olarak hassas veri şeklinde değerlendirilir. setFilterTouchesWhenObscured yöntemini accessibilityDataSensitive korumalarıyla geliştirerek herkese anında ek bir savunma katmanı sunuyoruz.
Başlarken
Giriş sayfaları, ödeme akışları ve kişisel ya da finansal verileri gösteren tüm görünümler dahil olmak üzere hassas bilgiler içeren tüm ekranlarda setFilterTouchesWhenObscured veya alternatif olarak accessibilityDataSensitive işaretini kullanmanızı öneririz.
Jetpack Compose için
setFilterTouchesWhenObscured | accessibilityDataSensitive |
val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }
|
BasicText { text = “Your password”,
modifier = Modifier.semantics {
sensitiveData = true }}
|
Görünüme dayalı uygulamalar için
XML düzeninizde, hassas görünüme ilgili özelliği ekleyin.
setFilterTouchesWhenObscured | accessibilityDataSensitive |
|
|
Alternatif olarak, mülkü Java veya Kotlin'de programatik olarak ayarlayabilirsiniz:
setFilterTouchesWhenObscured | accessibilityDataSensitive |
|
|
|
|
accessibilityDataSensitive ve setFilterTouchesWhenObscured işaretleri hakkında daha fazla bilgiyi Tapjacking kılavuzunda bulabilirsiniz.
Kullanıcıların güvenliğini sağlamak için geliştiricilerle ortak çalışma
Bu özelliğin gerçek dünyadaki ihtiyaçları karşılamasını ve iş akışınıza sorunsuz bir şekilde entegre olmasını sağlamak için geliştiricilerle erken aşamada birlikte çalıştık.
"Müşterilerimizin hassas finansal verilerini korumaya her zaman öncelik verdik. Bu nedenle, erişilebilirlik tabanlı kötü amaçlı yazılımlara karşı kendi koruma katmanımızı oluşturmamız gerekti. Revolut, bu yeni ve resmi Android API'nin kullanıma sunulmasını güçlü bir şekilde destekliyor. Bu API, tek satırlık sağlam bir platform savunması için özel kodumuzdan kademeli olarak uzaklaşmamıza olanak tanıyor."
- Vladimir Kozhevnikov, Revolut'ta Android Mühendisi
Bu özellikleri kullanarak kullanıcılarınızı kötü amaçlı erişilebilirlik tabanlı saldırılardan korumada önemli bir rol oynayabilirsiniz. Kullanıcıların güvenliğini sağlamak için tüm geliştiricilerin bu özellikleri uygulamalarına entegre etmelerini öneririz.
Birlikte çalışarak herkes için daha güvenli ve güvenilir bir deneyim oluşturabiliriz.
-
Ürün HaberleriGoogle Play'de mümkün olan en güvenli ve güvenilir deneyimi sunmak Bugün, kullanıcı gizliliğini artırmak ve işletmenizi sahtekarlıktan korumak için yeni bir dizi politika güncellemesi ve hesap aktarma özelliğini duyuruyoruz.
Bennet Manuel • Okuma süresi 3 dakika -
Ürün HaberleriAndroid ekosisteminin temel unsurlarından biri, kullanıcıların güvenine verdiğimiz ortak önemdir. Mobil ortam geliştikçe hassas bilgileri koruma yaklaşımımız da değişiyor.
Robert Clifford • Okuma süresi 3 dakika -
Ürün HaberleriGoogle Play olarak, geliştiricilerin başarıya ulaşmak için gerekli araçlara ve uyum yeteneğine sahip olmasını sağlarken kullanıcılara da mümkün olan en iyi deneyimi sunmaya kararlıyız.
Paul Feng • Okuma süresi 3 dakika
Android geliştirmeyle ilgili en son analizleri her hafta gelen kutunuza alın.