Bảo mật là nền tảng của Android. Chúng tôi hợp tác với bạn để giữ an toàn cho nền tảng và bảo vệ dữ liệu người dùng bằng cách cung cấp các công cụ và tính năng bảo mật mạnh mẽ, chẳng hạn như Trình quản lý thông tin xác thực và FLAG_SECURE. Mỗi bản phát hành Android đều mang đến những điểm cải tiến về hiệu suất và bảo mật. Với Android 16, bạn có thể thực hiện các bước đơn giản nhưng quan trọng để tăng cường khả năng phòng thủ của ứng dụng. Hãy xem video của chúng tôi hoặc tiếp tục đọc để tìm hiểu thêm về các biện pháp bảo vệ nâng cao cho API hỗ trợ tiếp cận.

Bảo vệ ứng dụng của bạn khỏi hành vi xâm nhập bằng một dòng mã

Chúng tôi nhận thấy đôi khi những đối tượng xấu cố gắng khai thác các tính năng API về khả năng tiếp cận để đọc thông tin nhạy cảm (chẳng hạn như mật khẩu và thông tin tài chính) ngay trên màn hình và thao túng thiết bị của người dùng bằng cách chèn các thao tác chạm. Để chống lại điều này, Android 16 cung cấp một biện pháp bảo vệ mới và mạnh mẽ trong một dòng mã duy nhất: accessibilityDataSensitive.

Cờ accessibilityDataSensitive cho phép bạn đánh dấu rõ ràng một khung hiển thị hoặc thành phần kết hợp là có chứa dữ liệu nhạy cảm. Khi đặt cờ này thành true trên ứng dụng, về cơ bản, bạn đang chặn các ứng dụng có khả năng gây hại truy cập vào dữ liệu nhạy cảm về khung hiển thị hoặc thực hiện các lượt tương tác trên dữ liệu đó. Sau đây là cách hoạt động của tính năng này: mọi ứng dụng yêu cầu quyền hỗ trợ tiếp cận nhưng chưa khai báo rõ ràng là một công cụ hỗ trợ tiếp cận hợp pháp (isAccessibilityTool=true) sẽ bị từ chối quyền truy cập vào chế độ xem đó.

Thay đổi đơn giản nhưng hiệu quả này giúp ngăn chặn phần mềm độc hại đánh cắp thông tin và thực hiện các hành động trái phép mà không ảnh hưởng đến trải nghiệm của người dùng đối với các công cụ hỗ trợ tiếp cận hợp lệ. Lưu ý: Nếu một ứng dụng không phải là công cụ hỗ trợ tiếp cận nhưng yêu cầu quyền hỗ trợ tiếp cận và đặt isAccessibilityTool=true, thì Play sẽ từ chối ứng dụng đó và Google Play Protect sẽ chặn ứng dụng đó trên thiết bị của người dùng. 

Tự động tăng cường bảo mật cho tính năng bảo vệ setFilterTouchesWhenObscured

Chúng tôi đã tích hợp chức năng bảo mật accessibilityDataSensitive mới này với phương thức setFilterTouchesWhenObscured hiện có. 

Nếu bạn đã dùng setFilterTouchesWhenObscured(true) để bảo vệ ứng dụng của mình khỏi hành vi tấn công bằng cách chèn lớp phủ, thì các khung hiển thị của bạn sẽ tự động được coi là dữ liệu nhạy cảm cho khả năng tiếp cận. Bằng cách tăng cường phương thức setFilterTouchesWhenObscured bằng các biện pháp bảo vệ accessibilityDataSensitive, chúng tôi ngay lập tức cung cấp thêm một lớp phòng vệ cho mọi người mà không cần làm gì thêm.

Bắt đầu

Bạn nên sử dụng setFilterTouchesWhenObscured hoặc cờ accessibilityDataSensitive trên mọi màn hình có chứa thông tin nhạy cảm, bao gồm cả trang đăng nhập, quy trình thanh toán và mọi khung hiển thị dữ liệu cá nhân hoặc tài chính.

Đối với Jetpack Compose

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

Đối với các ứng dụng dựa trên Lượt xem

Trong bố cục XML, hãy thêm thuộc tính liên quan vào khung hiển thị nhạy cảm.

Ngoài ra, bạn có thể đặt thuộc tính theo phương thức lập trình trong Java hoặc Kotlin:

Đọc thêm về các cờ accessibilityDataSensitive và setFilterTouchesWhenObscured trong hướng dẫn về Lừa đảo bằng cách nhấn.

Hợp tác với nhà phát triển để đảm bảo an toàn cho người dùng

Chúng tôi đã hợp tác với các nhà phát triển từ sớm để đảm bảo tính năng này đáp ứng nhu cầu thực tế và tích hợp mượt mà vào quy trình làm việc của bạn.

Chúng tôi luôn ưu tiên bảo vệ dữ liệu tài chính nhạy cảm của khách hàng. Do đó, chúng tôi phải tự xây dựng lớp bảo vệ chống lại phần mềm độc hại dựa trên khả năng tiếp cận. Revolut rất ủng hộ việc ra mắt API Android chính thức mới này, vì API này cho phép chúng tôi dần chuyển từ mã tuỳ chỉnh sang một biện pháp bảo vệ nền tảng mạnh mẽ, một dòng." 
– Vladimir Kozhevnikov, Kỹ sư Android tại Revolut

Bạn có thể đóng vai trò quan trọng trong việc bảo vệ người dùng khỏi các cuộc tấn công độc hại dựa trên khả năng tiếp cận bằng cách áp dụng những tính năng này. Tất cả nhà phát triển đều nên tích hợp những tính năng này vào ứng dụng của mình để giúp người dùng luôn an toàn. 

Cùng nhau, chúng ta có thể xây dựng một trải nghiệm an toàn và đáng tin cậy hơn cho mọi người.