セキュリティは Android の基盤です。Google は、認証情報マネージャー や FLAG_SECURE などの強力なセキュリティ ツールや機能を提供することで、プラットフォームの安全性を維持し、ユーザーデータを保護しています。Android のすべてのリリースで、パフォーマンスとセキュリティが強化されています。Android 16 では、アプリの防御を強化するための簡単で重要な手順を実行できます。動画をご覧になるか、以下をお読みになり、ユーザー補助 API の保護強化についてご確認ください。
1 行のコードでアプリを盗み見から保護する
悪意のあるユーザーが、ユーザー補助 API の機能を悪用して、パスワードや財務情報などの機密情報を画面から直接読み取り、タッチを挿入してユーザーのデバイスを操作しようとする事例が確認されています。これに対抗するため、Android 16 では 1 行のコード(accessibilityDataSensitive)で強力な新しい防御機能が提供されます。
accessibilityDataSensitive フラグを使用すると、ビューまたはコンポーザブルにセンシティブ データが含まれていることを明示的にマークできます。アプリでこのフラグを true に設定すると、悪意のあるアプリが機密性の高いビューデータにアクセスしたり、そのデータに対して操作を行ったりするのを効果的にブロックできます。仕組みは次のとおりです。アクセシビリティ ツールとして明示的に宣言されていない(isAccessibilityTool=true)アクセシビリティ権限をリクエストするアプリは、そのビューへのアクセスを拒否されます。
このシンプルながら効果的な変更により、正規のユーザー補助ツールを利用しているユーザーのエクスペリエンスに影響を与えることなく、マルウェアによる情報の窃取や不正な操作の実行を防ぐことができます。注: アプリがユーザー補助ツールではないにもかかわらず、ユーザー補助機能の権限をリクエストして isAccessibilityTool=true を設定している場合、Google Play はそのアプリを拒否し、Google Play プロテクトはユーザーのデバイスでそのアプリをブロックします。
setFilterTouchesWhenObscured 保護のための自動セキュリティ強化
この新しい accessibilityDataSensitive セキュリティ機能は、既存の setFilterTouchesWhenObscured メソッドとすでに統合されています。
タップジャッキングからアプリを保護するために setFilterTouchesWhenObscured(true) をすでに使用している場合、ビューはユーザー補助のセンシティブ データとして自動的に扱われます。setFilterTouchesWhenObscured メソッドを accessibilityDataSensitive 保護で強化することで、追加の作業なしで、すべてのユーザーに防御レイヤが追加されます。
スタートガイド
ログインページ、支払いフロー、個人データや財務データが表示されるビューなど、機密情報を含む画面すべてに setFilterTouchesWhenObscured を使用することをおすすめします。または、accessibilityDataSensitive フラグを使用することもできます。
Jetpack Compose の場合
setFilterTouchesWhenObscured | accessibilityDataSensitive |
val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }
|
BasicText { text = “Your password”,
modifier = Modifier.semantics {
sensitiveData = true }}
|
ビューベースのアプリの場合
XML レイアウトで、機密情報を含むビューに関連する属性を追加します。
setFilterTouchesWhenObscured | accessibilityDataSensitive |
|
|
または、Java または Kotlin でプログラムによってプロパティを設定することもできます。
setFilterTouchesWhenObscured | accessibilityDataSensitive |
|
|
|
|
accessibilityDataSensitive フラグと setFilterTouchesWhenObscured フラグの詳細については、タップジャッキング ガイドをご覧ください。
デベロッパーと協力してユーザーの安全を確保する
この機能が実際のニーズを満たし、ワークフローにスムーズに統合されるように、早い段階からデベロッパーと協力して開発を進めてきました。
「Google は常にお客様の機密性の高い財務データの保護を優先してきました。そのため、アクセシビリティ ベースのマルウェアに対する独自の保護レイヤを構築する必要がありました。Revolut は、この新しい公式 Android API の導入を強く支持しています。この API により、カスタムコードから堅牢な単一行のプラットフォーム防御へと徐々に移行できるようになります。」
- Vladimir Kozhevnikov、Revolut の Android エンジニア
これらの機能を導入することで、ユーザーを悪意のあるユーザー補助機能ベースの攻撃から保護するうえで重要な役割を果たすことができます。ユーザーの安全を確保するため、すべてのデベロッパーがこれらの機能をアプリに統合することをおすすめします。
力を合わせれば、すべての人にとってより安全で信頼できるエクスペリエンスを構築できます。
作成者:
続きを読む
-
プロダクト ニュース
Google Play の安全性と信頼性を可能な限り高く保つため。本日、ユーザーのプライバシーを強化し、ビジネスを不正行為から保護するための新しいポリシーの更新とアカウント移行機能についてお知らせします。
Bennet Manuel • 所要時間: 3 分
-
プロダクト ニュース
Android エコシステムの柱は、ユーザーの信頼に対する共通の取り組みです。モバイル環境の進化に伴い、機密情報の保護に対するアプローチも進化しています。
Robert Clifford • 所要時間: 3 分
-
プロダクト ニュース
モバイル エコシステムは常に進化しており、新たな機会と新たな脅威の両方をもたらしています。これらの変更を通じて、Android と Google Play は、数十億のユーザーが安心してアプリを利用し続け、デベロッパーのイノベーションが発展し続けられるよう、引き続き取り組んでまいります。
Vijaya Kaza • 所要時間: 3 分
最新情報の入手
Android 開発に関する最新の分析情報を毎週メールでお届けします。
