Bảo mật là nền tảng của Android. Chúng tôi hợp tác với bạn để giữ cho nền tảng an toàn và bảo vệ dữ liệu người dùng bằng cách cung cấp các công cụ và tính năng bảo mật mạnh mẽ, chẳng hạn như Trình quản lý thông tin đăng nhập và FLAG_SECURE. Mỗi bản phát hành Android đều mang đến những cải tiến về hiệu suất và tính bảo mật. Với Android 16, bạn có thể thực hiện các bước đơn giản nhưng quan trọng để tăng cường khả năng phòng thủ của ứng dụng. Hãy xem video hoặc tiếp tục đọc để tìm hiểu thêm về các biện pháp bảo vệ nâng cao của chúng tôi đối với các API hỗ trợ tiếp cận.

Bảo vệ ứng dụng của bạn khỏi hành vi đào xới bằng một dòng mã

Chúng tôi nhận thấy rằng đôi khi những đối tượng xấu cố gắng khai thác các tính năng của API về khả năng tiếp cận để đọc thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin tài chính, trực tiếp từ màn hình và thao túng thiết bị của người dùng bằng cách chèn các thao tác chạm. Để chống lại hành vi này, Android 16 cung cấp một biện pháp phòng thủ mới, mạnh mẽ trong một dòng mã: accessibilityDataSensitive.

Cờ accessibilityDataSensitive cho phép bạn đánh dấu rõ ràng một thành phần hiển thị hoặc thành phần kết hợp là chứa dữ liệu nhạy cảm. Khi bạn đặt cờ này thành true trên ứng dụng, về cơ bản, bạn đang chặn các ứng dụng có khả năng gây hại truy cập vào dữ liệu thành phần hiển thị nhạy cảm hoặc thực hiện các tương tác trên đó. Sau đây là cách hoạt động: mọi ứng dụng yêu cầu quyền hỗ trợ tiếp cận nhưng chưa khai báo rõ ràng là một công cụ hỗ trợ tiếp cận hợp pháp (isAccessibilityTool=true) đều bị từ chối quyền truy cập vào thành phần hiển thị đó.

Thay đổi đơn giản nhưng hiệu quả này giúp ngăn chặn phần mềm độc hại đánh cắp thông tin và thực hiện các hành động trái phép mà không ảnh hưởng đến trải nghiệm của người dùng về các công cụ hỗ trợ tiếp cận hợp pháp. Lưu ý: Nếu một ứng dụng không phải là công cụ hỗ trợ tiếp cận nhưng yêu cầu quyền hỗ trợ tiếp cận và đặt isAccessibilityTool=true, thì Play sẽ từ chối ứng dụng đó và Google Play Protect sẽ chặn ứng dụng đó trên thiết bị của người dùng. 

Tính năng bảo mật nâng cao, tự động cho biện pháp bảo vệ setFilterTouchesWhenObscured

Chúng tôi đã tích hợp chức năng bảo mật accessibilityDataSensitive mới này với phương thức setFilterTouchesWhenObscured hiện có. 

Nếu bạn đã sử dụng setFilterTouchesWhenObscured(true) để bảo vệ ứng dụng của mình khỏi hành vi đánh cắp thao tác nhấn, thì các thành phần hiển thị của bạn sẽ được coi là dữ liệu nhạy cảm cho khả năng hỗ trợ tiếp cận một cách tự động. Bằng cách nâng cao phương thức setFilterTouchesWhenObscured với các biện pháp bảo vệ accessibilityDataSensitive, chúng tôi sẽ ngay lập tức cung cấp cho mọi người một lớp phòng thủ bổ sung mà không cần phải làm thêm.

Bắt đầu

Bạn nên sử dụng setFilterTouchesWhenObscured hoặc cờ accessibilityDataSensitive trên mọi màn hình chứa thông tin nhạy cảm, bao gồm cả trang đăng nhập, quy trình thanh toán và mọi thành phần hiển thị dữ liệu cá nhân hoặc tài chính.

Đối với Jetpack Compose

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

Đối với các ứng dụng dựa trên thành phần hiển thị

Trong bố cục XML, hãy thêm thuộc tính có liên quan vào thành phần hiển thị nhạy cảm.

Ngoài ra, bạn có thể thiết lập thuộc tính theo phương thức lập trình trong Java hoặc Kotlin:

Đọc thêm về cờ accessibilityDataSensitive và setFilterTouchesWhenObscured trong hướng dẫn về hành vi đánh cắp thao tác nhấn.

Hợp tác với nhà phát triển để bảo vệ người dùng

Chúng tôi đã làm việc với các nhà phát triển từ sớm để đảm bảo tính năng này đáp ứng nhu cầu thực tế và tích hợp mượt mà vào quy trình làm việc của bạn.

Chúng tôi luôn ưu tiên bảo vệ dữ liệu tài chính nhạy cảm của khách hàng. Điều này đòi hỏi chúng tôi phải xây dựng lớp bảo vệ riêng chống lại phần mềm độc hại dựa trên khả năng hỗ trợ tiếp cận. Revolut ủng hộ mạnh mẽ việc giới thiệu API Android chính thức mới này, vì API này cho phép chúng tôi dần chuyển từ mã tuỳ chỉnh sang một biện pháp phòng thủ mạnh mẽ, một dòng mã cho nền tảng."
– Vladimir Kozhevnikov, Kỹ sư Android tại Revolut

Bạn có thể đóng vai trò quan trọng trong việc bảo vệ người dùng khỏi các cuộc tấn công độc hại dựa trên khả năng hỗ trợ tiếp cận bằng cách áp dụng các tính năng này. Chúng tôi khuyến khích tất cả nhà phát triển tích hợp các tính năng này vào ứng dụng của họ để giúp bảo vệ người dùng. 

Cùng nhau, chúng ta có thể xây dựng trải nghiệm an toàn và đáng tin cậy hơn cho mọi người.