Sécuriser les activités sensibles

Ce document décrit en détail comment surveiller les activités sensibles, telles que les connexions d'utilisateurs. et les achats en ligne.

SIGNALEMENT_SÉCURISÉ

FLAG_SECURE est un indicateur de fenêtre qui indique à Android de ne pas autoriser les captures d'écran. ou sur un écran non sécurisé (tel que si vous castez l'écran). Cette fonctionnalité est utile pour les applications qui doivent protéger informations, comme les applications bancaires ou les gestionnaires de mots de passe. Lorsqu'une fenêtre est signalée avec FLAG_SECURE, Android empêche la capture d'écran et empêche la fenêtre d'être affichée sur un écran non sécurisé, comme un téléviseur ou projecteur. Cela permet de protéger les informations affichées dans le d'accès par des personnes non autorisées.

En quoi cela permet-il de limiter la fraude ?

Une application ou une entité malveillante peut récupérer des captures d'écran en arrière-plan. Lorsque l'État des modifications de votre application en arrière-plan, FLAG_SECURE peut être utilisé. Lorsque l'image obtenue est vide.

FLAG_SECURE facilite également les cas d'utilisation du partage d'écran à distance. Il ne s’agit pas toujours d’une malveillante qui récupère des captures d'écran, les applications de partage d'écran légitimes sont également couramment utilisés dans des situations frauduleuses.

Implémentation

Pour les vues contenant les informations que vous souhaitez protéger, ajoutez les éléments suivants:

Kotlin


window?.setFlags(
    WindowManager.LayoutParams.FLAG_SECURE,
    WindowManager.LayoutParams.FLAG_SECURE
)

Java


window.setFlags(
  WindowManager.LayoutParams.FLAG_SECURE,
  WindowManager.LayoutParams.FLAG_SECURE
);

Bonnes pratiques

Il est important de noter que cette approche n'est pas fiable pour empêcher la superposition contre les attaques. Dans certains cas, elle ne prédit pas correctement si l'enregistrement d'écran actif, mais il couvre la plupart des cas d'utilisation. Pour limiter les attaques par superposition, consultez la section suivante sur les autorisations HIDE_OVERLAY_WINDOWS.

MASQUER_LES_FENÊTRES_SUPERPOSITIONS

HIDE_OVERLAY_WINDOWS est une autorisation ajoutée dans Android 12 qui permet à votre appli désactiver l'affichage de superpositions sur les applications. Avec Android 12, nous avons il est plus difficile d'obtenir l'autorisation SYSTEM_ALERT_WINDOW. permettant à votre application de bloquer les superpositions provenant d'applications tierces.

En quoi cela permet-il de limiter la fraude ?

Lorsque vous activez l'autorisation HIDE_OVERLAY_WINDOWS, vous désactivez des superpositions d'application s'affichent au-dessus de votre application. Cette autorisation fournit contre les attaques par technique de dissimulation (cloaking).

Implémentation

Pour activer cette autorisation, ajoutez HIDE_OVERLAY_WINDOWS au fichier fichier manifeste.

Bonnes pratiques

Comme pour toute autorisation, vous devez faire confiance à toute application superposée au moins autant que vous confiance en toute autre application sur l'appareil. Autrement dit, votre application ne doit pas autoriser d'autres applications pour superposer des éléments, sauf si vous savez que l'autre application fiables. Il peut être dangereux d'autoriser une application à se superposer aux autres, car elle peut voler des mots de passe ou lire des messages.