Questo documento descrive i modi per monitorare le attività sensibili, ad esempio gli accessi degli utenti e acquisti online.
SECURE_SECURE
FLAG_SECURE
è un flag di finestra che indica ad Android di non consentire gli screenshot
o per mostrare la finestra su un display non sicuro (ad esempio, la trasmissione di
schermo). Ciò è utile per le applicazioni che devono proteggere
come le app di online banking o i gestori delle password. Quando viene segnalata una finestra
con FLAG_SECURE
, Android impedisce l'acquisizione di screenshot
la finestra non venga visualizzata su schermi non sicuri, come una TV o
come proiettore. Questo aiuta a proteggere le informazioni che vengono visualizzate nel
l'accesso non è consentito a persone non autorizzate.
In che modo questo contribuisce a mitigare le attività fraudolente
Un'app o un'entità dannosa potrebbe recuperare screenshot in background. Quando lo stato
dell'app passa allo sfondo, è possibile usare FLAG_SECURE
. Quando
screenshot, l'immagine risultante è vuota.
FLAG_SECURE
aiuta anche per i casi d'uso di condivisione dello schermo da remoto. Non si tratta sempre di un
dannosa che recupererà screenshot, app legittime di condivisione dello schermo
comunemente utilizzata in situazioni fraudolente.
Implementazione
Per le viste con le informazioni che vuoi proteggere, aggiungi quanto segue:
Kotlin
window?.setFlags( WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE )
Java
window.setFlags( WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE );
Best practice
È importante notare che questo approccio non è affidabile nel prevenire
attacchi informatici. In alcuni casi non è possibile prevedere correttamente se la registrazione dello schermo
ma copre la maggior parte dei casi d'uso. Per mitigare gli attacchi agli overlay, leggi
la prossima sezione sulle autorizzazioni per HIDE_OVERLAY_WINDOWS
.
NASCONDI_WINDOWS_OVERLAY
HIDE_OVERLAY_WINDOWS
è un'autorizzazione aggiunta in Android 12 in cui la tua app può
disattivare la sovrapposizione degli overlay delle applicazioni. In Android 12 abbiamo creato
è più difficile ottenere l'autorizzazione SYSTEM_ALERT_WINDOW
, essenzialmente
consentendo alla tua app di bloccare gli overlay di app di terze parti.
In che modo questo contribuisce a mitigare le attività fraudolente
Se attivi l'autorizzazione HIDE_OVERLAY_WINDOWS
, disattivi anche
con overlay dell'applicazione visualizzati nella parte superiore dell'app. Questa autorizzazione fornisce un
meccanismo di protezione da attacchi cloaking e dagger.
Implementazione
Per abilitare questa autorizzazione, aggiungi HIDE_OVERLAY_WINDOWS
alla cartella
del file manifest.
Best practice
Come per qualsiasi autorizzazione, dovresti fidarti di qualsiasi app in overlay almeno quanto considerare attendibile qualsiasi altra app del dispositivo. In altre parole, la tua app non deve consentire e mostrare overlay su altre app, a meno che tu non sappia che l'altra app affidabile. Consentire a un'app di spostarsi sopra altre app può essere pericoloso perché può rubare password o leggere messaggi.