Proteggi le attività sensibili

Questo documento descrive i modi per monitorare le attività sensibili, ad esempio gli accessi degli utenti e acquisti online.

SECURE_SECURE

FLAG_SECURE è un flag di finestra che indica ad Android di non consentire gli screenshot o per mostrare la finestra su un display non sicuro (ad esempio, la trasmissione di schermo). Ciò è utile per le applicazioni che devono proteggere come le app di online banking o i gestori delle password. Quando viene segnalata una finestra con FLAG_SECURE, Android impedisce l'acquisizione di screenshot la finestra non venga visualizzata su schermi non sicuri, come una TV o come proiettore. Questo aiuta a proteggere le informazioni che vengono visualizzate nel l'accesso non è consentito a persone non autorizzate.

In che modo questo contribuisce a mitigare le attività fraudolente

Un'app o un'entità dannosa potrebbe recuperare screenshot in background. Quando lo stato dell'app passa allo sfondo, è possibile usare FLAG_SECURE. Quando screenshot, l'immagine risultante è vuota.

FLAG_SECURE aiuta anche per i casi d'uso di condivisione dello schermo da remoto. Non si tratta sempre di un dannosa che recupererà screenshot, app legittime di condivisione dello schermo comunemente utilizzata in situazioni fraudolente.

Implementazione

Per le viste con le informazioni che vuoi proteggere, aggiungi quanto segue:

Kotlin


window?.setFlags(
    WindowManager.LayoutParams.FLAG_SECURE,
    WindowManager.LayoutParams.FLAG_SECURE
)

Java


window.setFlags(
  WindowManager.LayoutParams.FLAG_SECURE,
  WindowManager.LayoutParams.FLAG_SECURE
);

Best practice

È importante notare che questo approccio non è affidabile nel prevenire attacchi informatici. In alcuni casi non è possibile prevedere correttamente se la registrazione dello schermo ma copre la maggior parte dei casi d'uso. Per mitigare gli attacchi agli overlay, leggi la prossima sezione sulle autorizzazioni per HIDE_OVERLAY_WINDOWS.

NASCONDI_WINDOWS_OVERLAY

HIDE_OVERLAY_WINDOWS è un'autorizzazione aggiunta in Android 12 in cui la tua app può disattivare la sovrapposizione degli overlay delle applicazioni. In Android 12 abbiamo creato è più difficile ottenere l'autorizzazione SYSTEM_ALERT_WINDOW, essenzialmente consentendo alla tua app di bloccare gli overlay di app di terze parti.

In che modo questo contribuisce a mitigare le attività fraudolente

Se attivi l'autorizzazione HIDE_OVERLAY_WINDOWS, disattivi anche con overlay dell'applicazione visualizzati nella parte superiore dell'app. Questa autorizzazione fornisce un meccanismo di protezione da attacchi cloaking e dagger.

Implementazione

Per abilitare questa autorizzazione, aggiungi HIDE_OVERLAY_WINDOWS alla cartella del file manifest.

Best practice

Come per qualsiasi autorizzazione, dovresti fidarti di qualsiasi app in overlay almeno quanto considerare attendibile qualsiasi altra app del dispositivo. In altre parole, la tua app non deve consentire e mostrare overlay su altre app, a meno che tu non sappia che l'altra app affidabile. Consentire a un'app di spostarsi sopra altre app può essere pericoloso perché può rubare password o leggere messaggi.