保護敏感活動

本文件詳細說明如何監控使用者登入等敏感活動 以及線上購物

FLAG_SECURE

FLAG_SECURE視窗標記,用於告知 Android 不允許擷取螢幕畫面 或在不安全的螢幕中顯示視窗檢視畫面 (例如, 畫面)。如果應用程式需要保護 例如銀行應用程式或密碼管理工具系統標記視窗時 使用 FLAG_SECURE,Android 會禁止擷取螢幕截圖,並禁止 這類視窗不會顯示在不安全的螢幕上,例如電視或 投影機這有助於保護網站中的資訊, 視窗遭到未經授權的使用者存取。

這項機制如何協助防範詐欺行為

惡意應用程式或實體可能會擷取背景螢幕截圖。當狀態顯示 應用程式的背景變更,即可使用 FLAG_SECURE。當 截圖的結果是空白的圖片。

FLAG_SECURE 也有助於遠端分享螢幕畫面的用途。不一定 會擷取螢幕截圖的惡意應用程式、合法的分享螢幕畫面應用程式 常見的詐欺性情況也很常見

實作

針對包含您希望保護資訊的檢視畫面,新增下列指令:

Kotlin


window?.setFlags(
    WindowManager.LayoutParams.FLAG_SECURE,
    WindowManager.LayoutParams.FLAG_SECURE
)

Java


window.setFlags(
  WindowManager.LayoutParams.FLAG_SECURE,
  WindowManager.LayoutParams.FLAG_SECURE
);

最佳做法

需要注意的是,這個做法並不可靠 網路攻擊。在某些情況下,可能無法正確預測螢幕錄影是否 啟用的 API 已支援大多數用途為緩解重疊攻擊,請閱讀 下一部分關於 HIDE_OVERLAY_WINDOWS 權限

隱藏 OVERLAY_WINDOWS

HIDE_OVERLAY_WINDOWS 是已在 Android 12 中新增的權限,可讓您的應用程式 不讓應用程式疊加應用程式重疊。在 Android 12 中 基本上很難取得 SYSTEM_ALERT_WINDOW 權限,基本上 允許您的應用程式封鎖第三方應用程式的重疊圖層。

這項機制如何協助防範詐欺行為

啟用「HIDE_OVERLAY_WINDOWS」權限即表示您選擇不採用 在應用程式上繪製疊加畫面。這項權限提供 防範偽裝和 Dagger 攻擊的防護機制。

實作

如要啟用這項權限,請將 HIDE_OVERLAY_WINDOWS 新增至專案的 資訊清單。

最佳做法

和使用任何權限一樣,請至少信任任何重疊應用程式 並信任裝置上的任何其他應用程式。換句話說,您的應用程式不應允許 除非您知道其他應用程式 值得信賴如果允許應用程式在其他應用程式上層繪製內容,可能會不安全,因為這 可能竊取密碼或讀取郵件