W tym dokumencie znajdziesz szczegółowe informacje o sposobach monitorowania działań wymagających zachowania ostrożności, takich jak logowanie się użytkowników czy zakupy online.
FLAG_SECURE
FLAG_SECURE to flaga okna, która informuje Androida, że nie należy zezwalać na zrzuty ekranu ani wyświetlać widoku okna na niezabezpieczonym wyświetlaczu (np. podczas przesyłania ekranu). Jest to przydatne w przypadku aplikacji, które muszą chronić informacje poufne, np. aplikacji bankowych lub menedżerów haseł. Gdy okno jest oznaczone flagą FLAG_SECURE, Android uniemożliwia robienie zrzutów ekranu i wyświetlanie okna na niezabezpieczonym wyświetlaczu, takim jak telewizor lub projektor. Pomaga to chronić informacje wyświetlane w oknie przed dostępem osób nieupoważnionych.
Jak to pomaga ograniczyć oszustwa
Złośliwa aplikacja lub podmiot może pobierać zrzuty ekranu w tle. Gdy stan aplikacji zmieni się na działanie w tle, można użyć FLAG_SECURE. Gdy zrzut ekranu zostanie zrobiony, wynikowy obraz będzie pusty.
FLAG_SECURE pomaga też w przypadkach użycia związanych z udostępnianiem ekranu na odległość. Nie zawsze zrzuty ekranu pobiera złośliwa aplikacja. Legalne aplikacje do udostępniania ekranu są również często wykorzystywane w sytuacjach związanych z oszustwami.
Implementacja
W przypadku widoków z informacjami, które chcesz chronić, dodaj te elementy:
Kotlin
window?.setFlags( WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE )
Java
window.setFlags( WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE );
Sprawdzone metody
Pamiętaj, że to podejście nie jest niezawodne w zapobieganiu atakom nakładkowym. W niektórych przypadkach nie przewiduje prawidłowo, czy nagrywanie ekranu jest aktywne, ale obejmuje większość przypadków użycia. Aby zapobiegać atakom z użyciem nakładek, przeczytaj następną sekcję o uprawnieniach HIDE_OVERLAY_WINDOWS.
HIDE_OVERLAY_WINDOWS
HIDE_OVERLAY_WINDOWS to uprawnienie dodane w Androidzie 12, które umożliwia aplikacji wyłączenie rysowania nakładek aplikacji. W Androidzie 12 utrudniliśmy uzyskanie uprawnienia SYSTEM_ALERT_WINDOW, które umożliwia aplikacji blokowanie nakładek z aplikacji innych firm.
Jak to pomaga ograniczyć oszustwa
Gdy włączysz uprawnienie HIDE_OVERLAY_WINDOWS, zrezygnujesz z wyświetlania nakładek aplikacji na Twojej aplikacji. To uprawnienie zapewnia mechanizm ochrony przed atakami typu cloak and dagger.
Implementacja
Aby włączyć to uprawnienie, dodaj HIDE_OVERLAY_WINDOWS do manifestu projektu.
Sprawdzone metody
Podobnie jak w przypadku innych uprawnień, musisz ufać aplikacji nakładkowej co najmniej tak samo jak innym aplikacjom na urządzeniu. Innymi słowy, aplikacja nie powinna zezwalać innym aplikacjom na wyświetlanie nakładek, chyba że wiesz, że są one godne zaufania. Zezwolenie aplikacji na rysowanie nad innymi aplikacjami może być niebezpieczne, ponieważ może ona kraść hasła lub odczytywać wiadomości.