Dokumen ini menjelaskan cara memantau aktivitas sensitif, seperti login pengguna dan pembelian online.
BENDERA_SECURE
FLAG_SECURE
adalah flag Jendela yang memberi tahu Android untuk tidak mengizinkan screenshot
atau menampilkan tampilan jendela pada tampilan yang tidak aman (seperti Mentransmisikan
layar). Hal ini berguna untuk aplikasi yang perlu melindungi informasi
sensitif, seperti aplikasi perbankan atau pengelola sandi. Saat jendela ditandai
dengan FLAG_SECURE
, Android akan mencegah pengambilan screenshot dan mencegah
jendela ditampilkan pada layar yang tidak aman, seperti TV atau
proyektor. Hal ini membantu melindungi informasi yang ditampilkan di
jendela agar tidak diakses oleh orang yang tidak berwenang.
Bagaimana hal ini membantu memitigasi penipuan
Aplikasi atau entitas berbahaya mungkin mengambil screenshot latar belakang. Saat status
aplikasi berubah menjadi latar belakang, FLAG_SECURE
dapat digunakan. Saat
screenshot diambil, gambar yang dihasilkan akan kosong.
FLAG_SECURE
juga membantu dalam kasus penggunaan berbagi layar jarak jauh. Aplikasi ini tidak selalu
berbahaya yang akan mengambil screenshot, aplikasi berbagi layar yang sah
juga biasa digunakan dalam situasi penipuan.
Penerapan
Untuk tampilan dengan informasi yang ingin Anda dilindungi, tambahkan hal berikut:
Kotlin
window?.setFlags( WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE )
Java
window.setFlags( WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE );
Praktik terbaik
Perlu diperhatikan bahwa pendekatan ini tidak dapat diandalkan dalam mencegah serangan
overlay. Dalam beberapa kasus, fitur ini tidak memprediksi dengan benar apakah perekaman layar
aktif, tetapi mencakup sebagian besar kasus penggunaan. Untuk memitigasi serangan overlay, baca
bagian berikutnya tentang izin HIDE_OVERLAY_WINDOWS
.
HIDE_OVERLAY_WINDOWS
HIDE_OVERLAY_WINDOWS
adalah izin yang ditambahkan di Android 12 tempat aplikasi Anda dapat
memilih untuk tidak menggambar overlay aplikasi di atasnya. Di Android 12, kami telah mempersulit
mendapatkan izin SYSTEM_ALERT_WINDOW
, yang pada dasarnya
memungkinkan aplikasi Anda memblokir overlay dari aplikasi pihak ketiga.
Bagaimana hal ini membantu memitigasi penipuan
Saat mengaktifkan izin HIDE_OVERLAY_WINDOWS
, Anda memilih untuk tidak
menggambar overlay aplikasi di atas aplikasi. Izin ini memberikan
mekanisme perlindungan terhadap serangan cloak and dagger.
Penerapan
Untuk mengaktifkan izin ini, tambahkan HIDE_OVERLAY_WINDOWS
ke manifes
project Anda.
Praktik terbaik
Seperti izin apa pun, Anda harus memercayai aplikasi overlay apa pun setidaknya seperti memercayai aplikasi lain di perangkat. Dengan kata lain, aplikasi Anda tidak boleh mengizinkan aplikasi lain menggambar overlay di atasnya kecuali Anda mengetahui bahwa aplikasi lain dapat dipercaya. Mengizinkan aplikasi mengambil data di atas aplikasi lain dapat berbahaya karena aplikasi tersebut dapat mencuri sandi atau membaca pesan.