نشرت Google اليوم مشاركة مدونة توصي مطوري تطبيقات الجوال بتشفير البيانات التي تنشئها تطبيقاتهم على أجهزة المستخدمين ، خاصة عندما يستخدمون وحدة تخزين خارجية غير محمية معرضة للاختراق.

علاوة على ذلك ، نظرًا إلى عدم توفر العديد من الأطر المرجعية لنفسه ، فقد نصحت Google أيضًا باستخدام تطبيق سهل التنفيذ مكتبة الأمن متاح كجزء من مجموعة برامج Jetpack.

مفتوح المصدر Jetpack الأمن تتيح مكتبة (ويعرف أيضًا باسم JetSec) لمطوري تطبيقات Android قراءة وكتابة الملفات المشفرة بسهولة عن طريق اتباعها أفضل الممارسات الأمنية، بما في ذلك تخزين مفاتيح التشفير وحماية الملفات التي قد تحتوي على بيانات حساسة ، ومفاتيح API ، ورموز OAuth.

لإعطاء القليل من السياق ، يقدم Android للمطورين بطريقتين مختلفتين لحفظ بيانات التطبيق. الأول هو التخزين المخصص للتطبيق ، والمعروف أيضًا باسم التخزين الداخلي ، حيث يتم تخزين الملفات في مجلد وضع الحماية مخصص لاستخدام تطبيق معين ولا يمكن الوصول إليه من التطبيقات الأخرى على نفس الجهاز.

الآخر هو التخزين المشترك ، والمعروف أيضًا باسم التخزين الخارجي ، والذي يقع خارج حماية صندوق الحماية وغالبًا ما يستخدم لتخزين الوسائط وملفات المستندات.

ومع ذلك ، فقد وجد أن غالبية التطبيقات تستخدم وحدة تخزين خارجية لتخزين البيانات الحساسة والخاصة على المستخدمين ولا تتخذ الإجراءات المناسبة لحمايتها من التطبيقات الأخرى ، مما يسمح للمهاجمين سرقة الصور ومقاطع الفيديوو العبث الملفات (تسمى "Jacking Media File").

وقد ظهرت عواقب نفس الأمر قبل عامين مع "رجل في داخل القرص"الهجمات التي تجعل من الممكن للمهاجمين اختراق التطبيق من خلال التلاعب ببيانات معينة يتم تبادلها بينه وبين وحدة التخزين الخارجية.

أظهر بحث آخر هجوم القناة الجانبية باستخدام المهاجمين الذين يمكنهم التقاط الصور وتسجيل مقاطع الفيديو سرًا - حتى عندما لا يكون لديهم أذونات جهاز محددة للقيام بذلك ، ولكن فقط من خلال الاستفادة من الوصول إلى التخزين الخارجي للجهاز.

لمنع مثل هذه الهجمات ، يتم شحن Android 10 بميزة تسمى "تخزين النطاق"أن وضع الحماية لبيانات كل تطبيق في وحدة التخزين الخارجية كذلك ، مما يقيد التطبيقات من الوصول إلى البيانات المحفوظة بواسطة التطبيقات الأخرى على جهازك. لكن مكتبة JetSec تأخذ خطوة إلى الأمام من خلال تقديم حل سهل الاستخدام لتشفير البيانات للحصول على مستوى إضافي من الحماية.

"إذا كان تطبيقك يستخدم مساحة تخزين مشتركة ، فيجب عليك تشفير البيانات" شركة الخطوط العريضة. "في دليل الصفحة الرئيسية للتطبيق ، يجب أن يقوم تطبيقك بتشفير البيانات إذا كان التطبيق الخاص بك يتعامل مع المعلومات الحساسة بما في ذلك على سبيل المثال لا الحصر معلومات التعريف الشخصية (PII) أو السجلات الصحية أو التفاصيل المالية أو بيانات المؤسسة."

ما هو أكثر من ذلك ، توصي Google أيضًا بأنه يجب على مطوري التطبيقات الجمع بين التشفير و المعلومات البيومترية لمزيد من الأمن والخصوصية.

تمت معاينة مكتبة Jetpack Security في الأصل في مايو الماضي في مؤتمر المطور السنوي. يتعلق الأمر كجزء من توسيع Android Jetpack، مجموعة من مكونات برامج Android التي تساعد المطورين على اتباع أفضل الممارسات وتصميم التطبيقات عالية الجودة.