Logo Zéphyrnet

Google conseille aux développeurs Android de crypter les données des applications sur l'appareil

Date :

cryptage Android Jetpack

Google a publié aujourd'hui un article de blog recommandant aux développeurs d'applications mobiles de chiffrer les données générées par leurs applications sur les appareils des utilisateurs, en particulier lorsqu'ils utilisent un stockage externe non protégé et sujet au piratage.

De plus, étant donné qu’il n’existe pas beaucoup de cadres de référence disponibles pour cela, Google a également conseillé d’utiliser un outil facile à mettre en œuvre. bibliothèque de sécurité disponible dans le cadre de sa suite logicielle Jetpack.

L'open source Sécurité Jetpack (alias JetSec) permet aux développeurs d'applications Android de lire et d'écrire facilement des fichiers cryptés en suivant meilleures pratiques de sécurité, notamment le stockage des clés cryptographiques et la protection des fichiers pouvant contenir des données sensibles, des clés API et des jetons OAuth.

Pour donner un peu de contexte, Android propose aux développeurs deux façons différentes pour enregistrer les données de l'application. Le premier est le stockage spécifique à l'application, également appelé stockage interne, où les fichiers sont stockés dans un dossier en mode bac à sable destiné à l'utilisation d'une application spécifique et inaccessible aux autres applications sur le même appareil.

L'autre est le stockage partagé, également appelé stockage externe, qui se situe en dehors de la protection du bac à sable et est souvent utilisé pour stocker des fichiers multimédias et des documents.

Cependant, il a été constaté que la majorité des applications utilisent un stockage externe pour stocker des données sensibles et privées sur les utilisateurs et ne prennent pas de mesures adéquates pour les protéger des autres applications, permettant aux attaquants de voler des photos et des vidéoset fichiers de falsification (appelé « Media File Jacking »).

Les conséquences de cette situation ont été démontrées il y a deux ans avec le «l'homme dans le disque» qui permettent aux attaquants de compromettre une application en manipulant certaines données échangées entre celle-ci et le stockage externe.

Une autre recherche a démontré un attaque par canal latéral grâce auquel les attaquants peuvent secrètement prendre des photos et enregistrer des vidéos, même s'ils ne disposent pas d'autorisations spécifiques sur l'appareil pour le faire, mais uniquement en exploitant l'accès au stockage externe de l'appareil.

Pour empêcher de telles attaques, Android 10 est livré avec une fonctionnalité appelée 'Scoped Storage' qui met également en sandbox les données de chaque application dans le stockage externe, limitant ainsi l'accès des applications aux données enregistrées par d'autres applications sur votre appareil. Mais la bibliothèque JetSec va encore plus loin en proposant une solution facile à utiliser pour crypter les données pour un niveau de protection supplémentaire.

"Si votre application utilise un stockage partagé, vous devez chiffrer les données", indique le entreprise décrite. "Dans le répertoire d'accueil de l'application, votre application doit chiffrer les données si elle traite des informations sensibles, notamment, mais sans s'y limiter, des informations personnellement identifiables (PII), des dossiers de santé, des détails financiers ou des données d'entreprise."

De plus, Google recommande également aux développeurs d'applications de combiner le cryptage avec informations biométriques pour plus de sécurité et de confidentialité.

La bibliothèque Jetpack Security a été initialement présentée en mai dernier lors de sa conférence annuelle des développeurs. Il s'inscrit dans le cadre d'une expansion de Android Jetpack, un ensemble de composants logiciels Android qui aident les développeurs à suivre les meilleures pratiques et à concevoir des applications de haute qualité.

Source : http://feedproxy.google.com/~r/TheHackersNews/~3/fdFw8-vDNjs/android-app-data-encryption.html

spot_img

Dernières informations

spot_img