Googleは本日、モバイルアプリデベロッパーがユーザーのデバイス上でアプリが生成するデータを暗号化することを推奨するブログ投稿を公開しました。

さらに、同じように利用できる参照フレームワークが多くないことを考慮して、Googleは実装が簡単な セキュリティライブラリ Jetpackソフトウェアスイートの一部として入手できます。

オープンソース Jetpackのセキュリティ （別名JetSec）ライブラリを使用すると、Androidアプリ開発者は暗号化されたファイルを次のように簡単に読み書きできます 最良のセキュリティ慣行暗号化キーの保存、機密データ、APIキー、OAuthトークンを含む可能性のあるファイルの保護など。

少しコンテキストを与えるために、Androidは開発者に提供しています 2つの異なる方法 アプリのデータを保存します。 XNUMXつはアプリ固有のストレージで、内部ストレージとも呼ばれます。ファイルは、特定のアプリの使用を目的としたサンドボックスフォルダーに保存され、同じデバイス上の他のアプリからはアクセスできません。

もうXNUMXつは、外部ストレージとも呼ばれる共有ストレージで、サンドボックス保護の外側にあり、メディアやドキュメントファイルの保存によく使用されます。

ただし、アプリの大半は外部ストレージを使用してユーザーの機密データやプライベートデータを保存し、他のアプリから保護するための適切な対策を講じていないため、攻撃者は 写真やビデオを盗む, ファイルを改ざんする （「メディアファイルジャッキング」と呼ばれます）。

同じ結果はXNUMX年前に「ディスクの男」攻撃者がアプリと外部ストレージの間で交換される特定のデータを操作することにより、アプリを危険にさらすことを可能にする攻撃。

別の研究では、 サイドチャネル攻撃 特定のデバイスへのアクセス許可がない場合でも、どの攻撃者が密かに写真を撮ったりビデオを録画したりできるかを使用して、デバイスの外部ストレージへのアクセスを利用することによってのみ。

このような攻撃を防ぐために、Android 10には「スコープ付きストレージ'外部ストレージ内の各アプリのデータもサンドボックス化するため、アプリはデバイス上の他のアプリによって保存されたデータにアクセスできなくなります。 しかし、JetSecライブラリは、さらに高度な保護のためにデータを暗号化する使いやすいソリューションを提供することで、さらに一歩進んでいます。

「アプリが共有ストレージを使用する場合は、データを暗号化する必要があります」 会社概要。 「アプリが個人を特定できる情報（PII）、健康記録、財務情報、企業データなどの機密情報を扱う場合、アプリのホームディレクトリでアプリはデータを暗号化する必要があります。」

さらに、Googleはアプリデベロッパーが暗号化と 生体認証情報 追加されたセキュリティとプライバシーのため。

Jetpackセキュリティライブラリは、昨年XNUMX月の年次開発者会議でプレビューされました。 それはの拡大の一部として来ます Android ジェットパックは、開発者がベストプラクティスに従い、高品質のアプリを設計するのに役立つAndroidソフトウェアコンポーネントのコレクションです。