Zephyrnet-logo

Google adviseert Android-ontwikkelaars om app-gegevens op het apparaat te coderen

Datum:

android jetpack-codering

Google heeft vandaag een blogpost gepubliceerd waarin ontwikkelaars van mobiele apps worden aanbevolen om gegevens te versleutelen die hun apps genereren op de apparaten van gebruikers, vooral wanneer ze onbeschermde externe opslag gebruiken die gevoelig is voor kaping.

Bovendien, aangezien er niet veel referentiekaders beschikbaar zijn voor hetzelfde, heeft Google ook geadviseerd een eenvoudig te implementeren te gebruiken beveiligingsbibliotheek beschikbaar als onderdeel van het Jetpack-softwarepakket.

De open bronnen Jetpack-beveiliging (aka JetSec) -bibliotheek kunnen ontwikkelaars van Android-apps gemakkelijk gecodeerde bestanden lezen en schrijven door ze te volgen beste beveiligingsmethoden, inclusief het opslaan van cryptografische sleutels en het beschermen van bestanden die mogelijk gevoelige gegevens bevatten, API-sleutels, OAuth-tokens.

Om wat context te geven, biedt Android ontwikkelaars twee verschillende manieren om app-gegevens op te slaan. De eerste is app-specifieke opslag, ook wel interne opslag genoemd, waarbij de bestanden worden opgeslagen in een sandbox-map bedoeld voor gebruik door een specifieke app en ontoegankelijk voor andere apps op hetzelfde apparaat.

De andere is gedeelde opslag, ook bekend als externe opslag, die zich buiten de sandbox-bescherming bevindt en wordt vaak gebruikt om media en documentbestanden op te slaan.

Er is echter vastgesteld dat de meeste apps externe opslag gebruiken om gevoelige en privégegevens van gebruikers op te slaan en geen adequate maatregelen nemen om deze te beschermen tegen andere apps, waardoor aanvallers steel foto's en video's en sabotage bestanden (genaamd "Media File Jacking").

De gevolgen hiervan werden twee jaar geleden aangetoond met de “man-in-the-schijf"Aanvallen waarmee aanvallers een app kunnen compromitteren door bepaalde gegevens die worden uitgewisseld tussen de app en de externe opslag te manipuleren.

Een ander onderzoek toonde een side-channel aanval waarmee aanvallers in het geheim foto's kunnen maken en video's kunnen opnemen, zelfs als ze daarvoor geen specifieke apparaatmachtigingen hebben, maar alleen door gebruik te maken van toegang tot de externe opslag van het apparaat.

Om dergelijke aanvallen te voorkomen, wordt Android 10 geleverd met een functie genaamd 'Scoped opslag'die de gegevens van elke app ook in de externe opslag sandboxt, waardoor apps minder toegang krijgen tot gegevens die zijn opgeslagen door andere apps op uw apparaat. Maar de JetSec-bibliotheek gaat nog een stap verder door een gebruiksvriendelijke oplossing aan te bieden om gegevens te versleutelen voor een extra beschermingsniveau.

"Als uw app gedeelde opslag gebruikt, moet u de gegevens versleutelen", de bedrijf geschetst. "In de homedirectory van de app moet uw app gegevens versleutelen als uw app gevoelige informatie verwerkt, inclusief maar niet beperkt tot persoonlijk identificeerbare informatie (PII), medische dossiers, financiële gegevens of bedrijfsgegevens."

Bovendien beveelt Google ook aan dat app-ontwikkelaars encryptie moeten combineren met biometrische informatie voor extra beveiliging en privacy.

De Jetpack Security-bibliotheek werd oorspronkelijk in mei bekeken tijdens de jaarlijkse ontwikkelaarsconferentie. Het komt als onderdeel van een uitbreiding van Android Jetpack, een verzameling Android-softwarecomponenten waarmee ontwikkelaars best practices kunnen volgen en apps van hoge kwaliteit kunnen ontwerpen.

Bron: http://feedproxy.google.com/~r/TheHackersNews/~3/fdFw8-vDNjs/android-app-data-encryption.html

spot_img

Laatste intelligentie

spot_img