O Google publicou hoje uma postagem no blog recomendando aos desenvolvedores de aplicativos móveis que criptografem os dados gerados por seus aplicativos nos dispositivos dos usuários, especialmente quando eles usam armazenamento externo desprotegido, propenso a seqüestros.

Além disso, considerando que não existem muitos frameworks de referência disponíveis para o mesmo, o Google também aconselhou o uso de um software de fácil implementação biblioteca de segurança disponível como parte de seu pacote de software Jetpack.

O de código aberto Segurança Jetpack (aka JetSec) biblioteca permite que os desenvolvedores de aplicativos Android facilmente leiam e gravem arquivos criptografados seguindo melhores práticas de segurança, incluindo o armazenamento de chaves criptográficas e a proteção de arquivos que podem conter dados confidenciais, chaves de API e tokens OAuth.

Para dar um pouco de contexto, o Android oferece aos desenvolvedores duas maneiras diferentes para salvar os dados do aplicativo. O primeiro é o armazenamento específico do aplicativo, também conhecido como armazenamento interno, onde os arquivos são armazenados em uma pasta em área restrita destinada ao uso de um aplicativo específico e inacessível a outros aplicativos no mesmo dispositivo.

O outro é o armazenamento compartilhado, também conhecido como armazenamento externo, que fica fora da proteção do sandbox e geralmente é usado para armazenar mídia e arquivos de documentos.

No entanto, descobriu-se que a maioria dos aplicativos usa armazenamento externo para armazenar dados confidenciais e privados dos usuários e não toma as medidas adequadas para protegê-los de outros aplicativos, permitindo que invasores roubar fotos e vídeos e arquivos adulterados (chamado “Media File Jacking”).

As consequências do mesmo foram demonstradas há dois anos com o “homem-no-disco” ataques que possibilitam que invasores comprometam um aplicativo manipulando certos dados que estão sendo trocados entre ele e o armazenamento externo.

Outra pesquisa demonstrou ataque de canal lateral usando o qual os invasores podem tirar fotos e gravar vídeos secretamente - mesmo quando não têm permissões de dispositivo específicas para fazer isso, mas apenas aproveitando o acesso ao armazenamento externo do dispositivo.

Para evitar tais ataques, o Android 10 vem com um recurso chamado 'Armazenamento com escopo' que protege os dados de cada aplicativo no armazenamento externo também, limitando assim o acesso de aplicativos aos dados salvos por outros aplicativos em seu dispositivo. Mas a biblioteca JetSec vai um passo além, oferecendo uma solução fácil de usar para criptografar dados para um nível extra de proteção.

“Se seu aplicativo usa armazenamento compartilhado, você deve criptografar os dados”, o empresa delineada. “No diretório inicial do aplicativo, seu aplicativo deve criptografar dados se o seu aplicativo lidar com informações confidenciais, incluindo, entre outras, informações de identificação pessoal (PII), registros de saúde, detalhes financeiros ou dados corporativos.”

Além disso, o Google também está recomendando que os desenvolvedores de aplicativos combinem criptografia com informação biométrica para maior segurança e privacidade.

A biblioteca Jetpack Security foi originalmente apresentada em maio passado em sua conferência anual de desenvolvedores. Ele vem como parte de uma expansão de Jetpack Android, uma coleção de componentes de software Android que ajuda os desenvolvedores a seguir as práticas recomendadas e projetar aplicativos de alta qualidade.